Изменение политики AppLocker
В этом разделе для ИТ-специалистов описаны действия, которые необходимо выполнить для изменения политики AppLocker.
Изменение политики AppLocker производится путем добавления, изменения или удаления правил. Однако вы не можете создать новую версию политики, импортируя дополнительные правила. Чтобы изменить рабочую политику AppLocker, необходимо использовать ПО для управления групповой политикой, которое позволяет создавать версии объектов групповой политики (GPO). Если вы создали несколько политик AppLocker, и их нужно объединить для создания одной политики AppLocker, можно либо вручную объединить политики, либо использовать командлеты Windows PowerShell для AppLocker. Вы не можете автоматически объединять политики с помощью оснастки AppLocker. Вы должны создать одну коллекцию правил для двух или нескольких политик. Политика AppLocker сохраняется в формате XML, и экспортированную политику можно изменять с помощью любого текстового редактора или редактора XML. Подробнее об объединении политик см. в разделе Объединение политик AppLocker вручную или Объединение политик AppLocker с помощью набора Set-ApplockerPolicy.
Существует два метода, с помощью которых можно изменять политику AppLocker:
Изменение политики AppLocker с помощью групповой политики
Изменение политики AppLocker с помощью оснастки локальной политики безопасности
Изменение политики AppLocker с помощью групповой политики
Ниже приведены шаги по изменению политики AppLocker, распространяемой групповой политикой.
Шаг 1. Использование ПО для управления групповой политикой для экспорта политики AppLocker из GPO
AppLocker предоставляет функцию для экспорта и импорта политик AppLocker в форме XML-файла. Это позволяет вам изменить политику AppLocker вне вашей рабочей среды. Поскольку обновление политики AppLocker в развернутом GPO может привести к непредвиденным последствиям, необходимо сначала экспортировать политику AppLocker в XML-файл. Процедуры описаны в разделе Экспорт политики AppLocker из GPO.
Шаг 2. Импорт политики AppLocker в компьютер-образец AppLocker или компьютер, используемый для обслуживания политики
После экспорта политики AppLocker в XML-файл необходимо импортировать XML-файл на компьютер-образец, чтобы можно было изменять политику. Процедуры для импорта политики AppLocker см. в разделе Импорт политики AppLocker из другого компьютера.
Внимание
Импорт политики на другой компьютер перезапишет существующую политику на этом компьютере.
Шаг 3. Использование AppLocker для изменения и проверки правила
AppLocker предоставляет способы, чтобы изменять, удалять или добавлять правила к политике, изменяя правила в коллекции.
Процедуры для изменения правила см. в разделе Изменение правил AppLocker.
Процедуры для удаления правила см. в разделе Удаление правила AppLocker.
Процедуры для создания правил см. в разделах:
Шаги по тестированию политики AppLocker см. в разделе Тестирование и обновление политики AppLocker.
Процедуры для экспорта обновленной политики из компьютера-образца назад в GPO см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker в GPO.
Шаг 4. Использование AppLocker и групповой политики для импорта политики AppLocker назад в GPO
Процедуры для экспорта обновленной политики из компьютера-образца назад в GPO см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker в GPO.
Внимание
Не следует никогда изменять набор правил AppLocker, пока он применяется в групповой политике. Поскольку AppLocker управляет тем, какие файлы, могут быть запущены, при внесении изменений в действующую политику может возникнуть непредвиденное поведение. Дополнительные сведения о политиках тестирования см. в статье Тестирование и обновление политики AppLocker.
Примечание
Если вы выполняете эти шаги с помощью расширенного управления групповыми политиками Майкрософт (AGPM), проверьте GPO, прежде чем экспортировать политику.
Изменение политики AppLocker с помощью оснастки локальной политики безопасности
Шаги по изменению политики AppLocker, распределенной с помощью оснастки локальной политики безопасности (secpol.msc), включают в себя перечисленные ниже задачи.
Шаг 1. Импорт политики AppLocker
На компьютере, на котором вы обслуживаете политики, откройте оснастку AppLocker из локальной оснастки политики безопасности (secpol.msc). Если вы экспортировали политику AppLocker с другого компьютера, импортируйте ее на компьютер с помощью AppLocker.
После экспорта политики AppLocker в XML-файл необходимо импортировать XML-файл на компьютер-образец, чтобы можно было изменять политику. Процедуры для импорта политики AppLocker см. в разделе Импорт политики AppLocker из другого компьютера.
Внимание
Импорт политики на другой компьютер перезапишет существующую политику на этом компьютере.
Шаг 2. Определение и изменение правила для изменения, удаления или добавления
AppLocker предоставляет способы, чтобы изменять, удалять или добавлять правила к политике, изменяя правила в коллекции.
Процедуры для изменения правила см. в разделе Изменение правил AppLocker.
Процедуры для удаления правила см. в разделе Удаление правила AppLocker.
Процедуры для создания правил см. в разделах:
Шаг 3. Проверка влияния политики
Шаги по тестированию политики AppLocker см. в разделе Тестирование и обновление политики AppLocker.
Шаг 4. Экспорт политики в XML-файл и ее распространение на все целевые компьютеры
Процедуры для экспорта обновленной политики из компьютера-образца на целевые компьютеры см. в разделах Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker из другого компьютера.
Дополнительные ресурсы
- Действия для выполнения других задач политики AppLocker см. в разделе Администрирование AppLocker.