• Artykuł

Odkrywanie wpływu działania zasady AppLocker Udostępnij na: Facebook

Opublikowano: 10 czerwca 2010

W celu utworzenia dokumentacji, na potrzeby inspekcji lub przed zmodyfikowaniem zasad użytkownik może ocenić, jak obecnie jest stosowana zasada AppLocker. Zaktualizowanie dokumentu planowania wdrożenia zasady AppLocker pomaga śledzić swoje ustalenia. Aby uzyskać informacje na temat tworzenia takiego dokumentu, zobacz artykuł Tworzenie dokumentu planowania zasady AppLocker (j. ang.). Można wykonać poniższe kroki, aby zapoznać się z formantami aplikacji wymuszanymi aktualnie za pomocą reguł AppLocker.

*

Zawartość strony
Analizowanie dzienników funkcji AppLocker w Podglądzie zdarzeń  Analizowanie dzienników funkcji AppLocker w Podglądzie zdarzeń
Włączanie ustawienia wymuszania funkcji AppLocker: Tylko inspekcja  Włączanie ustawienia wymuszania funkcji AppLocker: Tylko inspekcja
Przegląd zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation  Przegląd zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation
Przegląd zdarzeń AppLocker za pomocą apletu polecenia Test-AppLockerPolicy  Przegląd zdarzeń AppLocker za pomocą apletu polecenia Test-AppLockerPolicy

 

Analizowanie dzienników funkcji AppLocker w Podglądzie zdarzeń

W przypadku ustawienia opcji Wymuś reguły dla funkcji wymuszania zasad AppLocker reguły są wymuszane w kolekcji reguł, a wszystkie zdarzenia są poddawane inspekcji. Natomiast wybranie opcji Tylko inspekcja powoduje, że reguły nie są wymuszane, ale nadal są szacowane w celu generowania danych zdarzeń inspekcji zapisywanych w dziennikach funkcji AppLocker.

W celu zakończenia tej procedury użytkownik musi być przynajmniej członkiem lokalnej grupy Administratorzy lub grupy równoważnej.

Wyświetlanie zdarzeń w dzienniku funkcji AppLocker za pomocą Podglądu zdarzeń

  1. Otwórz Podgląd zdarzeń. W tym celu kliknij przycisk Start, wprowadź ciąg eventvwr.msc w polu Wyszukaj programy i pliki, a następnie naciśnij klawisz ENTER.
  2. W drzewie konsoli pod pozycją Application and Services Logs\Microsoft\Windowskliknij dwukrotnie element AppLocker.

Zdarzenia funkcji AppLocker są dostępne w dzienniku Pliki EXE i DLL lub Pliki MSI i skrypty. Informacje o zdarzeniu obejmują ustawienie wymuszania, nazwę pliku, datę i godzinę oraz nazwę użytkownika. Dzienniki można eksportować do innych formatów plików w celu przeprowadzenia dalszej analizy.

Do początku strony Do początku strony

 

Włączanie ustawienia wymuszania funkcji AppLocker: Tylko inspekcja

Po utworzeniu reguł AppLocker w obrębie kolekcji reguł można skonfigurować ustawienie wymuszania: Wymuś reguły lub Tylko inspekcja.

W przypadku ustawienia opcji Wymuś reguły dla funkcji wymuszania zasad AppLocker reguły są wymuszane w kolekcji reguł, a wszystkie zdarzenia są poddawane inspekcji. Natomiast wybranie opcji Tylko inspekcja powoduje, że reguły są tylko szacowane, ale wszystkie zdarzenia wygenerowane podczas szacowania są zapisywane w dzienniku funkcji AppLocker.

Uwaga:

W przypadku kolekcji reguł bibliotek DLL tryb inspekcji nie jest dostępny. Reguły bibliotek DLL wpływają na określone aplikacje. W związku z tym wpływ tych reguł należy przetestować przed wdrożeniem ich. Aby włączyć kolekcję reguł DLL, zobacz artykułWdrażanie kolekcji reguł DLL (j.ang.).

 

To zadanie można wykonać za pomocą zasad grupy w kontekście zasady AppLocker w obiekcie zasad grupy lub za pomocą przystawki Zasady zabezpieczeń lokalnych na komputerze lokalnym.

Aby wykonać tę procedurę, użytkownik musi dysponować uprawnieniem Edytowanie ustawień i wyedytować obiekt zasad grupy. Domyślnie tym uprawnieniem dysponują członkowie grup Administratorzy domeny, Administratorzy przedsiębiorstwa i Twórcy-właściciele zasad grupy.

Przeprowadzenie inspekcji kolekcji reguł w obrębie obiektu zasad grupy za pomocą zasadę grupy

  1. Kliknij przycisk Start, wybierz pozycję Narzędzia administracyjne, a następnie kliknij pozycję Zarządzanie zasadami grupy, aby otworzyć Konsolę zarządzania zasadami grupy (GPMC)
  2. Znajdź obiekt zasad grupy zawierający kolekcję reguł, która zostanie poddana inspekcji, prawym przyciskiem myszy kliknij obiekt zasad grupy, a następnie kliknij polecenie Edytuj.
  3. W drzewie konsoli kliknij dwukrotnie pozycję Zasady sterowania aplikacjami, prawym przyciskiem myszy kliknij pozycje AppLocker, a następnie kliknij pozycję Właściwości.
  4. Na karcie Wymuszanie zaznacz pole wyboru Skonfigurowano odpowiadające kolekcji reguł, które mają zostać wymuszone, a następnie sprawdź, czy opcja Tylko inspekcja jest wybrana na liście odpowiadającej danej kolekcji reguł.
  5. Powtórz krok 4, aby skonfigurować ustawienie wymuszania Tylko inspekcja w przypadku dodatkowych kolekcji reguł.
  6. Kliknij przycisk OK.

W celu zakończenia tej procedury użytkownik musi być przynajmniej członkiem lokalnej grupy Administratorzy lub grupy równoważnej.

Przeprowadzenie inspekcji kolekcji reguł za pomocą przystawki Zasady zabezpieczeń lokalnych

  1. Kliknij przycisk Start, wprowadź ciąg secpol.msc w polu Wyszukaj programy i pliki, a następnie naciśnij klawisz ENTER.
  2. Po wyświetleniu okna dialogowego Kontrola konta użytkownika potwierdź poprawność wyświetlanej akcji, następnie kliknij przycisk Tak.
  3. W drzewie konsoli kliknij dwukrotnie pozycję Zasady sterowania aplikacjami, prawym przyciskiem myszy kliknij pozycje AppLocker, a następnie kliknij pozycję Właściwości.
  4. Na karcie Wymuszanie zaznacz pole wyboru Skonfigurowano odpowiadające kolekcji reguł, które mają zostać wymuszone, a następnie sprawdź, czy opcja Tylko inspekcja jest wybrana na liście odpowiadającej danej kolekcji reguł.
  5. Powtórz krok 4, aby skonfigurować ustawienie wymuszania Tylko inspekcja w przypadku dodatkowych kolekcji reguł.
  6. Kliknij przycisk OK.

Do początku strony Do początku strony

 

Przegląd zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation

W przypadku subskrypcji zdarzeń i zdarzeń lokalnych można użyć apletu polecenia Get-AppLockerFileInformation programu Windows PowerShell w celu określenia, które pliki zostały lub mogą zostać zablokowane (w przypadku stosowania ustawienia wymuszania Tylko inspekcja) i liczby wystąpień zdarzenia dla danego pliku.

W celu zakończenia tej procedury użytkownik musi być przynajmniej członkiem lokalnej grupyAdministratorzy lub grupy równoważnej.

Uwaga:

Przeglądanie dzienników funkcji AppLocker nieznajdujących się na komputerze lokalnym wymaga odpowiedniego uprawnienia. Odczyt danych wyjściowych zapisywanych w pliku również wymaga uprawnienia do odczytu tego pliku.

 

Przeglądanie zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation

  1. Otwórz okno wiersza polecenia.

  2. W wierszu polecenia wprowadź ciąg PowerShell, a następnie naciśnij klawisz ENTER.

  3. Uruchom następujące polecenie, aby zbadać, ile razy plik zostałby zablokowany, gdyby wymuszono reguły:
    Get-AppLockerFileInformation –EventLog –Logname "Microsoft-Windows-AppLocker\EXE and DLL" –EventType Audited –Statistics
    Uwaga:
    W przypadku subskrypcji zdarzeń należy określić ścieżkę do przesyłanego dalej dziennika zdarzeń parametru Nazwa logowania.

  4. Uruchom następujące polecenie, aby przejrzeć, ile razy plik zostałby dopuszczony lub zablokowany:
    Get-AppLockerFileInformation –EventLog –Logname "Microsoft-Windows-AppLocker\EXE and DLL" –EventType Allowed –Statistics

Do początku strony Do początku strony

 

Przegląd zdarzeń AppLocker za pomocą apletu polecenia Test-AppLockerPolicy

W celu określenia, czy jakakolwiek zasada w kolekcji zasad zostanie zablokowana na komputerach klienckich lub na komputerze, na którym są zachowane zasady, można użyć apletu polecenia Test-AppLockerPolicy programu Windows PowerShell. Na każdym komputerze, na którym są stosowane zasady AppLocker, należy wykonać poniższe czynności.

Te procedurę można wykonać za pomocą dowolnego konta użytkownika.

Testowanie zasady AppLocker za pomocą apletu polecenia Test-AppLockerPolicy

  1. Wyeksportuj obowiązującą zasadę AppLocker. W tym celu użyj apletu polecenia Get-AppLockerPolicy programu Windows PowerShell.

      Jako administrator otwórz okno wiersza polecenia programu Windows PowerShell. Aby zapoznać się z tą procedurą, zobacz sekcję „Uruchamianie programu Windows PowerShell” (j. ang.) dostępną w pliku WindowsPowerShellHelp.chm.
      Aby używać apletów polecenia funkcji AppLocker należy je najpierw wyeksportować do programu Windows PowerShell. W tym celu użyj polecenia: import-module AppLocker.
     
    Za pomocą apletu polecenia Get-AppLockerPolicy wyeksportuj obowiązującą zasadę AppLocker do pliku:
     

    Get-AppLockerPolicy –Effective –XML > <PathofFiletoExport.XML>

  2. Używając apletu polecenia Get-ChildItem, określ katalog, który zostanie przetestowany, określ aplet polecenia Test-AppLockerPolicy dotyczący pliku XML z poprzedniego kroku, aby przetestować zasadę i użyj apletu polecenia Export-CSV, aby wyeksportować wyniki do pliku, który zostanie przeanalizowany:

    Get-ChildItem <DirectoryPathtoReview> -Filter <FileExtensionFilter> -Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy <PathToExportedPolicyFile> -User <domain\username> -Filter <TypeofRuletoFilterFor> | Export-CSV <PathToExportResultsTo.CSV>

Poniżej przedstawiono przykładowe dane wejściowe dla apletu polecenia Test-AppLockerPolicy:

PS C:\ Get-AppLockerPolicy –Effective –XML &gt; C:\Effective.xml

PS C:\ Get-ChildItem 'C:\Program Files\Microsoft Office\' –filter *.exe –Recurse | Convert-Path | Test-AppLockerPolicy –XMLPolicy C:\Effective.xml –User contoso\zwie –Filter Denied,DeniedByDefault | Export-CSV C:\BlockedFiles.csv

W tym przykładzie obowiązująca zasada AppLocker zostanie wyeksportowana do pliku C:\Effective.xml. Aplet polecenia Get-ChildItem służy do rekursywnego pobierania nazw ścieżek w przypadku plików .exe w lokalizacji C:\Program Files\Microsoft Office\. Parametr XMLPolicy określa, że plik C:\Effective.xml jest plikiem XML zasady AppLocker. Po określeniu parametru Użytkownik można testować reguły dla określonych użytkowników; aplet polecenia Export-CSV pozwala na eksportowanie wyników do pliku zawierającego wartości rozdzielone przecinkami. W tym przykładzie polecenie -FilterDenied,DeniedByDefault powoduje wyświetlenie tylko tych plików, które w zasadzie będą zablokowane dla użytkownika.

Do początku strony Do początku strony