Stosowanie zasad ograniczeń oprogramowania w przypadku zasad AppLocker

Udostępnij na: Facebook

Opublikowano: 21 czerwca 2010

W niniejszym artykule opisano stosowanie zasad ograniczeń oprogramowania (SRP) i zasad AppLocker w tym samym wdrożeniu w systemach Windows: Windows XP, Windows Server 2003, Server 2008 R2 i Windows 7.

*

Zawartość strony
Różnice między zasadami SRP i AppLocker  Różnice między zasadami SRP i AppLocker
Jednoczesne stosowanie zasad SRP i AppLocker  Jednoczesne stosowanie zasad SRP i AppLocker
Testowanie i sprawdzanie poprawności zasad SRP i AppLocker wdrażanych w jednym środowisku  Testowanie i sprawdzanie poprawności zasad SRP i AppLocker wdrażanych w jednym środowisku

 

Różnice między zasadami SRP i AppLocker

W przypadku systemów operacyjnych starszych niż Windows Server 2008 R2 lub Windows 7 można wdrożyć zasady sterowania aplikacjami. Zasad AppLocker można używać tylko w obsługiwanych systemach Windows Server 2008 R2 i Windows 7, natomiast zasad SRP można używać już na systemach Windows Server 2003 i Windows XP. Aby porównać cechy i funkcje zasad SRP i AppLocker w celu określenia przydatności danej technologii w danych rozwiązaniach dotyczących sterowania aplikacjami, zobacz artykuł Sterowanie aplikacjami — określanie celów (j. ang.).

Do początku strony Do początku strony

 

Jednoczesne stosowanie zasad SRP i AppLocker

W przypadku zasad SRP i AppLocker do zarządzania domeną używana jest zasada grupy. Jednakże gdy zarówno zasady SRP, jak i zasady AppLocker istnieją w tym samym obiekcie zasad grupy (GPO), to zasady AppLocker mają pierwszeństwo na komputerach z systemem Windows Server 2008 R2 lub Windows 7. Aby uzyskać informacje, w jaki sposób dziedziczenie w zasadach grupy stosuje się do zasad AppLocker i SRP, zobacz artykuł Opis reguł AppLocker i dziedziczenia ustawień wymuszania w zasadach grupy (j. ang.).

Przyjrzyjmy się przykładowi: w jaki sposób obydwa typy zasad wpływają na aplikację kasjera Teller. Należy przeanalizować scenariusz, gdy aplikacja jest wdrażana na wielu komputerach z systemem Windows, a zarządzana jest przez obiekt zasad grupy (GPO) Tellers.

 

System operacyjny Obiekt zasad grupy Tellers z zasadą AppLocker Obiekt zasad grupy Tellers z zasadą SRP Obiekt zasad grupy Tellers z zasadą SRP i AppLocker
Windows 7 Zasady AppLocker są stosowane w obiekcie zasad grupy i zastępują wszelkie lokalne zasady AppLocker. Lokalne zasady AppLocker zastępują wszelkie zasady SRP zastosowane przez obiekt zasad grupy. Zasady AppLocker są stosowane w obiekcie zasad grupy i zastępują zasady SRP w obiekcie zasad grupy i wszelkie zasady lokalne AppLocker lub zasady SRP.
Windows Vista Zasady AppLocker nie są stosowane. Zasady SRP są stosowane w obiekcie zasad grupy i zastępują wszelkie lokalne zasady SRP.Zasady AppLocker nie są stosowane. Zasady SRP są stosowane w obiekcie zasad grupy i zastępują wszelkie lokalne zasady SRP.Zasady AppLocker nie są stosowane.
Windows XP Zasady AppLocker nie są stosowane. Zasady SRP są stosowane w obiekcie zasad grupy i zastępują wszelkie lokalne zasady SRP.Zasady AppLocker nie są stosowane. Zasady SRP są stosowane w obiekcie zasad grupy i zastępują wszelkie lokalne zasady SRP.Zasady AppLocker nie są stosowane.

 

Uwaga:

Aby uzyskać informacje dotyczące obsługiwanych wersji i wydań systemów operacyjnych, zobacz artykułObsługiwane systemy operacyjne (j. ang.).

 

Do początku strony Do początku strony

 

Testowanie i sprawdzanie poprawności zasad SRP i AppLocker wdrażanych w jednym środowisku

Zasady SRP i AppLocker działają różnie, ale mogą się znajdować w tym samym obiekcie zasad grupy lub w połączonych obiektach zasad grupy, dlatego też testowanie wyników działania zasad ma decydujące znaczenie dla pomyślnego sterowania aplikacją w organizacji docelowej. Skonfigurowanie systemu testującego i dystrybuującego może pomóc w zrozumienia wyniku działania zasad. Wyniki działania zasad SRP i AppLocker należy testować oddzielnie i przy użyciu różnych narzędzi nawet w obrębie tego samego obiektu zasad grupy.

Krok 1: Testowanie wyników działania zasad SRP

W celu określenia wpływu stosowania zasad SRP za pomocą obiektów zasad grupy można użyć Konsoli zarządzania zasadami grupy (GPMC) lub przystawki Wynikowy zestaw zasad (RSoP). Aby uzyskać informacje na temat używania Wynikowego zestawu zasad (RSoP), zobacz artykuł Wynikowy zestaw zasad (j. ang.). Aby uzyskać informacje na temat stosowania Konsoli zarządzania zasadami grupy, zobacz artykuł Konsola zarządzania zasadami grupy (j. ang.).

Krok 2: Testowanie wyników działania zasad AppLocker

Zasady AppLocker można przetestować za pomocą apletów polecenia programu Windows PowerShell. Aby uzyskać informacje na temat badania wyników działania zasad, zobacz sekcje Testowanie zasady AppLocker za pomocą apletu polecenia Test-AppLockerPolicy (j.ang.) i Przegląd zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation (j.ang.).

Innym sposobem używanym podczas określania wyniku działania zasady jest ustawienie trybu egzekwowania: tylko inspekcja. Po wdrożeniu zasady zdarzenia będą zapisywane w dziennikach funkcji AppLocker, tak jak gdyby zasada została wymuszona. Aby uzyskać informacje na temat używania trybu tylko inspekcja, zobacz sekcje Opis ustawień wymuszania w funkcji AppLocker (j.ang.) i Konfigurowanie zasady AppLocker: Tylko inspekcja (j.ang.).

Do początku strony Do początku strony