记录组策略结构和 AppLocker 规则强制
此规划文章介绍了使用 AppLocker 时应包含在计划中的内容。
记录你的发现
若要完成此 AppLocker 规划文档,应首先完成以下步骤:
确定如何构建适用于 AppLocker 策略的 组策略 对象 (GPO) 后,应记录发现结果。 可以使用下表来确定要创建 (或编辑) 的 GPO 数量,以及它们链接到的对象。 如果决定创建自定义规则以允许系统文件运行,请注意 “使用默认规则或定义新规则条件 ”列中的高级规则配置。
下表包含确定 AppLocker 策略的强制设置和 GPO 结构时收集的示例数据。
| 业务组 | 组织单位 | 实现 AppLocker? | 应用 | 安装路径 | 使用默认规则或定义新规则条件 | 允许或拒绝 | GPO 名称 |
|---|---|---|---|---|---|---|---|
| 银行出纳员 | Teller-East 和 Teller-West | 是 | 出纳软件 | C:\Program Files\Woodgrove\Teller.exe | 文件已签名;创建发布者条件 | 允许 | Tellers-AppLockerTellerRules |
| Windows 文件 | C:\Windows | 创建默认规则的路径例外以排除 \Windows\Temp | 允许 | ||||
| 人力资源 | HR-All | 是 | 查看付款 | C:\Program Files\Woodgrove\HR\Checkcut.exe | 文件已签名;创建发布者条件 | 允许 | HR-AppLockerHRRules |
| 时间表管理器 | C:\Program Files\Woodgrove\HR\Timesheet.exe | 文件未签名;创建文件哈希条件 | 允许 | ||||
| Internet Explorer 7 | C:\Program Files\Internet Explorer | 文件已签名;创建发布者条件 | 拒绝 | ||||
| Windows 文件 | C:\Windows | 对 Windows 路径使用默认规则 | 允许 |
后续步骤
确定每个业务组应用的组策略结构和规则实施策略后,以下任务仍然存在: