创建应用程序部署到每个业务组的列表
适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
本主题介绍从每个业务小组收集应用程序使用的要求,以便通过使用 AppLocker 实现应用程序控制策略的过程。
确定应用程序使用情况
对于每个业务组,确定以下各项︰
应用程序使用,包括不同版本的应用程序的完整列表。
应用程序的完整安装路径。
发布服务器和每个应用程序的签名的状态。
集的类型要求的业务组对于每个应用程序,如业务起关键作用,业务生产效率,可选的或个人。 它在此活动以确定哪些应用程序支持您的 IT 部门,过程可能会很有帮助,或支持的其他人在您的控制范围。
文件或需要管理凭据才能安装或运行的应用程序的列表。 如果文件需要管理凭据才能安装或运行,不能提供管理凭据的用户将无法运行该文件,即使该文件明确允许通过 AppLocker 策略。 即使使用 AppLocker 策略强制执行,只有管理员组的成员可以安装或运行需要管理凭据的文件。
如何执行应用程序使用情况评估
尽管到位,以了解有关每个业务小组的应用程序使用情况,可能已经有一种方法,您需要使用此信息来帮助创建您的 AppLocker 规则集合。 AppLocker 包括对自动生成规则向导和 仅审核 强制配置可帮助您规划和创建规则集合。
应用程序清单方法
使用自动生成规则向导快速创建您指定的应用程序的规则。 该向导专门用于构建一个规则的集合。 可以使用本地安全策略管理单元查看和编辑的规则。 在从引用计算机,创建规则时,以及创建和对在测试环境中的 AppLocker 策略进行评估时,此方法是非常有用。 但是,它的确需要这些文件可以访问在引用计算机上或通过网络驱动器。 这可能意味着在设置了引用计算机并确定该计算机的维护策略的其他工作。
使用 仅审核 强制方法允许您查看日志,因为它接收组策略对象 (GPO) 的计算机上收集有关每个进程的信息。 因此,您可以看到什么才能实施业务组中的计算机上。 AppLocker 包括可用于分析发生的事件的事件日志的 Windows PowerShell cmdlet 和 cmdlet 来创建规则。 但是,当您使用组策略部署到多台计算机,一种收集在一个中心位置的事件的方法是对可管理性非常重要。 因为 AppLocker 记录有关用户或其他进程启动的计算机的文件的信息,您可能会丢失最初创建一些规则。 因此,您应继续进行评估之前您可以验证所有所需的应用程序可以运行被成功访问。
提示
如果您对自定义应用程序中运行应用程序验证工具的任何启用的 AppLocker 策略,则可能会使应用程序运行。 或者,您应该禁用应用程序验证工具或 AppLocker。
可以使用两种方法的计算机上创建的 Windows 8 应用程序清单︰ Get-appxpackage AppLocker 用户界面或 Windows PowerShell cmdlet。
中的下列主题 AppLocker 分步指南 介绍如何执行每个方法︰
完成清单的先决条件
确定业务组和应用程序控制策略将应用到该组中的每个组织单位 (OU)。 此外,您应当已确定 AppLocker 是最合适的解决方案,这些策略。 有关这些步骤的信息,请参阅下列主题︰
后续步骤
确定并开发应用程序的列表。 是否对其进行签名或未由发布者的名称,以及是关键任务应用程序、 业务生产效率,可选的还是个人应用程序,请记录该应用程序的名称。 记录应用程序的安装路径。 有关如何执行此操作的信息,请参阅 记录应用程序列表。
创建应用程序的列表后下, 一步是识别的规则集合,它将成为这些策略。 此信息可以添加到列标记为下表︰
使用默认规则还是定义新规则条件
允许还是拒绝
GPO 名称
若要执行此操作,请参阅以下主题︰