Share via

規劃 AppLocker 原則管理

  • 發行項

 

適用於: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

本主題描述您必須先建立管理和維護 AppLocker 原則的程序的決策。

原則管理

在開始部署程序之前,請考慮如何將管理 AppLocker 規則。 開發程序來管理 AppLocker 規則有助於確保 AppLocker 會持續有效地控制如何允許應用程式在您的組織中執行。

應用程式和使用者支援原則

開發程序來管理 AppLocker 規則有助於確保 AppLocker 會持續有效地控制如何允許應用程式在您的組織中執行。 考量包括:

  • 使用者支援何種供封鎖應用程式?

  • 新規則新增至原則的?

  • 如何更新現有的規則?

  • 會將事件轉送進行檢閱

服務台支援

如果您的組織有就地建立支援工程師支援部門,請考慮下列部署 AppLocker 原則時:

  • 針對新的原則部署將支援部門需要在哪些文件?

  • 什麼是重要的處理序中每個商務群組放在工作流程和計時,將會受到應用程式控制原則以及無法它們如何影響支援部門的工作負載嗎?

  • 支援部門中的連絡人是誰?

  • 支援部門如何解決應用程式使用者與維護 AppLocker 規則的人之間控制的問題?

使用者支援

因為 AppLocker 阻礙未經核准的應用程式執行,請務必組織審慎規劃如何提供使用者支援。 考量包括:

  • 您要做為支援第一行使用內部網路網站的使用者嘗試執行封鎖的應用程式嗎?

  • 您要如何支援原則的例外狀況 您將會允許執行指令碼暫時允許被封鎖的應用程式存取權的使用者嗎?

使用內部網路網站

AppLocker 可以設定為顯示的預設訊息但具有自訂的 URL。 您可以使用這個 URL 將使用者重新導向至包含原因的相關資訊的支援網站使用者會收到錯誤並允許哪些應用程式。 如果不會顯示訊息的自訂 URL 應用程式被封鎖時,會使用預設 URL。

下圖顯示已封鎖的應用程式的錯誤訊息的範例。 您可以使用支援 web 連結設定自訂的原則設定更多資訊連結。

AppLocker blocked application error message

封鎖的應用程式錯誤訊息

顯示訊息的自訂 URL 的步驟,請參閱顯示自訂 URL 訊息當使用者嘗試執行封鎖的應用程式(https://go.microsoft.com/fwlink/?LinkId=160265)。

AppLocker 事件管理

在處理序要求權限來執行,每次 AppLocker 建立 AppLocker 事件記錄檔中的事件。 事件詳細資料的檔案嘗試執行,該檔案中,使用者起始要求和規則用來進行 AppLocker 執行決策的 GUID 屬性。 AppLocker 事件記錄檔位於下列路徑:應用程式和服務 Logs\Microsoft\Windows\AppLocker。 AppLocker 記錄檔包含三個記錄檔:

  1. EXE 和 DLL。 包含受影響的可執行檔和 DLL 規則集合 (.exe、.com,.dll 和.ocx) 的所有檔案的事件。

  2. MSI 和指令碼。 包含受影響的 Windows Installer 與指令碼規則集合 (.msi、.msp、.ps1、.bat、.cmd、.vbs、 和.js) 的所有檔案的事件。

  3. 封裝應用程式部署封裝應用程式執行、 包含事件的所有受影響的已封裝應用程式的 Windows 8 應用程式和封裝應用程式安裝程式規則集合 (.appx)。

收集這些事件在集中位置可協助您維護 AppLocker 原則和疑難排解規則設定問題。 例如事件集合技術提供 Windows 允許系統管理員訂閱特定事件通道和已從來源電腦的事件彙總到轉送的事件記錄檔上的 Windows Server 作業系統收集器。 如需有關設定事件訂閱的詳細資訊,請參閱設定電腦以收集和轉送事件(https://go.microsoft.com/fwlink/?LinkId=145012)。

原則維護

當部署新的應用程式或軟體發行者會更新現有的應用程式時,您必須進行至規則集合來確保原則是最新的修訂。

您可以加入、 變更或移除規則來編輯 AppLocker 原則。 不過,您無法藉由匯入其他規則指定的原則版本。 為確保版本控制修改 AppLocker 原則時,使用群組原則管理軟體可讓您建立群組原則物件 (Gpo) 的版本。 這類軟體的範例是 Microsoft Desktop Optimization Pack 的進階群組原則管理功能。 如需有關進階群組原則管理的詳細資訊,請參閱進階群組原則管理概觀(https://go.microsoft.com/fwlink/?LinkId=145013)。

警告

您不應該在它已在群組原則強制執行時編輯 AppLocker 規則集合。 AppLocker 控制允許哪些檔案執行,因為變更即時原則可以建立非預期的行為。

新版本支援的應用程式

在組織中部署應用程式的新版本時,您需要決定是否要繼續支援舊版的應用程式。 若要加入新的版本,您可能只需要建立新的規則與應用程式相關聯的每個檔案。 如果您使用發行者條件且未指定的版本,然後現有的規則可能不足以允許執行更新的檔案。 您必須確定,不過,更新的應用程式具有不改變的檔案名稱或加入以支援新功能的檔案。 若是如此,然後您必須修改現有的規則或建立新的規則。 若要繼續重複使用的特定檔案版本沒有 「 發行者 」 為基礎的規則,您也必須確定檔案的數位簽章是與先前版本仍相同 — 發行者、 產品名稱和檔案名稱 (如果設定在您的規則) 必須所有符合要正確地套用規則。

若要判斷檔案是否已修改應用程式更新期間,檢閱提供更新套件的 「 發行者 」 發行詳細資料。 您也可以檢閱 「 發行者 」 的網頁來擷取這項資訊。 每個檔案也可以檢查以判斷版本。

如需允許或拒絕使用檔案雜湊條件的檔案,您必須擷取新的檔案雜湊。 若要加入的新版本的支援和維護舊版本的支援,您可以建立新的檔案雜湊規則的新版本或編輯現有的規則並加入新的檔案雜湊條件的清單。

檔案路徑條件,您應該確認安裝路徑尚未從規則中所述的功能變更。 如果路徑已變更,您需要安裝新版本的應用程式之前更新規則。

最近部署了應用程式

為了支援新的應用程式,您必須加入至現有的 AppLocker 原則的一或多個規則。

應用程式已不再支援

如果您的組織已決定將不再支援具有與其相關聯的 AppLocker 規則的應用程式,防止使用者執行應用程式最簡單的方式是刪除這些規則。

應用程式會封鎖但應該允許

檔案可能會遭到封鎖的三個原因:

  • 最常見的原因是沒有任何規則存在允許執行應用程式。

  • 可能有現有的規則建立太嚴格的檔案。

  • 無法覆寫,拒絕規則明確封鎖檔案。

編輯規則集合之前, 先判斷哪些規則會防止執行的檔案。 您可以使用疑難排解此問題Test-AppLockerPolicyWindows PowerShell cmdlet。 如需有關疑難排解 AppLockerpolicy 的詳細資訊,請參閱測試和更新 AppLocker 原則(https://go.microsoft.com/fwlink/?LinkId=160269)。

接下來的步驟

在決定貴組織管理 AppLocker 原則的方式之後, 記錄您的發現。

  • **使用者支援原則。**您將用來處理來自已嘗試執行封鎖的應用程式的使用者呼叫並確定支援人員有清楚的升級步驟,讓系統管理員可以更新 AppLocker 原則的必要的處理序的文件。

  • **事件處理。**文件是否會封存存放區和事件進行分析的處理是否不會如何呼叫存放區的中心位置收集事件。

  • **原則維護。**詳細說明如何新增規則至原則和規則定義在哪一個 GPO 中。

資訊和步驟如何記錄您的程序,請參閱您的應用程式管理程序的文件