Использование эталонного устройства для создания и поддержки политик AppLocker
В этом разделе для ИТ-специалистов представлены шаги по созданию и поддержке политик AppLocker с помощью компьютера-образца.
Основные сведения и необходимые условия
Эталонное устройство AppLocker является базовым устройством, которое можно использовать для настройки политик AppLocker, а впоследствии и для их обслуживания. Процедуры для настройки эталонного устройства см. в разделе Настройка эталонного устройства AppLocker.
Эталонное устройство AppLocker, используемое для создания и обслуживания политик AppLocker, должно содержать приложения, которые необходимы для каждого подразделения организации, чтобы имитировать вашу рабочую среду.
Важно
Эталонное устройство должно работать под управлением одной из поддерживаемых версий Windows. Дополнительные сведения о требованиях к операционной системе для использования AppLocker см. в разделе Необходимые условия для использования AppLocker.
С помощью параметра принудительного применения Только аудит или командлетов Windows PowerShell можно выполнить тестирование политики AppLocker на эталонном устройстве. Также можно использовать эталонное устройство в рамках конфигурации тестирования, включающей политики, созданные с помощью политик ограниченного использования программ.
Шаг 1. Автоматическое создание правил на эталонном устройстве
С помощью AppLocker можно автоматически создавать правила для всех файлов в папке. AppLocker сканирует указанную папку и создает типы условий, которые выбираются для каждого файла в этой папке. Процедуры для выполнения этого действия см. в разделе Запуск мастера автоматического создания правил.
Примечание
После завершения работы мастера по созданию первых правил для объекта групповой политики (GPO) будет предложено создать правила по умолчанию, позволяющие запускать важные системные файлы. Правила по умолчанию можно изменить в любой момент. Если ваша организация решила изменить правила по умолчанию или создать нестандартные правила, чтобы разрешить запуск системных файлов Windows, обязательно удалите правила по умолчанию после их замены своими собственными правилами.
Шаг 2. Создание правил по умолчанию на эталонном устройстве
AppLocker включает правила по умолчанию для каждой коллекции правил. Эти правила позволяют убедиться, что файлы, необходимые для надлежащей работы Windows, разрешены в коллекции правил AppLocker. Следует запустить правила по умолчанию для каждой коллекции правил. Сведения о правилах по умолчанию и рекомендации по их использованию см. в разделе Общие сведения о правилах AppLocker, используемых по умолчанию. Процедуры для создания правил по умолчанию см. в разделе Создание правил AppLocker по умолчанию.
Важно
Можно использовать правила по умолчанию в качестве шаблона при создании собственных правил. При этом будет разрешен запуск файлов в каталоге Windows. Однако эти правила предназначены только в качестве начальной политики при первом тестировании правил AppLocker.
Шаг 3. Изменение правил и коллекции правил на эталонном устройстве
Если политики AppLocker на данный момент действуют в рабочей среде, экспортируйте политики из соответствующих объектов групповой политики и сохраните их на эталонном устройстве. Процедуры описаны в разделе Экспорт политики AppLocker из GPO. Если политики AppLocker не были развернуты, создайте правила и разработайте политики с помощью следующих процедур:
Шаг 4. Тестирование и обновление политики AppLocker на эталонном устройстве
Необходимо протестировать каждый набор правил, чтобы убедиться в их надлежащем выполнении. С помощью командлета Test-AppLockerPolicy Windows PowerShell можно определить, будут ли заблокированы какие-либо правила в коллекции правил на эталонном устройстве. Выполните действия на каждом эталонном устройстве, которое использовалось для определения политики AppLocker. Эталонное устройство должно быть присоединено к домену и должно получать политику AppLocker из соответствующего объекта групповой политики. Так как правила AppLocker наследуются от связанных объектов групповой политики, необходимо развернуть все правила для синхронного тестирования всех тестовых объектов групповой политики. Для выполнения этого действия используйте следующую процедуру:
Внимание
Если вы установили параметр принудительного применения для коллекции правил в значение Применить правила или не настроили коллекцию правил, политика будет реализована после обновления GPO в следующем шаге. Если вы установили параметр принудительного применения для коллекции правил в значение Только аудит, события доступа к приложению записываются в журнал AppLocker, а политика не будет применена.
Шаг 5. Экспорт и импорт политики в производственную среду
После успешного тестирования политику AppLocker можно импортировать в GPO (или на конкретные компьютеры, которые не управляются групповой политикой) и проверить соответствие ее эффективности запланированным показателям. Для этого выполните следующие процедуры.
Если для параметра принудительного применения политики AppLocker установлено значение Только аудит и политика действует в соответствии с вашими ожиданиями, можно изменить значение на Применить правила. Сведения о способе изменения параметра принудительного применения см. в разделе Настройка политики AppLocker на применение правил.
Шаг 6. Отслеживание действия политики в производственной среде
При необходимости внесения дополнительных улучшений или обновлений после развертывания политики используйте соответствующие процедуры для мониторинга и обновления политики: