.png "Windows 7")
Testowanie i aktualizowanie zasad AppLocker .png "Udostępnij na: Facebook")
Opublikowano: 8 czerwca 2010
Należy przetestować każdy zestaw zasad, aby upewnić się, że zasady są wykonywane zgodnie z zamysłem użytkownika. W przypadku korzystania z Zasady grupy w celu zarządzania zasadami AppLocker należy wykonać poniższe kroki w przypadku każdego obiektu zasad grupy (GPO), dla którego utworzono zasady AppLocker. Zasady AppLocker są dziedziczone z połączonych obiektów zasad grupy, dlatego też należy wdrożyć wszystkie zasady i równocześnie je testować we wszystkich testowych obiektach zasad grupy.
Zawartość strony
.gif){kind=icon} |
Krok 1: Włączanie ustawienia wymuszania: Tylko inspekcja |
|
Krok 2: Konfigurowanie automatycznego uruchamiania usługi Tożsamość aplikacji |
|
Krok 3: Testowanie zasady |
|
Krok 4: Analizowanie zdarzeń AppLocker |
|
Krok 5: Modyfikowanie zasady AppLocker |
|
Krok 6: Powtarzanie testowania, analizowania i modyfikowania zasady |
Krok 1: Włączanie ustawienia wymuszania: Tylko inspekcja
Używanie ustawienia wymuszania Tylko inspekcjazapewnia, że utworzone zasady AppLocker są prawidłowo skonfigurowane w kontekście danej organizacji. To ustawienie można włączyć na karcie Wymuszanie w oknie dialogowym Właściwości funkcji AppLocker. Aby zapoznać się z tą procedurą, zobacz sekcję Konfigurowanie zasady AppLocker: Tylko inspekcja (j.ang.).
.gif){kind=icon}
Do początku strony
Krok 2: Konfigurowanie automatycznego uruchamiania usługi Tożsamość aplikacji
Funkcja AppLocker korzysta z usługi tożsamości aplikacji w celu sprawdzenia atrybutów pliku, dlatego też należy skonfigurować ją, aby uruchamiała się automatycznie w dowolnym obiekcie zasad grupy, który stosuje reguły AppLocker. Aby zapoznać się z tą procedurą, zobacz artykuł Konfigurowanie usługi Tożsamość aplikacji (j.ang.). W przypadku zasad AppLocker zarządzanych przez obiekt zasad grupy należy się upewnić, że usługa jest uruchomiona na każdym komputerze; tylko w ten sposób można zapewnić stosowanie zasad.
Do początku strony
Krok 3: Testowanie zasady
Przetestowanie zasady AppLocker pozwala określić, czy kolekcja reguł wymaga modyfikacji. Użytkownik utworzył reguły AppLocker, włączył usługę Tożsamości aplikacji i ustawienie wymuszania Tylko inspekcja, dlatego też zasada AppLocker powinna być obecna na wszystkich komputerach klienckich skonfigurowanych do otrzymywania danej zasady AppLocker.
W celu określenia, czy jakakolwiek reguła w kolekcji reguł zostanie zablokowana na komputerach klienckich, można użyć apletu polecenia Test-AppLockerPolicy programu Windows PowerShell. Aby zapoznać się z tą procedurą, zobacz sekcję Testowanie zasady AppLocker za pomocą apletu polecenia Test-AppLockerPolicy (j.ang.).
Do początku strony
Krok 4: Analizowanie zdarzeń AppLocker
Zdarzenia AppLocker można analizować ręcznie lub użyć apletu polecenia Get-AppLockerFileInformationprogramu Windows PowerShell w celu zautomatyzowania procesu analizy.
Ręczne analizowanie zdarzeń AppLocker
Zdarzenia można przeglądać w Podglądzie zdarzeń lub w edytorze tekstów, a następnie sortować je i przeprowadzać analizę, polegającą np. na wyszukiwaniu wzorców w zdarzeniach użycia aplikacji, częstotliwościach dostępu lub dostępie wg grup użytkowników. Jeśli użytkownik nie skonfigurował subskrypcji zdarzeń, należy przeglądać dzienniki dostępne w komputerach w organizacji. Aby uzyskać więcej informacji na temat używania Podglądu zdarzeń, zobacz sekcję Przeglądanie dziennika funkcji AppLocker w Podglądzie zdarzeń.
Analizowanie zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation
Zdarzenia AppLocker można analizować ze zdalnego komputera za pomocą apletu polecenia Get-AppLockerFileInformation programu Windows PowerShell. Jeśli aplikacja jest niepotrzebnie blokowana, użycie apletu polecenia funkcji AppLocker ułatwia rozwiązanie problemu.
W przypadku subskrypcji zdarzeń i zdarzeń lokalnych można użyć apletu polecenia Get-AppLockerFileInformation w celu określenia, które pliki zostały lub mogą zostać zablokowane (w przypadku trybu wymuszania Tylko inspekcja) i liczby wystąpień zdarzenia dla danego pliku. Aby zapoznać się z tą procedurą, zobacz sekcję Przegląd zdarzeń AppLocker za pomocą apletu polecenia Get-AppLockerFileInformation (j.ang.).
Po użyciu apletu polecenia Get-AppLockerFileInformation w celu określenia, ile razy uruchomienie pliku zostałoby zablokowane, należy przejrzeć listę reguł, aby ustalić, czy nowa reguła ma zostać utworzona dla zablokowanego pliku lub czy istniejąca reguła nie jest określona zbyt ściśle. Należy również się upewnić, który obiekt zasad grupy obecnie zapobiega uruchamianiu pliku. W tym celu można użyć Kreatora wyników zasad grupy i wyświetlić nazwy reguł.
Do początku strony
Krok 5: Modyfikowanie zasady AppLocker
Po zidentyfikowaniu reguł, które wymagają edycji lub dodania do zasad, można użyć Konsoli zarządzania zasadami grupy, aby zmodyfikować reguły AppLocker w odpowiednich obiektach zasad grupy. W przypadku zasad AppLocker niezarządzanych przez obiekt zasad grupy można użyć przystawki Zasady zabezpieczeń lokalnych. Aby uzyskać informacje na temat modyfikowania zasady AppLocker, zobacz artykuł Edytowanie zasady AppLocker (j.ang.).
Do początku strony
Krok 6: Powtarzanie testowania, analizowania i modyfikowania zasady
Przed zastosowaniem egzekwowania należy powtarzać kroki od 3 do 5, dopóki wszystkie reguły nie będą wykonywane zgodnie z ich przeznaczeniem.
| Do początku strony |