部署 AppLocker 策略的要求
此面向 IT 专业人员的部署文章列出了在部署 AppLocker 策略之前需要考虑的要求。
在部署 AppLocker 策略之前,必须满足或满足以下要求:
部署计划
成功的 AppLocker 策略部署从策略设计开始,该设计允许组织所需的应用程序,并防止未经授权的应用(包括恶意软件)运行。 若要开发此计划,请参阅 AppLocker 设计指南。 下表是需要收集的数据的示例,以及成功部署 AppLocker 策略所需的决策。
| 业务组 | 组织单位 | 实现 AppLocker? | 应用 | 安装路径 | 使用默认规则或定义新规则条件 | 允许或拒绝 | GPO 名称 | 支持策略 |
|---|---|---|---|---|---|---|---|---|
| 银行出纳员 | Teller-East 和 Teller-West | 是 | 出纳器软件 | C:\Program Files\Woodgrove\Teller.exe | 文件已签名;创建发布者条件 | 允许 | 出纳员 | Web 帮助 |
| Windows 文件 | C:\Windows | 创建默认规则的路径例外以排除 \Windows\Temp | 允许 | 服务台 | ||||
| 时间表管理器 | C:\Program Files\Woodgrove\HR\Timesheet.exe | 文件未签名;创建文件哈希条件 | 允许 | Web 帮助 | ||||
| 人力资源 | HR-All | 是 | 查看付款 | C:\Program Files\Woodgrove\HR\Checkcut.exe | 文件已签名;创建发布者条件 | 允许 | HR | Web 帮助 |
| Internet Explorer 7 | C:\Program Files\Internet Explorer | 文件已签名;创建发布者条件 | 拒绝 | 服务台 | ||||
| Windows 文件 | C:\Windows | 对 Windows 路径使用默认规则 | 允许 | 服务台 |
事件处理策略
| 业务组 | AppLocker 事件集合位置 | 存档策略 | 分析? | 安全策略 |
|---|---|---|---|---|
| 银行出纳员 | 转发到:srvBT093 | Standard | 无 | Standard |
| 人力资源 | 不转发 | 60 个月 | 是的;每月向经理报告摘要 | Standard |
策略维护策略
| 业务组 | 规则更新策略 | 应用解除授权策略 | 应用版本策略 | 应用部署策略 |
|---|---|---|---|---|
| 银行出纳员 | 计划:每月通过业务办公室会审 紧急:通过技术支持请求 |
通过业务办公室会审;需要 30 天通知 | 常规策略:将过去版本保留 12 个月 列出每个应用程序的策略 |
通过业务办公室协调;需要 30 天通知 |
| 人力资源 | 计划:通过 HR 会审 紧急:通过技术支持请求 |
通过 HR 会审;需要 30 天通知 | 常规策略:将过去版本保留 60 个月 列出每个应用程序的策略 |
通过人力资源协调;需要 30 天通知 |
支持的操作系统
AppLocker 仅在某些操作系统上受支持。 某些功能并非在所有操作系统上都可用。 有关详细信息,请参阅 使用 AppLocker 的要求。
策略分发机制
需要一种方法来在整个目标业务组中分发 AppLocker 策略。 AppLocker 使用组策略管理体系结构来有效分发应用程序控制策略。 还可以使用本地安全策略管理单元在单个计算机上配置 AppLocker 策略。 AppLocker 规则还可以通过移动设备管理解决方案(如Microsoft Intune)分发。
事件收集和分析系统
事件处理对于了解应用程序使用情况非常重要。 必须有一个流程来收集和分析 AppLocker 事件,以便适当限制和理解应用程序使用情况。 有关监视 AppLocker 事件的过程,请参阅: