Тестирование и обновление политики AppLocker
В этой статье рассматриваются действия, необходимые для тестирования политики AppLocker перед развертыванием.
Необходимо протестировать каждый набор правил, чтобы убедиться, что правила выполняются должным образом. Если вы используете групповая политика для управления политиками AppLocker, выполните следующие действия для каждого объекта групповая политика, содержащего правила AppLocker. Так как правила AppLocker наследуются от связанных объектов групповой политики, следует развернуть все правила для одновременного тестирования во всех тестовых объектах групповой политики.
Шаг 1. Включение параметра принудительного применения только для аудита
Используйте параметр Режим применения только аудита , чтобы убедиться, что правила AppLocker правильно настроены для вашей организации без блокировки кода. Этот параметр можно включить на вкладке Принудительное применение диалогового окна Свойства AppLocker . Сведения о процедуре настройки см. в разделе Настройка политики AppLocker только для аудита.
Шаг 2. Настройка автоматического запуска службы удостоверений приложений
Так как AppLocker использует службу удостоверений приложений для проверки атрибутов файла, необходимо настроить ее для автоматического запуска в любом объекте групповой политики, в котором применяются правила AppLocker. Дополнительные сведения см. в разделе Настройка службы удостоверений приложений. Если вы не развертываете политики AppLocker с помощью объекта групповой политики, необходимо убедиться, что служба запущена на каждом компьютере, чтобы применить политики.
Шаг 3. Тестирование политики
Протестируйте политику AppLocker, чтобы определить, требуется ли изменить коллекцию правил. Политика AppLocker должна быть активной в режиме аудита только на всех клиентских компьютерах, настроенных для получения политики AppLocker.
Командлет Test-AppLockerPolicy Windows PowerShell можно использовать, чтобы определить, заблокирован ли какой-либо код, выполняемый на эталонных компьютерах, правилами в коллекции правил. Сведения о процедуре выполнения этого тестирования см. в статье Тестирование политики AppLocker с помощью Test-AppLockerPolicy.
Шаг 4. Анализ событий AppLocker
Вы можете вручную проанализировать события AppLocker или использовать командлет Get-AppLockerFileInformation Windows PowerShell для автоматизации анализа.
Анализ событий AppLocker вручную
Используйте Просмотр событий или текстовый редактор для просмотра и сортировки событий AppLocker для анализа. Вы можете искать шаблоны в событиях использования приложений, частоте доступа или доступе по группам пользователей. Если у вас не настроена подписка на события, вы можете просмотреть журналы на выборке компьютеров в вашей организации. Дополнительные сведения об использовании Просмотр событий см. в статье Мониторинг использования приложений с помощью AppLocker.
Анализ событий AppLocker с помощью Get-AppLockerFileInformation
Для анализа событий AppLocker с удаленного компьютера можно использовать командлет Get-AppLockerFileInformation Windows PowerShell. Если приложение заблокировано и должно быть разрешено, можно использовать командлеты AppLocker, чтобы устранить проблему.
Для подписок на события и локальных событий можно использовать командлет Get-AppLockerFileInformation , чтобы определить, какие файлы не разрешены политикой и сколько раз произошло событие для каждого файла. Сведения о процедуре мониторинга см. в статье Мониторинг использования приложений с помощью AppLocker.
Затем просмотрите список правил, чтобы определить, следует ли создать новое правило для заблокированного файла или же существующее правило слишком строго определено. Убедитесь, что вы проверка, какой объект групповой политики в настоящее время препятствует запуску файла. Чтобы определить этот объект групповой политики блокировщика, можно использовать мастер групповая политика результатов для просмотра имен правил.
Шаг 5. Изменение политики AppLocker
Когда вы узнаете, какие правила нужно изменить или добавить в политику, используйте консоль управления групповая политика, чтобы изменить правила AppLocker в соответствующих GPO. Если вы не управляете политиками AppLocker с помощью объекта групповой политики, можно использовать оснастку "Локальная политика безопасности" (secpol.msc). Сведения об изменении политики AppLocker см. в статье Изменение политики AppLocker.
Шаг 6. Повторение тестирования, анализа и изменения политики
Повторите предыдущие шаги 3–5, пока все правила не будут выполняться должным образом перед применением принудительного применения.
Другие ресурсы
- Инструкции по выполнению других задач политики AppLocker см. в разделе Администрирование AppLocker.