Настройка эталонного устройства AppLocker

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этой статье для ИТ-специалистов описаны шаги по созданию структуры платформы политики AppLocker на эталонном компьютере.

Эталонное устройство AppLocker, используемое для разработки и развертывания политик AppLocker, должно имитировать структуру каталогов и соответствующие приложения в подразделении или бизнес-группе для рабочей среды. На эталонном устройстве можно:

• Ведение списка приложений для каждой бизнес-группы.
• Разрабатывайте политики AppLocker, создавая отдельные правила или автоматически создавая правила.
• Создайте правила по умолчанию, чтобы разрешить правильное выполнение системных файлов Windows.
• Выполните тесты и проанализируйте журналы событий, чтобы определить влияние политик, которые планируется развернуть.

Эталонное устройство не требуется присоединять к домену, но оно должно иметь возможность импортировать и экспортировать политики AppLocker в формате XML. На компьютере-образце должен работать один из поддерживаемых выпусков Windows, как указано в разделе Требования для использования AppLocker.

Warning

Не используйте моментальные снимки операционной системы при создании правил AppLocker. Если вы берете snapshot операционной системы, устанавливаете приложение, создаете правила AppLocker, а затем отменить изменения в чистый snapshot и повторяете процесс для другого приложения, существует вероятность, что можно создать повторяющиеся guid правила. Если имеются повторяющиеся идентификаторы GUID, политики AppLocker не будут работать должным образом.

Настройка эталонного устройства

1. Если операционная система еще не установлена, установите на устройстве один из поддерживаемых выпусков Windows.

   Заметка: Если на другом устройстве установлена консоль управления групповая политика (GPMC), чтобы протестировать реализацию политик AppLocker, вы можете экспортировать политики на это устройство.

2. Настройте учетную запись администратора.

   Чтобы обновить локальные политики, необходимо быть членом локальной группы администраторов. Чтобы обновить политики домена, необходимо быть членом группы администраторов домена или иметь делегированные привилегии на использование групповая политика для обновления объекта групповая политика (GPO).

3. Установите все приложения, выполняемые в целевой бизнес-группе или подразделении, с помощью одной структуры каталогов.

   Эталонное устройство должно быть настроено так, чтобы имитировать структуру рабочей среды. Это зависит от наличия одинаковых приложений в одних и том же каталогах для точного создания правил.

См. также

• После настройки компьютера-образца можно создать коллекции правил AppLocker. Вы можете создавать, импортировать или автоматически создавать правила. Процедуры для выполнения этой задачи см. в статье Работа с правилами AppLocker.
• Использование эталонного устройства для создания и поддержки политик AppLocker