收集应用使用情况要求

本文介绍从每个业务组收集应用使用要求以使用 AppLocker 实现应用程序控制策略的过程。

确定应用使用情况

对于每个业务组,确定以下信息:

  • 使用的应用的完整列表,包括应用的不同版本。
  • 应用的完整安装路径。
  • 每个应用的发布者和已签名状态。
  • 业务组为每个应用设置的要求类型,例如业务关键、业务生产力、可选或个人要求。 在进行此工作期间,确定哪些应用受 IT 部门支持或支持,或不受你控制的其他部门支持哪些应用可能也很有用。

如何执行应用使用情况评估

你可能已有一种方法来了解每个业务组的应用使用情况。 你需要使用此信息来帮助创建 AppLocker 规则集合。 AppLocker 包括“自动生成规则”向导和 “仅审核” 强制配置,以帮助你规划和创建规则集合。

应用程序清单方法

使用“自动生成规则”向导可快速为指定的应用程序创建规则。 该向导专门用于生成规则集合。 可以使用本地安全策略管理单元查看和编辑规则。 此方法在从引用计算机创建规则并在测试环境中创建和评估 AppLocker 策略时非常有用。 但是,它确实要求在引用计算机上或通过网络驱动器访问文件。 此要求可能意味着在设置引用计算机和确定该计算机的维护策略方面需要执行更多工作。

使用“仅审核”强制方法可让你查看日志,因为它收集有关接收 组策略 对象 (GPO) 的计算机上的每个进程的信息。 因此,可以评估强制执行对业务组中计算机的可能影响。 AppLocker 包括Windows PowerShell cmdlet,可用于分析事件日志中的事件,以及用于创建规则的 cmdlet。 但是,使用 组策略 部署到多台计算机时,在中心位置收集事件的方法对于可管理性非常重要。 由于 AppLocker 记录有关用户或其他进程在计算机上启动的文件的信息,因此你最初可能会错过创建一些规则。 因此,应继续评估,直到可以验证是否成功访问了允许运行的所有必需应用程序。

提示

如果针对启用了任何 AppLocker 策略的自定义应用程序运行应用程序验证程序,可能会阻止应用程序运行。 应禁用应用程序验证程序或 AppLocker。

可以使用两种方法在设备上创建打包应用的清单:Get-AppxPackage Windows PowerShell cmdlet 或 AppLocker 控制台。

以下文章介绍如何执行每个方法:

完成清单的先决条件

确定应用程序控制策略的业务组和每个组织单位 (OU) 。 此外,还应确定 AppLocker 是否是最适合这些策略的解决方案。 有关这些步骤的信息,请参阅以下文章:

后续步骤

标识并开发应用列表。 记录应用的名称、发布者以及应用程序的重要性。 记录应用的安装路径。 有关详细信息,请参阅 记录应用列表

创建应用列表后,下一步是确定要创建的规则,以便这些应用可以运行。 可以将此信息添加到表中标有以下列的表中:

  • 使用默认规则或定义新规则条件
  • 允许或拒绝
  • GPO 名称

有关指导,请参阅以下文章: