.png "Windows 7")
Zarządzanie zasadami funkcji AppLocker .png "Udostępnij na: Facebook")
Opublikowano: 2 lipca 2010
Niniejszy temat opisuje zarządzanie regułami dotyczących zasad funkcji AppLocker.
Często spotykane scenariusze zarządzania funkcją AppLocker obejmują:
- Wdrożenie nowej aplikacji, co rodzi konieczność aktualizacji zasad funkcji AppLocker.
- Wdrożenie nowej wersji aplikacji, co rodzi potrzebę aktualizacji zasad funkcji AppLocker lub utworzenia nowej zasady aktualizującej tę regułę.
- Aplikacja przestaje być obsługiwana w danej organizacji, co powoduje potrzebę zapobiegnięcia jej używaniu.
- Aplikacja wydaje się być zablokowana, choć powinna być dopuszczona.
- Aplikacja wydaje się być dopuszczona, choć powinna być zablokowana.
- Pojedynczy użytkownik lub mała grupa użytkowników potrzebuje używać pewnej aplikacji, która jest zablokowana.
W miarę wdrażania nowych i usuwania istniejących aplikacji w organizacji, lub też aktualizacji aplikacji przez wydawcę oprogramowania, może zajść potrzeba wprowadzenia poprawek do istniejących reguł oraz aktualizacji obiektu zasad grupy (GPO), aby zapewnić aktualność używanych zasad.
Edycja zasad funkcji AppLocker może obejmować dodawanie, zmianę oraz usuwanie reguł. Nie można jednakże określić wersji zasad funkcji AppLocker przez zaimportowanie dodatkowych reguł. Aby zapewnić kontrolę wersji podczas modyfikowania zasad funkcji AppLocker, należy użyć oprogramowania do zarządzania zasadami grupy, które pozwala na tworzenie wersji obiektów GPO. Przykładem takiego oprogramowania jest narzędzie Microsoft Advanced Group Policy Management (AGPM). Aby uzyskać więcej informacji na temat narzędzia AGPM, należy przeczytać temat Omówienie zaawansowanego zarządzania zasadami grupy (j.ang.)
| Uwaga: |
| Nie należy edytować kolekcji reguł funkcji AppLocker, gdy jest ona wymuszana przez zasady grupy. Ponieważ funkcja AppLocker kontroluje, które pliki mogą być uruchamiane, dokonywanie zmian w trakcie, gdy zasady te są aktywne może spowodować nieoczekiwane zachowanie. |
Zawartość strony
.gif){kind=icon} |
Zarządzanie zasadami funkcji AppLocker za pomocą zasad grupy |
|
Zarządzanie zasadami funkcji AppLocker za pomocą przystawki zasad zabezpieczeń lokalnych |
Zarządzanie zasadami funkcji AppLocker za pomocą zasad grupy
W przypadku każdego scenariusza kroki, jakie trzeba podjąć w przypadku zarządzania zasadami funkcji AppLocker dystrybuowanymi przez zasady grupy obejmują wymienione niżej zadania.
Krok 1: Zrozumienie bieżącego sposobu działania zasad
Przed rozpoczęciem modyfikowania zasad należy ocenić sposób, w jaki zasady są aktualnie zaimplementowane. Dla przykładu, jeśli wdrożona jest nowa wersja aplikacji, możliwe jest użycie apletu polecenia Test-AppLockerPolicy w celu sprawdzenia efektywności bieżącej reguły dla danej aplikacji. Aby zapoznać się z procedurami koniecznymi do zrozumienia bieżącej sposobu działania zasad, należy przeczytać temat Odnajdywanie skutków zasad funkcji AppLocker (j.ang.). Aktualizacja dokumentu planowania funkcji AppLocker pomoże w śledzeniu wyników analizy. Aby uzyskać informacje na temat tworzenia tego dokumentu, należy przeczytać temat Tworzenie dokumentu planowania funkcji AppLocker (j.ang.). Aby uzyskać informacje na temat apletu polecenia Test-AppLockerPolicy oraz przykładów jego użycia, należy przeczytać temat Aplet polecenia Test-AppLockerPolicy (j.ang.).
Krok 2: Eksportowanie zasad funkcji AppLocker z obiektu GPO
Aktualizacja zasad funkcji AppLocker wymuszanej aktualnie w środowisku produkcyjnym może mieć niezamierzone skutki. Należy zatem wykonać eksport zasad z obiektu GPO i dokonać aktualizacji reguły lub reguł za pomocą funkcji AppLocker na komputerze referencyjnym lub testowym. Aby przygotować zasady funkcji AppLocker do modyfikacji, należy przeczytać temat Eksportowania zasad funkcji AppLocker z obiektu GPO (j.ang.).
Krok 3: Aktualizacja zasad funkcji AppLocker przez edycję odpowiedniej reguły funkcji AppLocker
Po wykonaniu eksportu zasad funkcji AppLocker z obiektu GPO na testowy lub referencyjny komputer z funkcją AppLocker, lub też uzyskaniu dostępu do tych zasad na komputerze lokalnym, możliwa jest modyfikacja określonych reguł zgodnie z potrzebami.
Aby zmodyfikować reguły funkcji AppLocker, należy zapoznać się z następującymi tematami:
- Edycja reguł funkcji AppLocker (j.ang.)
- Scalanie zasad funkcji AppLocker za pomocą apletu polecenia Set-AppLockerPolicy (j.ang.) lub Scalanie zasad funkcji AppLocker ręcznie (j.ang.)
- Usuwanie reguły funkcji AppLocker (j.ang.)
- Wymuszanie reguł funkcji AppLocker (j.ang.)
Krok 4: Testowanie zasad funkcji AppLocker
Każda kolekcja reguł powinna zostać przetestowana, aby upewnić się, że działa ona zgodnie z zamierzeniami. (Ponieważ reguły funkcji AppLocker są dziedziczone z połączonych obiektów GPO, wszystkie reguły powinny zostać wdrożone w każdym z testowych obiektów GPO w celu przeprowadzenia testowania jednoczesnego). Aby zapoznać się z krokami koniecznymi do przeprowadzenia testów, należy przeczytać temat Testowanie i uaktualnianie zasad funkcji AppLocker (j.ang.).
Krok 5: Importowanie zasad funkcji AppLocker do obiektu GPO
Po zakończeniu testowania należy zaimportować zasady funkcji AppLocker z powrotem do obiektu GPO w celu wdrożenia. Aby wykonać aktualizację obiektu GPO przy użyciu zmodyfikowanych zasad funkcji AppLocker, należy przeczytać temat Importowanie zasad funkcji AppLocker do obiektu GPO (j.ang.).
Krok 6: Monitorowanie sposobu działania zasad wynikowych
Po wdrożeniu zasad należy określić ich efektywność. Aby zapoznać się z krokami koniecznymi w celu zrozumienia nowego sposoby działania zasad, należy zapoznać się z tematem temat Odnajdywanie skutków zasad funkcji AppLocker (j.ang.).
.gif){kind=icon}
Do początku strony
Zarządzanie zasadami funkcji AppLocker za pomocą przystawki zasad zabezpieczeń lokalnych
W przypadku każdego scenariusza kroki, jakie trzeba podjąć w przypadku wykorzystania przystawki zasad zabezpieczeń lokalnych do zarządzania zasadami funkcji AppLocker dystrybuowanymi przez zasady grupy, obejmują następujące zadania.
Krok 1: Zrozumienie bieżącego sposobu działania zasad
Przed rozpoczęciem modyfikacji zasad należy ocenić sposób, w jaki zasady są aktualnie zaimplementowane. Aby zapoznać się z procedurami koniecznymi do zrozumienia bieżącej sposobu działania zasad, należy przeczytać temat Odnajdywanie skutków zasad funkcji AppLocker (j.ang.). Aktualizacja dokumentu planowania funkcji AppLocker pomoże w śledzeniu wyników analizy. Aby uzyskać informacje na temat tworzenia tego dokumentu, należy przeczytać temat Tworzenie dokumentu planowania funkcji AppLocker (j.ang.).
Krok 2: Aktualizacja zasad funkcji AppLocker przez edycję odpowiedniej reguły funkcji AppLocker
Reguły są zgrupowane w kolekcji, która może mieć włączone ustawienie wymuszania zasad. Domyślnie reguły funkcji AppLocker nie zezwalają użytkownikom na otwieranie ani uruchamianie jakichkolwiek plików, które nie są specjalnie dozwolone.
Aby zmodyfikować reguły funkcji AppLocker należy przeczytać odpowiedni temat w kolekcji Predecury dotyczące reguł funkcji AppLocker (j.ang.).
Krok 3: Testowanie zasad funkcji AppLocker
Każda kolekcja reguł powinna zostać przetestowana, aby upewnić się, że działa ona zgodnie z zamierzeniami. Aby zapoznać się z krokami koniecznymi do przeprowadzenia testów, należy przeczytać temat Testowanie i uaktualnianie zasad funkcji AppLocker (j.ang.).
Krok 4: Wdrożenie zasad ze zmodyfikowaną regułą
Aby wdrożyć zasady na innych komputerach działających pod kontrolą systemów Windows 7 lub Windows Server 2008 R2, możliwe jest wyeksportowanie oraz zaimportowanie zasad funkcji AppLocker. Aby wykonać to zadanie, należy zapoznać się z tematami Eksportowanie zasad funkcji AppLocker do pliku XML (j.ang.) oraz Importowanie zasad funkcji AppLocker z innego komputera (j.ang.).
Krok 5: Monitorowanie sposobu działania zasad wynikowych
Po wdrożeniu zasad należy określić ich efektywność. Aby zapoznać się z krokami koniecznymi w celu zrozumienia nowego sposoby działania zasad, należy zapoznać się z tematem Odnajdywanie skutków zasad funkcji AppLocker (j.ang.).
| Do początku strony |