使用强制执行规则设置部署 AppLocker 策略
本文面向 IT 专业人员介绍了使用强制设置方法部署 AppLocker 策略的步骤。
背景和先决条件
这些过程假定在部署 AppLocker 策略时将强制模式设置为“ 仅审核”,并且你一直在通过 AppLocker 事件日志和其他渠道收集数据,以确定这些策略对环境的影响以及策略是否遵守应用程序控制设计。
有关 AppLocker 策略强制设置的信息,请参阅 了解 AppLocker 强制设置。
有关如何规划 AppLocker 策略部署的信息,请参阅 AppLocker 设计指南。
步骤 1:检索 AppLocker 策略
更新当前在生产环境中强制执行的 AppLocker 策略可能会导致意外结果。 使用 组策略,可以从 组策略 对象 (GPO) 导出策略,然后在引用或测试电脑上使用 AppLocker 更新规则。 有关执行这些任务的过程,请参阅 从 GPO 导出 AppLocker 策略 和 将 AppLocker 策略导入 GPO。 对于本地 AppLocker 策略,可以在 AppLocker 参考或测试电脑上使用本地安全策略管理单元 (secpol.msc) 来更新规则。 有关执行此任务的过程,请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入 AppLocker 策略。
步骤 2:更改强制设置
规则强制应用于规则集合中的所有规则,而不是单个规则。 AppLocker 将规则划分为集合:可执行文件、Windows Installer 文件、打包的应用、脚本和 DLL 文件。 有关强制模式设置的信息,请参阅 了解 AppLocker 强制设置。 有关更改强制模式设置的过程,请参阅 配置仅用于审核的 AppLocker 策略。
步骤 3:更新策略
可以通过添加、更改或删除规则来编辑 AppLocker 策略。 但是,无法通过导入更多规则来指定 AppLocker 策略的版本。 若要确保在修改 AppLocker 策略时进行版本控制,请使用允许创建 GPO 版本的组策略管理软件。 此类软件的一个示例是Microsoft桌面优化包中的高级组策略管理功能。
注意
在 组策略 中强制实施 AppLocker 规则集合时,不应对其进行编辑。 由于 AppLocker 控制允许运行的文件,因此对实时策略进行更改可能会导致意外行为。
有关更新 GPO 的过程,请参阅 将 AppLocker 策略导入 GPO。
有关使用本地安全策略管理单元 (secpol.msc) 分发本地电脑策略的过程,请参阅将 AppLocker 策略导出到 XML 文件和从另一台计算机导入 AppLocker 策略。
步骤 4:监视策略的效果
部署策略时,通过监视支持组织的应用访问请求活动并查看 AppLocker 事件日志来监视该策略的实际实现非常重要。 若要监视策略的效果,请参阅 使用 AppLocker 监视应用程序使用情况。
其他资源
- 有关执行其他 AppLocker 策略任务的步骤,请参阅 管理 AppLocker。