规划 AppLocker 策略管理

  • 项目

 

适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主题描述了您需要进行建立的过程来管理和维护 AppLocker 策略决定。

策略管理

在开始部署过程之前,请考虑将如何管理 AppLocker 规则。 开发过程可以管理 AppLocker 规则还有助于确保,AppLocker 继续有效地控制如何允许应用程序在您的组织中运行。

应用程序和用户的支持策略

开发过程可以管理 AppLocker 规则还有助于确保,AppLocker 继续有效地控制如何允许应用程序在您的组织中运行。 考虑事项包括︰

  • 为阻止的应用程序提供什么类型的最终用户支持?

  • 如何将新规则添加到该策略?

  • 如何更新现有规则?

  • 转发供查看的事件?

帮助台支持

如果您的组织采用已建立的帮助台支持部门,考虑以下方面部署 AppLocker 策略时︰

  • 支持部门针对新的策略部署需要什么文件?

  • 什么是每个业务部门中的关键进程分组在工作流中将二者和计时,将影响的应用程序控制策略,它们将如何影响您的支持部门的工作负荷?

  • 中支持部门的联系人是谁?

  • 支持部门如何解决应用程序之间维护 AppLocker 规则最终用户控制问题?

最终用户支持

AppLocker 阻止未经批准的应用程序运行,因为值得您的组织仔细规划如何提供最终用户支持。 考虑事项包括︰

  • 使用 intranet 站点作为首要支持已尝试运行被阻止的应用程序的用户吗?

  • 要支持策略的例外情况如何? 将允许用户运行一个脚本来暂时允许访问被阻止的应用程序?

使用 intranet 站点

AppLocker 可以配置为显示默认消息,但使用自定义 URL。 您可以使用此 URL 将用户重定向到包含有关原因的信息的支持站点用户收到错误,并且允许哪些应用程序。 如果应用程序被阻止时不显示该消息的自定义 URL,则使用默认 URL。

下图显示阻止的应用程序的错误消息的示例。 您可以使用 设置支持 web 链接 策略设置,以自定义 的详细信息 链接。

AppLocker blocked application error message

阻止的应用程序错误消息

若要显示的消息的自定义 URL 的步骤,请参阅 显示自定义 URL 消息当用户尝试运行被阻止的应用程序 (https://go.microsoft.com/fwlink/?LinkId=160265)。

AppLocker 事件管理

进程请求的权限来运行,每次 AppLocker AppLocker 事件日志中创建一个事件。 事件的详细信息的文件已尝试进行运行时,该文件中,启动请求,而规则用于使 AppLocker 执行决策的 GUID 的用户的属性。 AppLocker 事件日志位于以下路径︰ 应用程序和服务 Logs\Microsoft\Windows\AppLocker。 AppLocker 日志包括三个日志︰

  1. EXE 和 DLL。 包含事件的可执行文件和 DLL 规则集合 (.exe、.com、.dll 和.ocx) 影响的所有文件。

  2. MSI 和脚本。 包含受影响的 Windows 安装程序和脚本规则集合 (.msi、.msp、.ps1、.bat、.cmd、.vbs 和.js) 的所有文件的事件。

  3. 打包应用程序部署打包应用程序执行, 、 包含事件影响的打包应用程序的所有 Windows 8 应用程序和打包应用安装程序 (.appx) 的规则集合。

收集这些事件在一个中心位置,可帮助您维护 AppLocker 策略和故障排除规则配置问题。 事件集合技术,例如 Windows 中可用,管理员可以订阅特定的事件通道,并已发生的事件的源计算机整合为转发的事件日志在 Windows Server 操作系统收集器上。 有关设置事件订阅的详细信息,请参阅 配置计算机连接到收集和转发事件 (https://go.microsoft.com/fwlink/?LinkId=145012)。

策略维护

在部署新的应用程序或现有的应用程序更新由软件发行商时,将需要您的规则集合来确保该策略是最新修订。

通过添加、 更改或删除规则,可以编辑 AppLocker 策略。 但是,不能通过导入其他规则来指定策略的版本。 若要修改的 AppLocker 策略时,请确保版本控制,请使用组策略管理软件,允许您创建的组策略对象 (Gpo) 的版本。 这种软件的一个示例就是 Microsoft Desktop Optimization Pack 中的高级组策略管理功能。 有关高级组策略管理的详细信息,请参阅高级组策略管理概述 (https://go.microsoft.com/fwlink/?LinkId=145013)。

警告

它正在强制组策略中时,不应编辑 AppLocker 规则集合。 由于 AppLocker 控制允许哪些文件运行,因此对实时策略的更改可以创建意外的行为。

新版本的受支持的应用程序

当组织中部署应用程序的新版本时,您需要确定是否要继续支持该应用程序的以前版本。 若要添加的新版本,可能只需要创建新的规则与应用程序相关联的每个文件。 如果正在使用发布者条件,并且未指定版本,则现有规则可能不足以允许运行的已更新的文件。 但是,您必须确保更新的应用程序尚未更改文件名称或添加文件,以支持新功能。 如果是这样,您必须修改现有的规则或创建新规则。 若要继续重新使用不具有特定文件版本的基于发布者的规则,您还必须确保文件的数字签名是否与以前的版本仍然相同 — 发布者、 产品名称和文件名称 (如果已配置你的规则) 必须匹配为对其正确地应用规则。

若要确定是否在应用程序更新过程中修改文件,请查看提供的更新软件包的发布服务器的版本详细信息。 此外可以查看发布服务器的 Web 页后,可以检索此信息。 此外可以检查每个文件,以确定的版本。

对于允许或拒绝与文件哈希条件的文件,你必须检索新的文件哈希值。 若要添加对新版本的支持和维护对较旧版本的支持,可以创建新的文件哈希规则适用于新版本或可以编辑现有规则,并将新的文件哈希值添加到条件列表。

对于具有路径条件的文件,您应该验证安装路径不已从什么规则中所述。 如果该路径已更改,您需要安装新版本应用程序之前更新该规则。

最近部署了应用程序

若要支持新的应用程序,必须将一个或多个规则添加到现有的 AppLocker 策略中。

不再支持应用程序

如果您的组织已确定它将不再支持的应用程序都有与其相关联的 AppLocker 规则,以防止用户运行应用程序的最简单方法是删除这些规则。

应用程序被阻止,但应允许

以下三个原因,可能会阻止文件︰

  • 最常见原因是不存在任何规则以允许应用程序运行。

  • 可能有限制性太强的文件创建的现有规则。

  • 拒绝规则,不能重写,显式阻止了该文件。

在编辑之前的规则集合,首先要确定哪些规则禁止运行该文件。 可以在问题得到解决使用 测试 AppLockerPolicy Windows PowerShell cmdlet。 有关解决 AppLockerpolicy 的详细信息,请参阅 测试和更新 AppLocker 策略 (https://go.microsoft.com/fwlink/?LinkId=160269)。

后续步骤

在确定您的组织管理 AppLocker 策略的方式之后, 记录您的发现。

  • **最终用户支持策略。**记录的过程将使用来处理来自已尝试运行被阻止的应用程序的用户的呼叫,并确保技术支持人员具有明确的上报步骤,以便管理员可以更新 AppLocker 策略,如有必要。

  • **事件处理。**记录是否事件才会收集在如何调用存储区中,一个中心位置,将存档存储,以及是否将无法处理的事件以进行分析。

  • **策略维护。**详细说明如何将规则添加到该策略以及在哪些 GPO 中定义的规则。

有关信息和步骤如何记录您的过程,请参阅 记录您的应用程序控件管理过程