测试和更新 AppLocker 策略

本文讨论在部署之前测试 AppLocker 策略所需的步骤。

应测试每组规则,以确保规则按预期执行。 如果使用 组策略 管理 AppLocker 策略,请针对包含 AppLocker 规则的每个 组策略 对象 (GPO) 完成以下步骤。 由于 AppLocker 规则继承自链接的 GPO,因此应在所有测试 GPO 中部署用于同时测试的所有规则。

步骤 1:启用“仅审核”强制设置

使用 “仅审核 ”强制模式设置验证是否已为组织正确配置 AppLocker 规则,而不会阻止任何代码。 可以在“AppLocker 属性”对话框的“强制”选项卡上启用此设置。 有关执行此配置的过程的信息,请参阅 配置仅用于审核的 AppLocker 策略

步骤 2:将应用程序标识服务配置为自动启动

由于 AppLocker 使用应用程序标识服务来验证文件的属性,因此必须将其配置为在应用 AppLocker 规则的任何 GPO 中自动启动。 有关详细信息,请参阅 配置应用程序标识服务。 如果不使用 GPO 部署 AppLocker 策略,必须确保该服务在每台电脑上运行,以便应用策略。

步骤 3:测试策略

测试 AppLocker 策略以确定是否需要修改规则集合。 只有在配置为接收 AppLocker 策略的所有客户端电脑上,AppLocker 策略才应在审核模式下处于活动状态。

Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定规则集合中的规则是否阻止了引用电脑上运行的任何代码。 有关执行此测试的过程的信息,请参阅 使用 Test-AppLockerPolicy 测试 AppLocker 策略

步骤 4:分析 AppLocker 事件

可以手动分析 AppLocker 事件,也可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 自动执行分析。

手动分析 AppLocker 事件

使用事件查看器或文本编辑器查看和排序 AppLocker 事件进行分析。 可以在应用程序使用事件、访问频率或用户组的访问中查找模式。 如果未配置事件订阅,可以在组织中计算机的采样中查看日志。 有关使用 事件查看器 的详细信息,请参阅使用 AppLocker 监视应用程序使用情况

使用 Get-AppLockerFileInformation 分析 AppLocker 事件

可以使用 Get-AppLockerFileInformation Windows PowerShell cmdlet 分析来自远程计算机的 AppLocker 事件。 如果应用被阻止且应允许,则可以使用 AppLocker cmdlet 来帮助排查问题。

对于事件订阅和本地事件,可以使用 Get-AppLockerFileInformation cmdlet 来确定策略不允许哪些文件以及每个文件发生事件的次数。 有关执行此监视的过程的信息,请参阅 使用 AppLocker 监视应用程序使用情况

接下来,应查看规则列表,以确定是否应为阻止的文件创建新规则,或者现有规则的定义是否过于严格。 确保检查当前阻止文件运行的 GPO。 若要确定此阻止 GPO,可以使用组策略结果向导查看规则名称。

步骤 5:修改 AppLocker 策略

知道要编辑或添加到策略的规则后,请使用 组策略 管理控制台修改相关 GPO 中的 AppLocker 规则。 如果不通过 GPO 管理 AppLocker 策略,可以使用本地安全策略管理单元 (secpol.msc) 。 有关如何修改 AppLocker 策略的信息,请参阅 编辑 AppLocker 策略

步骤 6:重复策略测试、分析和策略修改

重复前面的步骤 3-5,直到所有规则在应用强制执行之前按预期执行。

其他资源

  • 有关执行其他 AppLocker 策略任务的步骤,请参阅 管理 AppLocker