Dokumentieren der Gruppenrichtlinienstruktur und AppLocker-Regelerzwingung
In diesem Planungsartikel wird beschrieben, was Sie in Ihren Plan einschließen sollten, wenn Sie AppLocker verwenden.
Aufzeichnen Ihrer Ergebnisse
Um dieses AppLocker-Planungsdokument abzuschließen, sollten Sie zunächst die folgenden Schritte ausführen:
- Ermitteln Ihrer Anwendungssteuerungsziele
- Erstellen einer Liste der für die einzelnen Unternehmensgruppen bereitgestellten Apps
- Auswählen der zu erstellenden Regeltypen
- Ermitteln der Gruppenrichtlinienstruktur und Regelerzwingung
Nachdem Sie bestimmt haben, wie Ihre Gruppenrichtlinie Objects (GPOs) für AppLocker-Richtlinien strukturiert werden sollen, sollten Sie Ihre Ergebnisse aufzeichnen. Anhand der folgenden Tabelle können Sie bestimmen, wie viele Gruppenrichtlinienobjekte erstellt (oder bearbeitet werden) und mit welchen Objekten sie verknüpft sind. Wenn Sie benutzerdefinierte Regeln erstellen möchten, damit Systemdateien ausgeführt werden können, beachten Sie die allgemeine Regelkonfiguration in der Spalte Standardregel verwenden oder neue Regelbedingung definieren .
Die folgende Tabelle enthält die Beispieldaten, die gesammelt wurden, als Sie Ihre Erzwingungseinstellungen und die GPO-Struktur für Ihre AppLocker-Richtlinien festgelegt haben.
| Unternehmensgruppe | Organisationseinheit | Implementieren Sie AppLocker? | Apps | Installationspfad | Standardregel verwenden oder neue Regelbedingung definieren | Zulassen oder Verweigern | GPO-Name |
|---|---|---|---|---|---|---|---|
| Bankerzähler | Teller-East und Teller-West | Ja | Teller Software | C:\Program Files\Woodgrove\Teller.exe | Datei ist signiert; Erstellen einer Herausgeberbedingung | Zulassen | Tellers-AppLockerTellerRules |
| Windows-Dateien | C:\Windows | Erstellen einer Pfadausnahme zur Standardregel zum Ausschließen von \Windows\Temp | Zulassen | ||||
| Personalabteilung | HR-All | Ja | Auszahlung überprüfen | C:\Program Files\Woodgrove\HR\Checkcut.exe | Datei ist signiert; Erstellen einer Herausgeberbedingung | Zulassen | HR-AppLockerHRRules |
| Arbeitszeittabellenplaner | C:\Program Files\Woodgrove\HR\Timesheet.exe | Die Datei ist nicht signiert. Erstellen einer Dateihashbedingung | Zulassen | ||||
| Internet Explorer 7 | C:\Programme\Internet Explorer | Datei ist signiert; Erstellen einer Herausgeberbedingung | Verweigern | ||||
| Windows-Dateien | C:\Windows | Verwenden einer Standardregel für den Windows-Pfad | Zulassen |
Nächste Schritte
Nachdem Sie die Gruppenrichtlinie Struktur und die Regelerzwingungsstrategie für die Apps jeder Geschäftsgruppe festgelegt haben, bleiben die folgenden Aufgaben bestehen: