Поделиться через

Планирование управления политиками AppLocker

  • Статья

 

Применимо к:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Этот раздел описывает решения, которые необходимо внести для установления процессов для управления и обслуживания политики AppLocker.

Управление политикой

Перед началом процесса развертывания рекомендуется управление правила AppLocker. Разработка процесса управления AppLocker правил помогает гарантировать, AppLocker продолжает эффективно управлять как приложения могут выполняться в вашей организации.

Политика поддержки приложений и пользователей

Разработка процесса управления AppLocker правил помогает гарантировать, AppLocker продолжает эффективно управлять как приложения могут выполняться в вашей организации. Учитывать:

  • Какой тип поддержки конечных пользователей предоставляется для блокированных приложений?

  • Как добавляются новые правила политики

  • Способ обновления существующих правил

  • События перенаправляются на проверку?

Специалистов службы поддержки

Если ваша организация имеет отдела поддержки службы поддержки справки, установленных на месте, при развертывании политики AppLocker необходимо учитывайте следующее:

  • Какие документации подразделения поддержки требуется для нового развертывания политики?

  • Каковы критических процессов в каждом бизнес-группы в рабочий процесс и времени, будет влиять политики управления приложениями и может их влияния рабочей нагрузки отдела поддержки?

  • Являющиеся контактов в отделе поддержки?

  • Как решить проблемы управления приложений между конечным пользователем и кто поддерживает правила AppLocker отдела технической поддержки

Поддержка конечных пользователей

Так как AppLocker препятствует неутвержденного приложения, важно, организации тщательно спланировать для обеспечения поддержки конечных пользователей. Учитывать:

  • Вы хотите использовать сайт интрасети первую строку поддержки для пользователей, которым была предпринята попытка запустить приложение, заблокированных?

  • Как вы хотите поддерживает исключения для политики? Разрешить пользователям запускать сценарий временно разрешить доступ к заблокированного приложения?

С помощью узла интрасети

AppLocker можно настроить для отображения сообщения по умолчанию, но с настраиваемый URL-адрес. Можно использовать этот URL-адрес для перенаправления пользователей на сайт службы поддержки, который содержит сведения о том, почему пользователь полученных ошибки и списком разрешенных приложений. Если настраиваемый URL-адрес для сообщения не отображаются, когда приложение заблокировано, используется URL-адрес по умолчанию.

На рисунке показан пример сообщения об ошибке для блокировки приложения. Можно использоватьнабор ссылка на сайт поддержкипараметр политики для настройкисведенияссылку.

AppLocker blocked application error message

Сообщение об ошибке заблокированного приложения

Шаги, чтобы отобразить пользовательский URL-адрес для сообщения, в разделеотображать пользовательский URL-адрес сообщения при пользователи пытаются запустить приложение заблокировано(https://go.microsoft.com/fwlink/?LinkId=160265).

Событие управления AppLocker

Каждый раз, когда процесс запрашивает разрешение на запуск, AppLocker создает событие в журнал событий AppLocker. Сведения о событии, файл, который пытался выполнить атрибуты этого файла пользователя, который инициировал запрос и идентификатор GUID, который был использован для принятия AppLocker выполнения правила. Журнал событий AppLocker находится по следующему пути: Приложений и служб Logs\Microsoft\Windows\AppLocker. Журнал AppLocker включает три журнала:

  1. EXE и DLL. Содержит события для всех файлов, затронутых исполняемый файл и коллекции правил DLL (.exe, .com, DLL-файл и соответствующий).

  2. MSI-ФАЙЛ и сценарий. Содержит события для всех файлов, затронутых установщика Windows и сценариев коллекций правил (MSI-файл, MSP-файл, .ps1, .bat, .cmd, .vbs и .js).

  3. Упакованные приложения развертыванияилиупакованные приложения выполнениясодержит события для всех приложений Windows 8, затронутых упакованных приложений и упакованные приложения установщика коллекции правил (.appx).

Сбор этих событий в центральном расположении может помочь поддерживать политики AppLocker и устранения неполадок конфигурации правила. Событие коллекции технологий, таких как те, доступные в Windows позволяют администраторам подписаться на определенное событие каналы и статистически обработаны события с исходных компьютеров в журнал перенаправленных событий сборщика операционной системы Windows Server. Дополнительные сведения о настройке подписки на события см. в разделеНастройка компьютеров для сбора и переслать события(https://go.microsoft.com/fwlink/?LinkId=145012).

Обслуживание политик

Как развертывать новые приложения или обновлении существующих приложений издателем программного обеспечения, необходимо будет внести изменения в вашей коллекции правил, чтобы убедиться в политике.

Политики AppLocker можно изменить путем добавления, изменения или удаления правил. Однако нельзя указать версию политики путем импорта дополнительных правил. Чтобы обеспечить управление версиями при изменении политики AppLocker, используйте программное обеспечение для управления групповой политикой, позволяющий создавать версии объектов групповой политики (GPO). Примером такого программного обеспечения — это функция расширенного управления групповыми политиками из пакета Microsoft Desktop Optimization Pack. Дополнительные сведения о расширенного управления групповыми политиками см. в разделеРасширенный обзор управления групповой политикой(https://go.microsoft.com/fwlink/?LinkId=145013).

Предупреждение

Не следует изменять коллекции правил AppLocker, пока оно реализуется в групповой политике. Так как AppLocker определяет, какие файлы разрешается запускать, внесение изменений в динамической политики можно создать непредвиденное поведение.

Новая версия приложения, поддерживаемые

При развертывании новой версии приложения в организации, необходимо определить, следует ли продолжать поддерживать предыдущую версию этого приложения. Чтобы добавить новую версию, может потребоваться только создать новое правило для каждого файла, связанного с приложением. Если вы используете условия издателя и версия не указана, затем одного или нескольких существующих правил может быть достаточно разрешить обновленный файл для запуска. Необходимо убедиться, однако обновленное приложение не изменять имена файлов или добавить файлы для поддержки новых функциональных возможностей. В этом случае необходимо изменить существующие правила или создавать новые правила. Чтобы продолжить использовать правила на основе издателя без конкретной версии файла, необходимо также убедиться, что цифровая подпись файла идентична по-прежнему предыдущей версии — издатель, имя продукта и имя файла (если настроено в правиле) должен соответствовать всем правила для правильного применения.

Чтобы определить, был ли файл изменен во время обновления приложения, просмотрите сведения о версии издателя, в состав пакета обновления. Также можно обратиться к веб-странице издателя для получения этой информации. Каждый файл, можно проверить для определения версии.

Для файлов, разрешен или запрещен с условия хэша файла необходимо получить новый хэш файла. Чтобы добавить поддержку для новой версии и обеспечения поддержки более раннюю версию, можно либо создать новое правило хэша файла для новой версии или изменить существующее правило и добавьте новый хэш файла в список условий.

Для файлов с условиями пути следует убедиться, что путь установки не был изменен с указанной в правиле. Если путь был изменен, необходимо обновить правила перед установкой новой версии приложения.

Недавно развернутого приложения

Для поддержки нового приложения, необходимо добавить одно или несколько правил для существующей политики AppLocker.

Приложение больше не поддерживается.

Если организации определила, что он больше не поддерживает приложение, которое содержит связанные с ним правила AppLocker, чтобы запретить пользователям запускать приложения проще удалить эти правила.

Приложение блокируется, но должны

Файл может быть заблокирован по трем причинам:

  • Наиболее распространенная причина — что правил не существует, чтобы разрешить приложению для выполнения.

  • Может быть существующее правило, созданный для файла, который является слишком строгие.

  • Запрещающее правило, не могут быть переопределены явно блокирует файл.

Перед внесением изменений в коллекцию правил, сначала определите, какое правило Предотвращение запуска файла. Эту неполадку можно устранить с помощьюTest-AppLockerPolicyкомандлета Windows PowerShell. Дополнительные сведения об устранении неполадок AppLockerpolicy см. в разделетестирование и обновление политики AppLocker(https://go.microsoft.com/fwlink/?LinkId=160269).

Дальнейшие действия

После того как ваша организация будет управлять политикой AppLocker, запишите результаты.

  • Политика поддержки для конечных пользователей. Документирование процесс, который будет использоваться для обработки вызовов от пользователей, которые пытались выполнить блокировку и убедитесь, что технической поддержки очистить укрупнения шаги, чтобы администратор может обновлять политики AppLocker, при необходимости.

  • Обработка событий. Документирование ли события будут собраны в центральном расположении, называется хранилищем, как будут заархивированы хранилища, что события будут обрабатываться для анализа.

  • Обслуживание политик. Подробные сведения о том, как правила будут добавлены к политике, и какие объекты групповой Политики, определяются правилами.

Сведения и действия как документ процессов см. в разделеДокументирование процессов управления приложения управления.