使用引用设备创建和维护 AppLocker 策略

本文面向 IT 专业人员介绍了使用参考计算机创建和维护 AppLocker 策略的步骤。

背景和先决条件

AppLocker 引用设备是一种基线设备,可用于配置策略,然后可用于维护 AppLocker 策略。 有关配置引用设备的过程,请参阅 配置 AppLocker 引用设备

用于创建和维护 AppLocker 策略的 AppLocker 引用设备应包含每个组织单位的相应应用, (OU) 来模拟生产环境。

可以使用“仅审核”强制模式设置或Windows PowerShell cmdlet 在引用设备上执行 AppLocker 策略测试。

步骤 1:在引用设备上自动生成规则

使用 AppLocker,可以为文件夹中的所有文件自动生成规则。 AppLocker 会扫描指定的文件夹,并创建你为该文件夹中的每个文件选择的条件类型。 有关如何自动生成规则的信息,请参阅 运行自动生成规则向导

注意

如果运行此向导为 组策略 对象 (GPO) 创建第一个规则,系统会提示创建允许运行关键系统文件的默认规则。 可以随时编辑默认规则。 如果你的组织使用自定义规则来允许 Windows 系统文件运行,请确保在创建自定义规则后删除默认规则。

步骤 2:在引用设备上创建默认规则

AppLocker 包括每个规则集合的默认规则。 这些规则旨在帮助确保在 AppLocker 规则集合中允许 Windows 正常运行所需的文件。 必须为每个规则集合运行默认规则。 有关默认规则及其使用注意事项的信息,请参阅 了解 AppLocker 默认规则。 有关创建默认规则的过程,请参阅 创建 AppLocker 默认规则

重要提示

创建自己的规则时,可以使用默认规则作为模板。 这允许运行 Windows 目录中的文件。 但是,这些规则仅用于在首次测试 AppLocker 规则时充当初学者策略。

步骤 3:修改引用设备上的规则和规则集合

如果 AppLocker 策略当前在生产环境中运行,请从相应的 GPO 中导出策略并将其保存到引用设备。 有关如何导出和保存策略的信息,请参阅 从 GPO 导出 AppLocker 策略。 如果未部署 AppLocker 策略,请创建规则并使用以下过程开发策略:

步骤 4:在引用设备上测试和更新 AppLocker 策略

应测试每组规则,以确保它们按预期执行。 Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定引用设备上的任何应用是否被规则集合中的规则阻止。 在用于定义 AppLocker 策略的每个引用设备上执行这些步骤。 确保引用设备已加入域,并且它正在从相应的 GPO 接收 AppLocker 策略。 由于 AppLocker 规则继承自链接的 GPO,因此应部署所有规则以同时测试所有测试 GPO。 使用以下过程完成此步骤:

警告

如果已将规则集合上的强制模式设置设置为 “强制实施规则 ”或 “未配置”,则会在完成下一步时强制实施策略。 将规则集合上的强制模式设置设置为 “仅 当尚未准备好阻止任何文件运行时审核”。

步骤 5:将策略导出并导入到生产环境中

测试 AppLocker 策略后,可以将其导入 GPO (或导入到不受组策略) 管理的单个计算机中,并检查其预期效果。 若要执行这些任务,请执行以下过程:

如果 AppLocker 策略强制设置为 “仅审核 ”,并且你确信该策略正在实现你的意图,则可以将其更改为 “强制实施规则”。 有关如何更改强制设置的信息,请参阅 为强制规则配置 AppLocker 策略

步骤 6:监视生产中策略的效果

如果在部署策略后需要进行更多优化或更新,请使用以下适当的过程来监视和更新策略:

另请参阅