要查看英语原文,请勾选“英语”复选框。也可将鼠标指针移到文本上,在弹出窗口中显示英语原文。
翻译
英语

AppLocker 策略使用方案

 

适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

面向 IT 专业人员的本主题列出了可在其中有效地实施 AppLocker 策略的各种应用程序控制方案。


AppLocker 可帮助你改进应用程序控制的管理和应用程序控制策略的维护。 AppLocker 解决的应用程序控制方案可以按如下所示进行分类:

  1. 应用程序清单

    AppLocker 可在仅审核模式下强制实施其策略,在这种模式下,将在事件日志中收集所有应用程序访问活动以进行进一步分析。 Windows PowerShell cmdlet 还可用于帮助你了解应用程序使用情况和访问。

  2. 针对不需要的软件提供保护

    AppLocker 能够只需通过按照业务组或用户从允许的应用程序列表中排除应用程序,来拒绝这些应用程序运行。 如果应用程序不通过其发布服务器、安装路径或文件哈希进行专门标识,运行应用程序的尝试会失败。

  3. 授权一致性

    AppLocker 可以提供你组织中的软件使用情况的清单,以便你可以标识对应于软件许可协议的软件并基于许可协议限制应用程序使用。

  4. 软件标准化

    通过配置 AppLocker 策略,可以只允许受支持或经批准的应用程序在业务组中的计算机上运行。 这样可以实现更一致的应用程序部署。

  5. 可管理性改进

    AppLocker 策略可以通过现有组策略基础结构进行修改和部署,可以与使用软件限制策略创建的策略一起使用。 在业务组应用程序的支持中管理正在进行的更改时,可以修改策略并使用 AppLocker cmdlet 测试策略是否可获得预期结果。 还可以针对用户共享计算机的情况设计应用程序控制策略。

下面是可以使用 AppLocker 的方案示例:

  • 组织实现策略来标准化每个业务组中使用的应用程序,因此你需要确定与实际使用情况相比的预期使用情况。

  • 针对应用程序使用情况的安全策略进行了更改,你需要评估在何处以及何时访问那些部署的应用程序。

  • 组织的安全策略规定仅使用许可的软件,因此你需要确定未许可的应用程序,或阻止未经授权的用户运行许可的软件。

  • 组织不再支持某一应用程序,需要阻止所有人使用该应用程序。

  • 组织需要将 Windows 应用商店应用的使用仅限为组织批准或开发的应用。

  • 环境中很可能引入不需要的软件,需要减少这种威胁。

  • 组织中某一应用程序的许可证已吊销或到期,需要阻止所有人使用该应用程序。

  • 部署了新应用程序或应用程序的新版本,你需要允许特定组使用它。

  • 组织内不允许使用特定软件工具,或只有特定用户可以访问这些工具。

  • 一个或一小部分用户需要使用对所有其他人拒绝的特定应用程序。

  • 组织中部分计算机由具有不同软件使用需要的人员共享。

  • 除了其他措施外,还需要通过应用程序使用情况对敏感数据的访问进行控制。

若要探索特定使用方案,请参阅 AppLocker 分步方案

显示: