Anforderungen für die Bereitstellung von AppLocker-Richtlinien
In diesem Bereitstellungsartikel für IT-Experten werden die Anforderungen aufgeführt, die Sie berücksichtigen müssen, bevor Sie AppLocker-Richtlinien bereitstellen.
Die folgenden Anforderungen müssen erfüllt oder erfüllt sein, bevor Sie Ihre AppLocker-Richtlinien bereitstellen:
- Bereitstellungsplan
- Unterstützte Betriebssysteme
- Richtlinienverteilungsmechanismus
- Ereignissammlungs- und Analysesystem
Bereitstellungsplan
Eine erfolgreiche AppLocker-Richtlinienbereitstellung beginnt mit einem Richtlinienentwurf, der die von Ihrem organization benötigten Anwendungen ermöglicht und verhindert, dass nicht autorisierte Apps, einschließlich Schadsoftware, ausgeführt werden. Informationen zum Entwickeln dieses Plans finden Sie im AppLocker-Entwurfshandbuch. Die folgende Tabelle enthält ein Beispiel für die Daten, die Sie sammeln müssen, und die Entscheidungen, die Sie treffen müssen, um AppLocker-Richtlinien erfolgreich bereitzustellen.
| Unternehmensgruppe | Organisationseinheit | Implementieren Sie AppLocker? | Apps | Installationspfad | Standardregel verwenden oder neue Regelbedingung definieren | Zulassen oder Verweigern | GPO-Name | Unterstützungsrichtlinie |
|---|---|---|---|---|---|---|---|---|
| Bankerzähler | Teller-East und Teller-West | Ja | Teller-Software | C:\Program Files\Woodgrove\Teller.exe | Datei ist signiert; Erstellen einer Herausgeberbedingung | Zulassen | Erzähler | Webhilfe |
| Windows-Dateien | C:\Windows | Erstellen einer Pfadausnahme zur Standardregel zum Ausschließen von \Windows\Temp | Zulassen | Helpdesk | ||||
| Arbeitszeittabellenplaner | C:\Program Files\Woodgrove\HR\Timesheet.exe | Die Datei ist nicht signiert. Erstellen einer Dateihashbedingung | Zulassen | Webhilfe | ||||
| Personalabteilung | HR-All | Ja | Auszahlung überprüfen | C:\Program Files\Woodgrove\HR\Checkcut.exe | Datei ist signiert; Erstellen einer Herausgeberbedingung | Zulassen | HR | Webhilfe |
| Internet Explorer 7 | C:\Programme\Internet Explorer | Datei ist signiert; Erstellen einer Herausgeberbedingung | Verweigern | Helpdesk | ||||
| Windows-Dateien | C:\Windows | Verwenden der Standardregel für den Windows-Pfad | Zulassen | Helpdesk |
Ereignisverarbeitungsrichtlinie
| Unternehmensgruppe | Speicherort der AppLocker-Ereignissammlung | Archivierungsrichtlinie | Analysiert? | Sicherheitsrichtlinie |
|---|---|---|---|---|
| Bankerzähler | Weitergeleitet an: srvBT093 | Standard | Keine | Standard |
| Personalabteilung | Nicht weiterleiten | 60 Monate | Ja; Zusammenfassungsberichte monatlich an Manager | Standard |
Richtlinienwartungsrichtlinie
| Unternehmensgruppe | Regelaktualisierungsrichtlinie | App-Außerbetriebnahmerichtlinie | App-Versionsrichtlinie | App-Bereitstellungsrichtlinie |
|---|---|---|---|---|
| Bankerzähler | Geplant: Monatliche bis geschäftsbüro-Selektierung Notfall: Anfordern über Helpdesk |
Durch Geschäftsbüro-Selektierung; 30-tägige Vorlaufzeit erforderlich | Allgemeine Richtlinie: Beibehalten früherer Versionen für 12 Monate Auflisten von Richtlinien für jede Anwendung |
Koordiniert durch Geschäftsbüro; 30-tägige Vorlaufzeit erforderlich |
| Personalabteilung | Geplant: Durch Hr-Selektierung Notfall: Anfordern über Helpdesk |
Durch HR-Selektierung; 30-tägige Vorlaufzeit erforderlich | Allgemeine Richtlinie: Frühere Versionen 60 Monate lang aufbewahren Auflisten von Richtlinien für jede Anwendung |
Koordiniert durch Personalwesen; 30-tägige Vorlaufzeit erforderlich |
Unterstützte Betriebssysteme
AppLocker wird nur unter bestimmten Betriebssystemen unterstützt. Einige Features sind nicht auf allen Betriebssystemen verfügbar. Weitere Informationen finden Sie unter Anforderungen für die Verwendung von AppLocker.
Richtlinienverteilungsmechanismus
Sie benötigen eine Möglichkeit, die AppLocker-Richtlinien auf die Zielunternehmensgruppen zu verteilen. AppLocker verwendet Gruppenrichtlinie-Verwaltungsarchitektur, um Anwendungssteuerungsrichtlinien effektiv zu verteilen. AppLocker-Richtlinien können auch auf einzelnen Computern mithilfe des Snap-Ins "Lokale Sicherheitsrichtlinie" konfiguriert werden. AppLocker-Regeln können auch über eine Verwaltungslösung für mobile Geräte wie Microsoft Intune verteilt werden.
Ereignissammlungs- und Analysesystem
Die Ereignisverarbeitung ist wichtig, um die Anwendungsnutzung zu verstehen. Sie müssen über einen Prozess verfügen, um AppLocker-Ereignisse zu sammeln und zu analysieren, damit die Anwendungsnutzung entsprechend eingeschränkt und verstanden wird. Verfahren zum Überwachen von AppLocker-Ereignissen finden Sie unter:
- Konfigurieren einer AppLocker-Richtlinie für reine Überwachungszwecke
- Konfigurieren einer AppLocker-Richtlinie für Erzwingungsregeln
- Überwachen der App-Verwendung mithilfe von AppLocker