Wykorzystanie inspekcji do śledzenia aplikacji w użyciu
Opublikowano: 12 sierpnia 2010
Ustawienie wymuszenia Tylko inspekcja pomaga określić, które aplikacje są używane w organizacji. Kiedy zasady funkcji AppLocker dla zbioru reguł ustawione są na Tylko inspekcja, reguły z tego zbioru nie są wymuszone. Kiedy użytkownik uruchamia aplikację, której dotyczy reguła funkcji AppLocker, informacja na temat tej aplikacji zostaje dodana do dziennika zdarzeń funkcji AppLocker.
Uwaga: |
Niniejszy scenariusz zakłada wcześniejsze zapoznanie się z artykułem Generowanie reguł dla plików wykonywalnych z komputera wzorcowego. Możliwe jest jednak ukończenie procedur w niniejszym scenariuszu, w celu przetestowania dowolnych reguł, które zostały już zdefiniowane na komputerze wzorcowym. Jeśli pracujemy na wstępnie zdefiniowanym zbiorze reguł funkcji AppLocker, należy upewnić się, czy reguły domyślne zostały utworzone. |
Jeśli reguły domyślne nie zostały utworzone i nie mają możliwości wykonywania zadań administracyjnych, uruchom ponownie komputer w trybie awaryjnym, dodaj reguły domyślne, usuń wszelkie reguły odmowy uniemożliwiające dostęp, a następnie ponownie uruchom komputer w trybie normalnym.
Niniejszy scenariusz składa się z następujących kroków:
Zawartość strony
Krok 1: Konfigurowanie ustawienia wymuszenia inspekcji | |
Krok 2: Uruchamianie usługi Tożsamość aplikacji | |
Krok 3: Odświeżanie ustawień Zasad grupy na komputerze | |
Krok 4: Przegląd dziennika funkcji AppLocker w Podglądzie zdarzeń |
Krok 1: Konfigurowanie ustawienia wymuszenia inspekcji
Istnieją trzy tryby wymuszenia funkcji AppLocker. Gdy zasady funkcji AppLocker ulegają scaleniu, zarówno reguły, jak i tryby wymuszenia również się łączą. Podczas gdy wszystkie reguły z połączonych obiektów GPO są stosowane, w przypadku trybu wymuszenia używane jest najbliższe ustawienie obiektu GPO, z wyjątkiem ustawienia Nie skonfigurowano, które zostaje nadpisane przez inne połączone ustawienie.
Poniższa tabela wyszczególnia tryby wymuszenia.
Trybwymuszenia | Opis |
Nie skonfigurowany | Domyślny. Jeśli połączone obiekty GPO zawierają inne ustawienie, zostaje ono użyte. W przeciwnym razie, jeśli żadne reguły nie są obecne w analogicznym zbiorze reguł, zostają one wymuszone. |
Wymuś reguły | Reguły zostają wymuszone. |
Tylko inspekcja | Reguły podlegają inspekcji, ale nie zostają wymuszone. |
Przed włączenie wymuszenia reguł, najpierw przetestuj reguły poprzez użycie ustawienia wymuszenia Tylko inspekcja.
Konfigurowanie ustawienia wymuszenia dla zbioru Reguł dla plików wykonywalnych na Tylko inspekcja
- Aby otworzyć przystawkę Zasady zabezpieczeń lokalnych MMC, kliknij Start, w polu Wyszukaj programy i pliki wpisz secpol.msc, a następnie wciśnij ENTER.
- W drzewie konsoli dwukrotnie kliknij Zasady sterowania aplikacjami, a następnie dwukrotnie kliknij AppLocker.
- W okienku szczegółów przewiń w dół do nagłówka Konfiguruj wymuszanie reguł, a następnie kliknij Konfiguruj wymuszanie reguł.
- W oknie dialogowym Właściwości funkcji AppLocker w Reguły dla plików wykonywalnych, kliknij Tylko inspekcja, a następnie kliknij OK.
Po utworzeniu reguł domyślnych oraz uruchomieniu trybu inspekcji, należy wdrożyć zasady testowania, w celu testowania obiektu GPO oraz określenia, które aplikacje są w użyciu.
Do początku strony
Krok 2: Uruchamianie usługi Tożsamość aplikacji
Usługa Tożsamość aplikacji przeprowadza konwersję reguł dla zasad funkcji AppLocker. Aby można było ocenić zasady funkcji AppLocker na komputerze, uruchomiona musi zostać usługa Tożsamość aplikacji.
Aby uruchomić usługę Tożsamość aplikacji
- Kliknij Start, w polu Wyszukaj programy i pliki wpisz services.msc, a następnie wciśnij ENTER.
- W konsoli przystawki Usługi prawym przyciskiem myszy kliknij Tożsamość aplikacji, a następnie kliknij Właściwości.
- W menu Typ uruchomienia kliknij Automatyczny, a następnie kliknij OK.
- W konsoli przystawki Usługi prawym przyciskiem myszy kliknij Tożsamość aplikacji, a następnie kliknij Start, aby po raz pierwszy uruchomić usługę.
Uwaga: Rozważ użycie Zasad grupy, w celu automatycznego uruchomienia usługi na wszystkich komputerach, na których planowane jest wdrożenia funkcji AppLocker. Więcej informacji na temat konfigurowania Zasad grupy znajduje się w artykuleKonfigurowanie Zasad grupy, w celu ustawienia zabezpieczeńUsług systemowych (j.ang.).
Do początku strony
Krok 3: Odświeżanie ustawień Zasad grupy na komputerze
Po utworzeniu nowych reguł funkcji AppLocker, należy odświeżyć ustawienia Zasad grupy na komputerze, aby zagwarantować zastosowanie reguł funkcji AppLocker.
Aby odświeżyć ustawienia Zasad grupy
- Kliknij Start, kliknij Wszystkie programy, kliknij Akcesoria, prawym przyciskiem myszy kliknij Wiersz polecenia, a następnie kliknij Uruchom jako administrator.
- W wierszu polecenia wpisz gpupdate /force, a następnie wciśnij ENTER.
- Zaczekaj na komunikaty potwierdzające, że zasady użytkownika oraz komputera zostały zaktualizowane, a następnie zamknij okno.
Do początku strony
Krok 4: Przegląd dziennika funkcji AppLocker w Podglądzie zdarzeń
Dziennik funkcji AppLocker zawiera informacje na temat wszystkich aplikacji objętych regułami funkcji AppLocker. Dziennika można użyć do określenia, które aplikacje zostały objęte daną regułą. Każde zdarzenie w dzienniku operacyjnym funkcji AppLocker zawiera szczegółowe informacje na temat:
- tego, który plik jest objęty regułą oraz na temat ścieżki tego pliku.
- tego, czy plik jest dozwolony, czy zablokowany.
- typu reguły (ścieżki, skrótu pliku, lub wydawcy).
- nazwy reguły.
- Identyfikatora zabezpieczeń (SID) dla docelowego użytkownika, lub grupy.
Aby dokonać przeglądu dziennika funkcji AppLocker w Podglądzie zdarzeń
- Kliknij Start, w polu Wyszukaj programy i pliki wpisz eventvwr.msc, a następnie wciśnij ENTER.
- W konsoli drzewa Podglądu zdarzeń dwukrotnie kliknij Dzienniki aplikacji i usług, dwukrotnie kliknij Microsoft, dwukrotnie kliknij Windows, dwukrotnie kliknij AppLocker, a następnie kliknij EXE i DLL.
- Przejrzyj wpisy w okienku wyników, aby sprawdzić, czy jakiekolwiek aplikacje nie zostały zawarte w regułach wygenerowanych automatycznie. Na przykład, niektóre aplikacje LOB instalowane są w niestandardowych lokalizacjach, takich jak poziom główny aktywnego dysku (C:\).
Poniższa tabela opisuje poziomy zdarzeń, jakie mogą znajdować się w dzienniku.
ID zdarzenia | Poziom zdarzenia | Tekst zdarzenia | Opis |
8000 | Błąd | Konwersja zasad Tożsamości aplikacji nie powiodła się. Stan <%1> | Zasady nie zostały na komputerze zastosowane prawidłowo. Komunikat o stanie podany jest dla celów rozwiązywania problemów. |
8001 | Informacyjny | Zastosowanie na komputerze zasad funkcji AppLocker powiodło się. | Zastosowanie na komputerze zasad funkcji AppLocker powiodło się. |
8002 | Informacyjny | Zezwolono na uruchomienie <Nazwa pliku>. | Mówi o tym, że plik .exe, lub .dll został dopuszczony przez regułę funkcji AppLocker. |
8003 | Ostrzeżenie | Zezwolono na uruchomienie <Nazwa pliku>, ale gdyby zasady funkcji AppLocker zostały wymuszone, jego uruchomienie byłoby niemożliwe. | Mówi o tym, że plik zostałby zablokowany, jeśli tryb wymuszeniaWymuś reguły byłby włączony. Ten poziom zdarzeń widzimy tylko, gdy tryb wymuszenia ustawiony jest na Tylko inspekcja. |
8004 | Błąd | Nie zezwolono na uruchomienie <Nazwa pliku>. | Plik nie może zostać uruchomiony. Ten poziom zdarzeń widzimy tylko, gdy tryb wymuszenia ustawiony jest na Wymuś regułybezpośrednio, lub pośrednio przez dziedziczenie zasad grupy. |
8005 | Informacyjny | Zezwolono na uruchomienie <Nazwa pliku>. | Mówi, że plik, lub skrypt .msi jest dopuszczony przez regułę funkcji AppLocker. |
Do początku strony