确定软件限制策略的“允许-拒绝”列表和应用程序清单
本主题是面向 IT 专业人员提供的指南,介绍了从 Windows Server 2008 和 Windows Vista 开始,如何为由软件限制策略 (SRP) 管理的应用程序创建允许和拒绝列表。
简介
软件限制策略 (SRP) 是基于组策略的功能,用于标识在域中的计算机上运行的软件程序,以及控制这些程序的运行能力。 你可以使用软件限制策略创建计算机的高度受限配置,从而仅允许运行专门标识的应用程序。 这些策略与 Microsoft Active Directory 域服务和组策略相集成,但是,也可以在独立的计算机上配置它们。 有关 SRP 的起点,请参阅软件限制策略。
从 Windows Server 2008 R2 和 Windows 7 开始,Windows AppLocker 可以代替 SRP 或与其一起用于应用程序控制策略的一部分。
有关如何使用 SRP 完成特定任务的信息,请参阅以下内容:
要选择的默认规则:“允许”或“拒绝”
软件限制策略可以采用种模式之一部署,这两种模式是默认规则的基础:“允许列表”或“拒绝列表”。 你可以创建一个策略,用以标识允许在你的环境中运行的每个应用程序;策略中的默认规则为“受限”,将阻止未显式允许运行的所有应用程序。 也可以创建一个策略来标识无法运行的每个应用程序;默认规则为“无限制”,仅限制已显式列出的应用程序。
重要
对于你的组织来说,“拒绝列表”模式可能是与应用程序控制相关的很费精力的策略。 创建和维护一个不断演变的列表来禁止所有恶意软件和其他有问题的应用程序将非常耗时且容易出错。
为“允许列表”创建应用程序清单
若要高效使用“允许”默认规则,你需要确切地确定你的组织需要哪些应用程序。 有一些工具可用于生成应用程序清单,例如 Microsoft 应用程序兼容性工具包中的清单收集器。 但 SRP 具有一个高级日志记录功能,可帮助你准确了解环境中正在运行的应用程序。
发现要允许的应用程序
在测试环境中,部署软件限制策略,将默认规则设置为“无限制”,并删除任何其他规则。 如果你启用 SRP 且不强制它限制任何应用程序,则 SPR 将能够监视正在运行的应用程序。
创建以下注册表值以启用高级日志记录功能,并将路径设置为应当写入日志文件的位置。
"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"
字符串值:LogFileName 的 LogFileName 路径
由于 SRP 在应用程序运行时会评估所有应用程序,因此每次运行该应用程序时,都会向日志文件 NameLogFile 中写入一个条目。
评估日志文件
每个日志条目都指示:
软件限制策略的调用方和调用方进程的进程 ID (PID)
正在评估的目标
该应用程序运行时遇到的 SRP 规则
SRP 规则的标识符。
写入到日志文件的输出示例:
explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe as Unrestricted usingpath rule, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} SRP 检查并设置为“阻止”的所有应用程序和关联代码都将记录在日志文件中,然后你可以使用该文件来确定应为“允许”列表考虑哪些可执行文件。