Настройка эталонного устройства AppLocker

В этой статье для ИТ-специалистов показано, как создать структуру платформы политик AppLocker на эталонном компьютере.

На эталонном устройстве AppLocker, которое используется для разработки и развертывания политик AppLocker, должны имитироваться структура каталогов и соответствующие приложения в подразделении (OU) или бизнес-группе для рабочей среды. На эталонном устройстве вы имеете следующие возможности.

• управлять списком приложений для каждой бизнес-группы;

• разрабатывать политики AppLocker, создавая правила вручную (по отдельности) или автоматически;

• создавать правила по умолчанию для правильного запуска системных файлов Windows;

• выполнять тесты и анализировать журналы событий, чтобы определить результат действия политик, развертывание которых вы планируете.

Эталонное устройство не нужно присоединять к домену, но оно должно быть способно импортировать и экспортировать политики AppLocker в формате XML. Эталонный компьютер должен работать под управлением одного из поддерживаемых выпусков Windows, перечисленных в статье Необходимые условия для использования AppLocker.

Предупреждение  

При создании правил AppLocker не следует использовать снимки операционной системы. Если сделать снимок операционной системы, установить приложение, создать правила AppLocker, а затем вернуться к чистому снимку и повторить процесс для другого приложения, то могут быть созданы дублированные идентификаторы GUID для правил. Если есть дублированные идентификаторы GUID, политики AppLocker не будут правильно работать.

Настройка эталонного устройства

1. Если операционная система еще не установлена, установите на устройстве один из поддерживаемых выпусков Windows.

   Примечание  

   Если для тестирования реализации политик AppLocker вы установили консоль управления групповыми политиками (GPMC) на другом устройстве, то можете экспортировать политики на то устройство.

    

2. Настройте учетную запись администратора.

   Чтобы обновлять локальные политики, необходимо быть членом локальной группы "Администраторы". Обновлять политики домена может член группы "Администраторы домена" или пользователь, которому были делегированы привилегии на использование групповой политики для обновления объекта групповой политики (GPO).

3. Установите все приложения, которые работают в целевой бизнес-группе или подразделении, используя такую же структуру каталогов, что и в рабочей среде.

   Эталонное устройство должно быть настроено для имитации структуры рабочей среды. Чтобы можно было точно создать правила, приложения должны находиться в тех же каталогах, что и в рабочей среде.

См. также

• Настроив эталонный компьютер, вы можете создать коллекции правил для AppLocker. Вы можете составлять, импортировать или автоматически создавать правила. Сведения о том, как это сделать, см. в статье Работа с правилами AppLocker.

• Использование эталонного устройства для создания и поддержки политик AppLocker