Мониторинг использования приложений с помощью AppLocker
В этом разделе для ИТ-специалистов описан мониторинг использования приложений, когда применяются политики AppLocker.
После того как будут установлены правила и выполнено развертывание политик AppLocker, рекомендуется проверить правильность реализации политики.
Выяснение результатов действия политики AppLocker
Вы можете оценить, как политика AppLocker в настоящее время реализуется в целях документации или аудита, либо сделать это перед изменением политики. Обновление документа с планом развертывания AppLocker поможет вам отследить найденные результаты. Сведения о создании этого документа см. в разделе Создание документа по планированию AppLocker. Можно выполнить один или несколько из приведенных далее шагов, чтобы понять, какие средства управления приложениями сейчас применяются в рамках правил AppLocker.
Анализ журналов AppLocker в разделе «Просмотр событий»
Если у применения политики AppLocker задан параметр Принудительное применение правил, заданные правила принудительно применяются к коллекции правил и выполняется аудит всех событий. Если у применения политики AppLocker задан параметр Только аудит, то правила не применяются, однако по-прежнему по ним выполняется оценка для создания данных аудита событий, записываемых в журналы AppLocker.
Порядок доступа к журналу см. в разделе Просмотр журнала AppLocker в разделе «Просмотр событий».
Включение параметра принудительного применения AppLocker «Только аудит»
С помощью параметра принудительного применения Только аудит можно гарантировать правильную настройку правил AppLocker в вашей организации. Если для применения политики AppLocker задан параметр Только аудит, выполняется только проверка по правилам, а все события, создаваемые в результате этой проверки, записываются в журнал AppLocker.
Процедура для выполнения этого действия описана в разделе Настройка политики AppLocker только для аудита.
Просмотр событий AppLocker с помощью Get-AppLockerFileInformation
Как для подписки на события, так и для подписки на местные события можно с помощью командлета Windows PowerShell Get-AppLockerFileInformation определять, какие файлы были заблокированы или были бы заблокированы (при использовании режима применения «Только аудит»), а также количество произошедших событий для каждого файла.
Соответствующую процедуру см. в разделе Просмотр событий AppLocker с помощью Get-AppLockerFileInformation.
Просмотр событий AppLocker с помощью Test-AppLockerPolicy
С помощью командлета Windows PowerShell Test-AppLockerPolicy можно определять, будут ли заблокированы какие-либо правила в коллекциях правил на эталонном устройстве, где поддерживаются политики.
Процедуру для выполнения этого действия см. в разделе Тестирование политики AppLocker с помощью Test-AppLockerPolicy.
Просмотр событий AppLocker с помощью Get-AppLockerFileInformation
И для подписки на события, и для подписки на локальные события с помощью командлета Windows PowerShell Get-AppLockerFileInformation можно определять, какие файлы были заблокированы или были бы заблокированы (если используется параметр принудительного применения Только аудит), а также количество произошедших событий для каждого файла.
Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
Примечание
Если журналов AppLocker нет на локальном устройстве, то вам понадобится разрешение на просмотр журналов. Если вывод сохранен в файл, вам потребуется разрешение на его считывание.
.gif "Mt431800.wedge(ru-ru,VS.85).gif")
Для просмотра событий AppLocker с помощью Get-AppLockerFileInformation сделайте следующее.
В командной строке введите PowerShell и нажмите клавишу ВВОД.
Выполните приведенную ниже команду, чтобы узнать, сколько раз выполнение файла было бы заблокировно, если бы работало принудительное применение правил.
Get-AppLockerFileInformation –EventLog –EventType Audited –StatisticsВыполните приведенную ниже команду, чтобы узнать, сколько раз выполнение файла было бы разрешено или заблокировано.
Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics
Просмотр журнала AppLocker в разделе «Просмотр событий».
Если у применения политики AppLocker задан параметр Принудительное применение правил, заданные правила принудительно применяются к коллекции правил и выполняется аудит всех событий. Если для применения политики AppLocker задан параметр Только аудит, выполняется только проверка по правилам, а все события, создаваемые в результате этой проверки, записываются в журнал AppLocker.
Чтобы выполнить эту процедуру, вы должны быть членом локальной группы Администраторы или аналогичной.
Просмотр событий в журнале AppLocker с помощью просмотра событий
Откройте средство просмотра событий. Для этого нажмите кнопку Пуск, введите eventvwr.msc и нажмите клавишу ВВОД.
В дереве консоли в разделе Application and Services Logs\Microsoft\Windows дважды щелкните AppLocker.
События AppLocker перечислены либо в журналах EXE и DLL и MSI и сценарий, либо в журналах Упакованное приложение-Развертывание или Упакованное приложение-Выполнение. Сведения о событиях включают параметр принудительного применения, имя файла, дату, время и имя пользователя. Журналы можно экспортировать в файлы других форматов для дальнейшего анализа.