Тестирование и обновление политики AppLocker

В этом разделе рассматриваются действия, необходимые для тестирования политики AppLocker перед развертыванием.

Необходимо проверить каждый набор правил, чтобы убедиться в их надлежащем выполнении. При использовании групповой политики для управления политиками AppLocker выполните следующие действия для каждого объекта групповой политики (GPO), где созданы правила AppLocker. Правила AppLocker наследуются от связанных объектов групповой политики, поэтому необходимо развернуть все правила для синхронного тестирования во всех проверяемых объектах групповой политики.

Шаг 1. Включите параметр принудительного применения "Только аудит"

С помощью использования параметра принудительного применения Только аудит можно убедиться в правильной настройке созданных правил AppLocker для вашей организации. Этот параметр можно включить на вкладке Применение диалогового окна Свойства AppLocker. Процедура для выполнения этого действия описана в разделе Настройка политики AppLocker только для аудита.

Шаг 2. Настройка службы удостоверения приложения для автоматического запуска

Для проверки атрибутов файлов в AppLocker используется служба удостоверений приложения, поэтому необходимо настроить его на автоматический запуск в любом GPO, к которому применяются правила AppLocker. Процедуру выполнения этого действия см. в разделе Настройка службы удостоверения приложения. Для политик AppLocker, которые не управляются объектом GPO, необходимо убедиться, что служба работает на каждом ПК в целях применения политик.

Шаг 3. Проверка политики

Протестируйте политику AppLocker, чтобы определить, нужно ли изменить коллекцию правил. Поскольку имеются созданные правила AppLocker, включены служба удостоверений приложения и параметр применения Только аудит, политика AppLocker должна присутствовать на всех клиентских ПК, настроенных на получение политики AppLocker.

С помощью командлета Test-AppLockerPolicy Windows PowerShell можно определить, будут ли заблокированы какие-либо правила в коллекции правил на компьютерах-образцах. Процедуру для выполнения этого действия см. в разделе Тестирование политики AppLocker с помощью Test-AppLockerPolicy.

Шаг 4. Анализ событий AppLocker

Можно вручную проанализировать события AppLocker или использовать командлет Get-AppLockerFileInformation Windows PowerShell для автоматизации анализа.

Анализ событий AppLocker вручную

Можно просматривать события в средстве просмотра событий или текстовом редакторе, а затем сортировать эти события для выполнения анализа, например поиска шаблонов в событиях использования приложения, частоты доступа или доступа групп пользователей. Если не настроена подписка на события, то необходимо просмотреть журналы в выборке компьютеров вашей организации. Подробные сведения об использовании средства просмотра событий см. в разделе Отслеживание использования приложения с помощью AppLocker.

Анализ событий AppLocker с помощью Get-AppLockerFileInformation

Можно воспользоваться командлетом Get-AppLockerFileInformation Windows PowerShell, чтобы анализировать события AppLocker с удаленного компьютера. Если приложение блокируется, но должно быть разрешено, можно использовать командлет AppLocker для устранения неполадок.

Для обеих подписок на события и местных событий можно использовать командлет Get-AppLockerFileInformation, чтобы указать, какие файлы были или будут заблокированы (при использовании режима применения Только аудит), а также количество произошедших событий для каждого файла. Процедуру для выполнения этого действия см. в разделе Отслеживание использования приложения с помощью AppLocker.

После использования Get-AppLockerFileInformation, чтобы определить, сколько раз был бы блокирован запуск файла, следует просмотреть список правил и выяснить, нужно ли создавать новое правило для заблокированного файла или существующее правило определено слишком строго. Установите, какой GPO в настоящий момент препятствует выполнению файла. Чтобы определить это, используйте мастер результатов групповой политики для просмотра имен правил.

Шаг 5. Изменение политики AppLocker

После определения, какие правила следует изменить или добавить к политике, можно использовать консоль управления групповыми политиками, чтобы изменить правила AppLocker в соответствующих объектах GPO. Для политик AppLocker, которые не управляются объектом GPO, можно использовать оснастку "Локальная политика безопасности" (secpol.msc). Сведения о способе изменения политики AppLocker см. в разделе: Изменение политики AppLocker.

Шаг 6. Повторное тестирование политики, анализ и изменение политики

Повторите предыдущие шаги 3–5, пока не будут должным образом выполнены все правила перед принудительным применением.

Дополнительные ресурсы