Документирование процессов управления приложениями
В этом разделе по планированию описаны сведения об обслуживании политики AppLocker для записи для документа по разработке.
Запись заключений
Чтобы создать этот планировочный документ AppLocker, необходимо сначала выполнить перечисленные ниже шаги.
Создайте список приложений, развернутых для каждой бизнес-группы.
Определение структуры групповой политики и применения правил
Далее указаны три ключевые области, которые следует определить для управления политикой AppLocker.
Политика поддержки
Документально оформите процесс, который вы будете использовать для обработки звонков от пользователей, попытавшихся запустить заблокированное приложение, и убедитесь, что сотрудники службы поддержки знают рекомендуемые действия по устранению неполадок и точки эскалации для вашей политики.
Обработка событий
Укажите в документации, будут ли события собираться в центральном хранилище, как это хранилище будет архивироваться, а также будут ли события обрабатываться для анализа.
Обслуживание политик
Подробно опишите порядок добавления правил в политику, то, в каком объекте групповой политики должны быть определены правила, и порядок изменения правил при обновлении или добавлении приложений, а также при их выводе из эксплуатации.
В таблице ниже содержится добавленный пример данных, которые были собраны при определении того, как обслуживать политики AppLocker и управлять ими.
| Бизнес-группа | Подразделение | Применить AppLocker? | Приложения | Путь установки | Использовать правило по умолчанию или задать новое условие правил | Разрешить или запретить | Имя GPO | Политика поддержки |
|---|---|---|---|---|---|---|---|---|
Сотрудники банка |
Teller — восток и Teller — запад |
Да |
Программное обеспечение Teller |
C \Program Files\Woodgrove\Teller.exe |
Файл подписан; создать условие издателя |
Разрешить |
Tellers-AppLockerTellerRules |
Справка в Интернете |
Файлы Windows |
C:\Windows |
Создать исключение пути для правила по умолчанию, чтобы исключить \Windows\Temp |
Разрешить |
Служба технической поддержки |
||||
Отдел кадров |
HR-All |
Да |
Проверка выплаты |
C:\Program Files\Woodgrove\HR\Checkcut.exe |
Файл подписан; создать условие издателя |
Разрешить |
HR-AppLockerHRRules |
Справка в Интернете |
Инициатор ведомости отработанного времени |
C:\Program Files\Woodgrove\HR\Timesheet.exe |
Файл не подписан; создать условие хэшей файлов |
Разрешить |
Справка в Интернете |
||||
Internet Explorer 7 |
C \Program Files\Internet Explorer\ |
Файл подписан; создать условие издателя |
Запретить |
Справка в Интернете |
||||
Файлы Windows |
C:\Windows |
Использовать правило по умолчанию для пути Windows |
Разрешить |
Служба технической поддержки |
В следующих двух таблицах проиллюстрированы примеры документирования рекомендаций по обслуживанию политик AppLocker и управлению ними.
Политика обработки событий
Один из методов обнаружения для использования приложений — установить для режима принудительного применения AppLocker значение Только аудит. Благодаря этому будет выполняться запись событий в журналы AppLocker, которыми можно управлять и которые можно анализировать, как и другие журналы Windows. После определения приложений можно начать разработку политик для обработки событий AppLocker и доступа к ним.
Следующая таблица является примером рекомендаций и записи.
| Бизнес-группа | Расположение коллекции событий AppLocker | Политика архивации | Проанализировано? | Политика безопасности |
|---|---|---|---|---|
Сотрудники банка |
Направлено в: репозиторий событий AppLocker на srvBT093 |
Стандартный |
Нет |
Стандартный |
Отдел кадров |
НЕ ПЕРЕНАПРАВЛЯТЬ. srvHR004 |
60 месяцев |
Да; сводные отчеты для менеджеров ежемесячно |
Стандартный |
Политика обслуживания политики
Когда приложения определены и политики созданы для управления приложением, вы можете разрабатывать документировать как планируется обновлять эти политики.
Следующая таблица является примером рекомендаций и записи.
| Бизнес-группа | Политика обновления правила | Политика вывода приложений из эксплуатации | Политика версий приложения | Политика развертывания приложения |
|---|---|---|---|---|
Сотрудники банка |
Запланировано: ежемесячно через сортировку офиса Чрезвычайная ситуация: запросить через службу поддержки |
Через сортировку офиса Требуется уведомление за 30 дней |
Общая политика: хранить прошлые версии в течение 12 месяцев Список политик для каждого приложения |
Координируется через офис Требуется уведомление за 30 дней |
Отдел кадров |
Запланировано: ежемесячно через сортировку отделом кадров Чрезвычайная ситуация: запросить через службу поддержки |
Через сортировку отделом кадров Требуется уведомление за 30 дней |
Общая политика: хранить прошлые версии в течение 60 месяцев Список политик для каждого приложения |
Координируется через отдел кадров Требуется уведомление за 30 дней |
Следующие шаги
После определения стратегии управления контролем за приложением для каждого приложения бизнес-группы остается следующая задача: