Поддержка политик AppLocker
В этом разделе описывается поддержка правил в рамках политик AppLocker.
Общие сценарии поддержки AppLocker включают в себя описанные ниже действия.
Разворачивается новое приложение, после чего необходимо обновить политику AppLocker.
Разворачивается новая версия приложения, после чего необходимо или обновить политику AppLocker или создать новое правило, чтобы обновить политику.
Приложение больше не поддерживается вашей организацией, поэтому необходимо предотвратить его использование.
Приложение оказывается заблокированным, но должно быть разрешено.
Приложение оказывается разрешенным, но должно быть заблокировано.
Одному пользователю или небольшому подмножеству пользователей необходимо использовать конкретное приложение, которое заблокировано.
Существует два метода, которые можно использовать для поддержки политик AppLocker.
Поддержка политик AppLocker с помощью групповой политики
Поддержка политик AppLocker на локальном компьютере
По мере развертывания вашей организацией новых приложений, удаления существующих приложений или обновления ПО издателем, вам, возможно, потребуется пересматривать правила и обновлять объект групповой политики (GPO) для поддержки актуального состояния политики.
Изменение политики AppLocker производится путем добавления, изменения или удаления правил. Однако нельзя указать версию политики AppLocker, импортировав дополнительные правила. Для обеспечения управления версиями при изменении политики AppLocker используйте ПО для управления групповыми политиками, которое позволяет создавать версии GPO.
Внимание
Не следует изменять набор правил AppLocker, пока он применяется в групповой политике. Поскольку AppLocker управляет тем, какие файлы, могут быть запущены, при внесении изменений в действующую политику может возникнуть непредвиденное поведение.
Поддержка политик AppLocker с помощью групповой политики
Для каждого сценария действия по поддержке политики AppLocker, распределяемой групповой политикой, включают следующие задачи.
Шаг 1. Определение текущего поведения политики
Прежде чем изменить политику, проанализируйте ее работу в данный момент. Например, если развернута новая версия приложения, вы можете использовать Test-AppLockerPolicy для проверки эффективности текущей политики для этого приложения.
Шаг 2. Экспорт политики AppLocker из GPO
Обновление политики AppLocker, которая в настоящее время принудительно применяется в вашей рабочей среде, может иметь непредвиденные результаты. Поэтому экспортируйте политику из GPO и обновите правило или правила с помощью AppLocker на компьютере-образце или тестовом компьютере AppLocker. Действия по подготовке политики AppLocker к изменению см. в разделе Экспорт политики AppLocker из GPO.
Шаг 3. Обновление политики AppLocker путем изменения соответствующего правила AppLocker
После экспорта политики AppLocker из GPO на компьютер-образец или тестовый компьютер AppLocker или ее оценки на локальном компьютере, можно изменять конкретные правила по мере необходимости.
Действия по изменению правил AppLocker см. в следующих разделах.
Объединение политик AppLocker с помощью команды Set-ApplockerPolicy или Объединение политик AppLocker вручную
Шаг 4. Тестирование политики AppLocker
Необходимо проверить каждую коллекцию правил, чтобы убедиться в их надлежащем выполнении. (Так как правила наследуются AppLocker от связанных объектов групповой политики, необходимо развернуть все правила для синхронного тестирования во всех тестовых объектах групповой политики.) Действия для выполнения такого тестирования см. в разделе Тестирование и обновление политики AppLocker.
Шаг 5. Импорт политики AppLocker в GPO
После тестирования импортируйте политику AppLocker обратно в GPO для ее применения. Обновление GPO с измененной политикой AppLocker описано в разделе Импорт политики AppLocker в GPO.
Шаг 6. Проверка итогового поведения политики
После развертывания политики оцените ее эффективность.
Поддержка политик AppLocker с помощью оснастки локальной политики безопасности
Для каждого сценария действия для поддержания политики AppLocker с помощью редактора локальной групповой политики или оснастки локальной политики безопасности включают в себя следующие задачи.
Шаг 1. Определение текущего поведения политики
Прежде чем изменить политику, проанализируйте ее работу в данный момент.
Шаг 2. Обновление политики AppLocker путем изменения соответствующего правила AppLocker
Правила группируются в коллекцию, которая может иметь примененный к ней параметр принудительного применения политики. По умолчанию правила AppLocker не разрешают пользователям открывать или выполнять любые файлы, которые специально не разрешены.
Действия для изменения правил AppLocker см. в соответствующем разделе темы Администрирование AppLocker.
Шаг 3. Тестирование политики AppLocker
Необходимо проверить каждую коллекцию правил, чтобы убедиться в их надлежащем выполнении. Действия для выполнения такого тестирования см. в разделе Тестирование и обновление политики AppLocker.
Шаг 4. Развертывание политики с измененным правилом
Можно экспортировать, а затем импортировать политики AppLocker, чтобы развернуть политику на других компьютерах под управлением Windows 8 или более поздней версии. Чтобы выполнить эту задачу, см. разделы Экспорт политики AppLocker в XML-файл и Импорт политики AppLocker с другого компьютера.
Шаг 5. Проверка итогового поведения политики
После развертывания политики оцените ее эффективность.
Дополнительные ресурсы
- Действия для выполнения других задач политики AppLocker см. в разделе Администрирование AppLocker.