Документирование структуры групповой политики и применения правил AppLocker

В этом планировочном разделе описано, что необходимо для изучения, определения и записи в плане политик управления приложением при использовании AppLocker.

Запись заключений

Чтобы создать этот планировочный документ AppLocker, необходимо сначала выполнить перечисленные ниже шаги.

  1. Определение целей по управлению приложениями

  2. Создайте список приложений, развернутых для каждой бизнес-группы.

  3. Выберите типы правил, которые необходимо создать.

  4. Определение структуры групповой политики и применения правил

После того, как вы определите, каким образом структурировать GPO, чтобы вы могли применить политики AppLocker, необходимо записать свои заключения. Вы можете использовать следующую таблицу, чтобы определить количество объектов групповой политики, которое нужно создать (или изменить), и объекты, с которыми они связаны. Если вы решили создавать настраиваемые правила, чтобы разрешить запуск системных файлов, запишите конфигурацию правила высокого уровня в столбце Использовать правило по умолчанию или задать новое условие правил.

В следующей таблице представлен образец данных, которые были собраны при определении параметров принудительного применения и структуры GPO для политик AppLocker.

Бизнес-группаПодразделениеПрименить AppLocker?ПриложенияПуть установкиИспользовать правило по умолчанию или задать новое условие правилРазрешить или запретитьИмя GPO

Сотрудники банка

Teller — восток и Teller — запад

Да

Программное обеспечение Teller

C \Program Files\Woodgrove\Teller.exe

Файл подписан; создать условие издателя

Разрешить

Tellers-AppLockerTellerRules

Файлы Windows

C:\Windows

Создать исключение пути для правила по умолчанию, чтобы исключить \Windows\Temp

Разрешить

Отдел кадров

HR-All

Да

Проверка выплаты

C:\Program Files\Woodgrove\HR\Checkcut.exe

Файл подписан; создать условие издателя

Разрешить

HR-AppLockerHRRules

Инициатор ведомости отработанного времени

C:\Program Files\Woodgrove\HR\Timesheet.exe

Файл не подписан; создать условие хэшей файлов

Разрешить

Internet Explorer 7

C \Program Files\Internet Explorer\

Файл подписан; создать условие издателя

Запретить

Файлы Windows

C:\Windows

Использовать правило по умолчанию для пути Windows

Разрешить

 

Следующие шаги

После того как вы определите структуру групповой политики и стратегию применения правил для каждого приложения бизнес-группы, выполните указанные ниже задачи.

 

 

Показ: