Мониторинг использования приложений с помощью AppLocker
В этой статье для ИТ-специалистов описывается, как отслеживать использование приложений при применении политик AppLocker.
После развертывания политик AppLocker отслеживайте их влияние на устройства, чтобы убедиться, что результаты будут ожидаемыми.
Узнайте о действии политики AppLocker
Вы можете оценить, как политика AppLocker реализуется в настоящее время для документации или аудита, или перед изменением политики. Обновление документа о планировании развертывания политики AppLocker поможет вам отслеживать полученные результаты. Вы можете выполнить одно или несколько из следующих действий, чтобы понять, какие элементы управления приложения в настоящее время применяются с помощью правил AppLocker.
Анализ журналов AppLocker в Просмотр событий
Если для принудительного применения политики AppLocker задано значение Принудительное применение правил, все файлы, которые не разрешены политикой, блокируются. В этом случае в журнале событий AppLocker для коллекции правил возникает событие. Если для применения политики AppLocker задано значение Только аудит, правила не применяются, но по-прежнему оцениваются для создания данных событий аудита, записываемых в журналы AppLocker.
Дополнительные сведения о процедуре доступа к журналу см. в разделе Просмотр журнала AppLocker в Просмотр событий.
Включение параметра принудительного применения AppLocker только для аудита
С помощью параметра Применение только аудита можно убедиться, что правила AppLocker правильно настроены для вашей организации. Если для применения политики AppLocker задано значение Только аудит, правила оцениваются только, но все события, созданные в ходе этой оценки, записываются в журнал AppLocker.
Дополнительные сведения о процедуре настройки см. в разделе Настройка политики AppLocker только для аудита.
Просмотр событий AppLocker с помощью Get-AppLockerFileInformation
Для подписок на события и локальных событий можно использовать командлет Get-AppLockerFileInformation Windows PowerShell, чтобы определить, какие файлы были заблокированы или будут заблокированы (если используется режим принудительного применения только для аудита) и сколько раз событие блокировки возникало для каждого файла.
Дополнительные сведения о процедуре проверки см. в статье Проверка событий AppLocker с помощью Get-AppLockerFileInformation.
Просмотр событий AppLocker с помощью Test-AppLockerPolicy
С помощью командлета Test-AppLockerPolicy Windows PowerShell можно определить, влияют ли какие-либо правила в коллекциях правил на файлы, выполняемые на эталонном устройстве или на устройстве, на котором вы обслуживаете политики.
Дополнительные сведения о процедуре выполнения этого тестирования см. в разделе Тестирование политики AppLocker с помощью Test-AppLockerPolicy.
Просмотр событий AppLocker с помощью Get-AppLockerFileInformation
Для подписок на события и локальных событий можно использовать командлет Get-AppLockerFileInformation Windows PowerShell, чтобы определить, какие файлы были заблокированы или будут заблокированы (если применяется параметр Аудит только принудительного применения) и сколько раз событие блокировки возникало для каждого файла.
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.
Примечание.
Если журналы AppLocker не находятся на локальном устройстве, вам потребуется разрешение на просмотр журналов. Если выходные данные сохраняются в файл, вам потребуется разрешение на чтение этого файла.
Просмотр событий AppLocker с помощью Get-AppLockerFileInformation
В командной строке введите PowerShell и нажмите клавишу ВВОД.
Выполните следующую команду, чтобы проверить, сколько раз политика AppLocker не разрешала файл:
Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics
Выполните следующую команду, чтобы проверить, сколько раз файлу было разрешено или запрещено выполнение:
Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
Просмотр Просмотр событий входа в AppLocker
Если для принудительного применения политики AppLocker задано значение Принудительное применение правил, все файлы, которые не разрешены политикой, блокируются. В этом случае в журнале событий AppLocker для коллекции правил возникает событие. Если для применения политики AppLocker задано значение Только аудит, правила не применяются, но по-прежнему оцениваются для создания данных событий аудита, записываемых в журналы AppLocker.
Чтобы выполнить эту процедуру, необходимо быть членом локальной группы Администраторы или аналогичной группы.
Просмотр событий в журнале AppLocker с помощью Просмотр событий
- Чтобы открыть Просмотр событий, перейдите в меню Пуск, введите eventvwr.msc и нажмите клавишу ВВОД.
- В дереве консоли в разделе Журналы приложений и служб\Microsoft\Windows дважды щелкните AppLocker.
События AppLocker перечислены в журнале EXE и DLL , в журнале MSI и скриптов , а также в журнале упакованных приложений-развертываний или упакованных приложений-выполнения . Сведения о событии включают параметр принудительного применения, имя файла, дату и время, а также имя пользователя. Журналы можно экспортировать в другие форматы файлов для дальнейшего анализа.