Создание списка приложений, развернутых для каждой бизнес-группы

В этом разделе описывается процесс сбора требований для использования приложений из каждой бизнес-группы, чтобы реализовать политики управления приложениями с помощью AppLocker.

Определение использования приложений

Для каждой бизнес-группы определите перечисленные ниже элементы.

• Полный список используемых приложений, в том числе разные версии одного приложения.

• Путь полной установки приложения.

• Издатель и состояние подписи каждого приложения.

• Тип требования, которое бизнес-группы установили для каждого приложения, например "критически важное", "производительность бизнеса", "необязательное" или "личное". Кроме того, может быть полезно определить, какие приложения поддерживаются или не поддерживаются вашим ИТ-отделом или поддерживаются другими пользователями вне вашего контроля.

• Список файлов или приложений, для установки или запуска которых требуются учетные данные администратора. Если для установки или запуска файла требуются учетные данные администратора, пользователи, которые не могут их предоставить не смогут запускать файл, даже если файл явно разрешен политикой AppLocker. Даже при применении политик AppLocker только участники группы "Администраторы" могут устанавливать и запускать файлы, для которых требуются учетные данные администратора.

Как оценить использование приложений

Несмотря на то что у вас, возможно, уже имеется метод оценки использования приложений каждой бизнес-группой, вам необходимо будет использовать эти сведения, чтобы создать коллекцию правил AppLocker. AppLocker содержит мастер автоматического создания правил и конфигурацию принудительного применения Только аудит, чтобы помочь вам в планировании и создании вашей коллекции правил.

Методы инвентаризации приложения

Использование мастера автоматического создания правил позволяет быстро создавать правила для приложений, которые вы укажете. Мастер специально разработан для построения коллекции правил. Вы можете оснастку локальной политики безопасности, чтобы просматривать и изменять правила. Этот метод очень полезен при создании правил из компьютера-образца и создании и оценке политик AppLocker в тестовой среде. Однако он требует, чтобы файлы были доступны на компьютере-образце или через сетевой диск. Это может означать необходимость в дополнительной настройке компьютера-образца и определении политики обслуживания для данного компьютера.

Использование метода принудительного применения Только аудит позволяет просматривать журналы, поскольку он собирает сведения о каждом процессе на компьютерах, принимающих объект групповой политики (GPO). Поэтому вы можете видеть результат принудительного применения на компьютерах в бизнес-группе. AppLocker содержит командлеты Windows PowerShell, которые можно использовать для анализа событий из журнала событий и командлетов для создания правил. Однако при использовании групповой политики для развертывания на нескольких компьютерах собирание событий в центральном расположении является крайне важным для управляемости. Поскольку AppLocker записывает в журнал сведения о файлах, которые пользователи или другие процессы запускают на компьютере, вы в начале можете пропустить создание некоторых правил. Поэтому вы должны продолжать свою оценку, пока не убедитесь, что все требуемые приложения, которые разрешены для запуска, успешно открыты.

Совет  

В случае запуска средства проверки приложений для пользовательского приложения с включенными какими-либо политиками AppLocker, указанное средство может блокировать запуск приложения. Следует отключить средство проверки приложений или AppLocker.

Вы можете создать список универсальных приложений для Windows на устройстве с помощью двух методов: с помощью командлета Windows PowerShell Get-AppxPackage или с помощью консоли AppLocker.

В следующих разделах Пошагового руководства AppLocker описано, как применять каждый метод:

• Автоматическое создание исполняемых правил на компьютере-образце

• Использование аудита для отслеживания используемых приложений

Необходимые условия для выполнения инвентаризации

Определите бизнес-группу и все ее организационные подразделения, к которым будут применены политики управления приложением. Кроме того, необходимо определить, является ли AppLocker наиболее подходящим решением для этих политик. Подробнее об этих шагах см. в следующих разделах:

• Общие сведения о проектировании политик AppLocker

• Определение целей по управлению приложениями

Следующие шаги

Определите и разработайте список приложений. Запишите название приложения, сведения о том, подписано ли оно именем издателя, и о том, является ли критически важным, предназначенным для повышения производительности бизнеса, необязательным или личным. Запишите путь установки приложений. Сведения о том, как это сделать, см. в разделе Документирование списка приложений.

После того как вы создали список приложений, определите коллекции правил, которые станут политиками. Эти сведения можно добавить в таблицу со столбцами со следующими подписями:

• Использовать правило по умолчанию или задать новое условие правил

• Разрешить или запретить

• Имя GPO

Чтобы это сделать, см. следующие разделы:

• Выбор типов создаваемых правил

• Определение структуры групповой политики и применения правил