Documentar la estructura de directiva de grupo y la aplicación de reglas de AppLocker
En este artículo de planeamiento se describe lo que debe incluir en el plan al usar AppLocker.
Registro de los resultados
Para completar este documento de planeamiento de AppLocker, primero debe completar los pasos siguientes:
- Determinar los objetivos de control de la aplicación
- Crear una lista de aplicaciones implementadas en cada grupo de negocios
- Seleccionar los tipos de reglas que se crearán
- Determinar la estructura de directivas de grupo y la aplicación de reglas
Después de determinar cómo estructurar los objetos de directiva de grupo (GPO) para las directivas de AppLocker, debe registrar los resultados. Puede usar la tabla siguiente para determinar cuántos GPO crear (o editar) y a qué objetos están vinculados. Si decide crear reglas personalizadas para permitir la ejecución de archivos del sistema, tenga en cuenta la configuración de regla de alto nivel en la columna Usar regla predeterminada o definir nueva condición de regla .
En la tabla siguiente se incluyen los datos de ejemplo recopilados al determinar la configuración de cumplimiento y la estructura de GPO de las directivas de AppLocker.
| Grupo de negocios | Unidad organizativa | ¿Implementar AppLocker? | Aplicaciones | Ruta de instalación | Uso de una regla predeterminada o definición de una nueva condición de regla | Permitir o denegar | Nombre de GPO |
|---|---|---|---|---|---|---|---|
| Cajeros bancarios | Teller-East y Teller-West | Sí | Teller Software | C:\Program Files\Woodgrove\Teller.exe | El archivo está firmado; creación de una condición de publicador | Permitir | Tellers-AppLockerTellerRules |
| Archivos de Windows | C:\Windows | Crear una excepción de ruta de acceso a la regla predeterminada para excluir \Windows\Temp | Permitir | ||||
| Recursos humanos | HR-All | Sí | Comprobación del pago | C:\Program Files\Woodgrove\HR\Checkcut.exe | El archivo está firmado; creación de una condición de publicador | Permitir | HR-AppLockerHRRules |
| Organizador de hoja de horas | C:\Program Files\Woodgrove\HR\Timesheet.exe | El archivo no está firmado; crear una condición hash de archivo | Permitir | ||||
| Internet Explorer 7 | C:\Archivos de programa\Internet Explorer | El archivo está firmado; creación de una condición de publicador | Denegar | ||||
| Archivos de Windows | C:\Windows | Uso de una regla predeterminada para la ruta de acceso de Windows | Permitir |
Pasos siguientes
Después de determinar la estructura de directiva de grupo y la estrategia de cumplimiento de reglas para las aplicaciones de cada grupo empresarial, siguen siendo las siguientes tareas: