使用引用计算机创建和维护 AppLocker 策略
适用对象:Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
本主题面向 IT 专业人员,介绍了使用引用计算机创建和维护 AppLocker 策略的步骤。
背景和先决条件
AppLocker 引用计算机是可以用于配置策略的基线计算机,并可随后用于维护 AppLocker 策略。 有关配置引用计算机的过程,请参阅配置 AppLocker 引用计算机。
用于创建和维护 AppLocker 策略的 AppLocker 引用计算机应包含对应于每个组织单位 (OU) 的应用程序,以模拟生产环境。
重要
引用计算机必须运行受支持的 Windows 版本。 有关 AppLocker 操作系统要求的信息,请参阅使用 AppLocker 的要求。
可以使用“仅审核”强制设置或 Windows PowerShell cmdlet 在引用计算机上执行 AppLocker 策略测试。 也可以将引用计算机用作测试配置(包括使用软件限制策略创建的策略)的一部分。
步骤 1:在引用计算机上自动生成规则
使用 AppLocker,你可以为一个文件夹中的所有文件自动生成规则。 AppLocker 扫描指定的文件夹,并创建你为该文件夹中的每个文件选择的条件类型。 有关执行此操作的过程,请参阅运行自动生成规则向导。
备注
如果运行此向导创建你的第一个组策略对象 (GPO) 规则,向导完成后,系统将提示创建默认规则,以允许关键系统文件运行。 可以随时编辑默认规则。 如果你的组织为允许 Windows 系统文件运行而决定编辑默认规则或创建自定义规则,请确保在使用自定义规则进行替换后删除默认规则。
步骤 2:在引用计算机上创建默认规则
AppLocker 包括针对每个规则集合的默认规则。 这些规则旨在帮助确保 AppLocker 规则集合中允许有 Windows 正常运行所需的文件。 必须针对每个规则集合运行默认规则。 有关默认规则和使用注意事项的信息,请参阅了解 AppLocker 默认规则。 有关创建默认规则的过程,请参阅创建 AppLocker 默认规则。
重要
创建自己的规则时,可以使用默认规则作为模板。 这让 Windows 目录中的文件能够运行。 但是,这些规则仅用于在首次测试 AppLocker 规则时充当初始策略。
步骤 3:在引用计算机上修改规则和规则集合
如果 AppLocker 策略当前正在生产环境中运行,则从相应的 GPO 导出策略并将它们保存到引用计算机。 有关执行此操作的过程,请参阅从 GPO 导出 AppLocker 策略。 如果尚未部署 AppLocker 策略,则使用以下过程创建规则并制定策略:
步骤 4:在引用计算机上测试和更新 AppLocker 策略
应对每组规则进行测试,以确保它们按预期方式执行。Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定引用计算机是否会阻止规则集合中的任何规则。 在用于定义 AppLocker 策略的每台引用计算机上执行这些步骤。 确保引用计算机已加入域,并且从适当的 GPO 接收 AppLocker 策略。 由于 AppLocker 规则继承自链接的 GPO,应将所有规则部署为同时测试所有测试 GPO。 使用以下过程完成此步骤:
警告
如果将规则集合的强制设置设置为“强制规则”或尚未配置规则集合,则将在下一步更新 GPO 时实现策略。 如果将规则集合的强制设置设置为“仅审核”,则应用程序访问事件会写入 AppLocker 日志,且策略将不会生效。
步骤 5:将策略导出和导入生产
AppLocker 策略成功通过测试后,可以将其导入 GPO(或导入不由组策略管理的单独计算机)并检查其预期效果。 要完成此操作,请执行以下过程:
如果 AppLocker 策略的强制设置为“仅审核”,且你认为策略正在达成你的目标,则可以将其更改为“强制规则”。 有关如何更改强制设置的信息,请参阅配置强制实施规则的 AppLocker 策略。
步骤 6:在生产中监视策略的效果
如果部署策略后需要进行其他优化或更新,请使用以下适当过程监视和更新策略: