Документирование структуры групповой политики и применения правил AppLocker
В этой статье по планированию описывается, что следует включить в план при использовании AppLocker.
Запись результатов
Чтобы завершить работу с этим документом по планированию AppLocker, сначала необходимо выполнить следующие действия:
- Определение целей по управлению приложениями
- Создание списка приложений, развернутых для каждой бизнес-группы
- Выбор типов создаваемых правил
- Определение структуры групповой политики и применения правил
Определив структуру объектов групповая политика (GPO) для политик AppLocker, необходимо записать полученные результаты. С помощью следующей таблицы можно определить, сколько объектов групповой политики необходимо создать (или изменить) и с какими объектами они связаны. Если вы решили создать настраиваемые правила, позволяющие выполнять системные файлы, обратите внимание на конфигурацию правила высокого уровня в столбце Использовать правило по умолчанию или определить новое условие правила .
В следующей таблице приведены примеры данных, собранных при определении параметров принудительного применения и структуры объекта групповой политики для политик AppLocker.
| Бизнес-группа | Подразделения | Реализовать AppLocker? | Приложения | Путь установки | Использование правила по умолчанию или определение нового условия правила | Разрешить или запретить | Имя объекта групповой политики |
|---|---|---|---|---|---|---|---|
| Банковские касситоры | Teller-East и Teller-West | Да | Программное обеспечение Teller | C:\Program Files\Woodgrove\Teller.exe | Файл подписан; создание условия издателя | Разрешить | Tellers-AppLockerTellerRules |
| Файлы Windows | C:\Windows | Создание исключения пути к правилу по умолчанию для исключения \Windows\Temp | Разрешить | ||||
| Кадровые ресурсы | HR-All | Да | Чек выплаты | C:\Program Files\Woodgrove\HR\Checkcut.exe | Файл подписан; создание условия издателя | Разрешить | HR-AppLockerHRRules |
| Организатор тайм-листов | C:\Program Files\Woodgrove\HR\Timesheet.exe | Файл не подписан; создание условия хэша файла | Разрешить | ||||
| Интернет Обозреватель 7 | C:\Program Files\Internet Обозреватель | Файл подписан; создание условия издателя | Запретить | ||||
| Файлы Windows | C:\Windows | Использование правила по умолчанию для пути Windows | Разрешить |
Дальнейшие действия
После определения структуры групповая политика и стратегии применения правил для приложений каждой бизнес-группы остаются следующие задачи: