Использование эталонного устройства для создания и поддержки политик AppLocker

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

В этой статье для ИТ-специалистов описаны действия по созданию и обслуживанию политик AppLocker с помощью компьютера-образца.

Фон и предварительные требования

Эталонное устройство AppLocker — это базовое устройство, которое можно использовать для настройки политик, а затем — для обслуживания политик AppLocker. Процедура настройки эталонного устройства см. в разделе Настройка эталонного устройства AppLocker.

Эталонное устройство AppLocker, используемое для создания и обслуживания политик AppLocker, должно содержать соответствующие приложения для каждого подразделения для имитации рабочей среды.

Вы можете выполнить тестирование политики AppLocker на эталонном устройстве с помощью параметра Режим применения только аудита или командлетов Windows PowerShell.

Шаг 1. Автоматическое создание правил на эталонном устройстве

С помощью AppLocker можно автоматически создавать правила для всех файлов в папке. AppLocker сканирует указанную папку и создает типы условий, выбранные для каждого файла в этой папке. Сведения об автоматическом создании правил см. в статье Запуск мастера автоматического создания правил.

Примечание.

При запуске этого мастера для создания первых правил для объекта групповая политика (GPO), вам будет предложено создать правила по умолчанию, которые разрешают выполнение критически важных системных файлов. Правила по умолчанию можно изменить в любое время. Если ваша организация использует настраиваемые правила для запуска системных файлов Windows, обязательно удалите правила по умолчанию после создания пользовательских правил.

Шаг 2. Создание правил по умолчанию на эталонном устройстве

AppLocker включает правила по умолчанию для каждой коллекции правил. Эти правила предназначены для обеспечения того, чтобы файлы, необходимые для правильной работы Windows, были разрешены в коллекции правил AppLocker. Для каждой коллекции правил необходимо выполнить правила по умолчанию. Сведения о правилах по умолчанию и рекомендации по их использованию см. в статье Общие сведения о правилах по умолчанию AppLocker. Процедура создания правил по умолчанию см. в статье Создание правил По умолчанию AppLocker.

Важно.

Правила по умолчанию можно использовать в качестве шаблона при создании собственных правил. Это позволяет запускать файлы в каталоге Windows. Однако эти правила предназначены только для работы в качестве начальной политики при первом тестировании правил AppLocker.

Шаг 3. Изменение правил и коллекции правил на эталонном устройстве

Если политики AppLocker в настоящее время выполняются в рабочей среде, экспортируйте политики из соответствующих объектов групповой политики и сохраните их на эталонном устройстве. Сведения об экспорте и сохранении политик см. в статье Экспорт политики AppLocker из объекта групповой политики. Если политики AppLocker не развернуты, создайте правила и разработайте политики с помощью следующих процедур:

• Создание правила, использующего условие издателя
• Создание правила, использующего условие хэшей файлов
• Создание правила, использующего условие пути
• Редактирование правил AppLocker
• Добавление исключений для правила AppLocker
• Удаление правила AppLocker
• Включение функции коллекции правил DLL
• Принудительное применение правил AppLocker

Шаг 4. Тестирование и обновление политики AppLocker на эталонном устройстве

Необходимо протестировать каждый набор правил, чтобы убедиться, что они выполняются должным образом. Командлет Test-AppLockerPolicy Windows PowerShell можно использовать, чтобы определить, заблокированы ли какие-либо приложения на эталонном устройстве правилами в коллекциях правил. Выполните действия на каждом эталонном устройстве, которое использовалось для определения политики AppLocker. Убедитесь, что эталонное устройство присоединено к домену и что оно получает политику AppLocker из соответствующего объекта групповой политики. Так как правила AppLocker наследуются от связанных объектов групповой политики, необходимо развернуть все правила, чтобы одновременно протестировать все тестовые объекты групповой политики. Чтобы выполнить этот шаг, выполните следующие процедуры.

• Тестирование политики AppLocker с помощью Test-AppLockerPolicy
• Узнайте о действии политики AppLocker

Warning

Если для параметра режима принудительного применения в коллекции правил задано значение Принудительное применение правил или Не настроено, политика будет применена по завершении следующего шага. Задайте для параметра режима принудительного применения в коллекции правил значение Аудит, только если вы не готовы заблокировать запуск файлов.

Шаг 5. Экспорт и импорт политики в рабочую среду

После тестирования политики AppLocker ее можно импортировать в объект групповой политики (или импортировать на отдельные компьютеры, не управляемые групповая политика) и проверить ее предполагаемую эффективность. Чтобы выполнить эти задачи, выполните следующие процедуры:

• Экспорт политики AppLocker в XML-файл
• Импорт политики AppLocker в объект групповой политики или
• Узнайте о действии политики AppLocker

Если параметр принудительного применения политики AppLocker имеет значение Только аудит и вы удовлетворены тем, что политика выполняет ваше намерение, его можно изменить на Принудительное применение правил. Сведения об изменении параметра принудительного применения см. в разделе Настройка политики AppLocker для принудительного применения правил.

Шаг 6. Мониторинг влияния политики в рабочей среде

Если после развертывания политики необходимы дополнительные уточнения или обновления, используйте следующие процедуры для мониторинга и обновления политики:

• Мониторинг использования приложений с помощью AppLocker
• Изменение политики AppLocker
• Обновление политики AppLocker

См. также

• Развертывание политики AppLocker в рабочей среде