使用強制執行規則設定部署 AppLocker 原則
本文適用於 IT 專業人員,說明使用強制設定方法部署 AppLocker 原則的步驟。
背景和必要條件
這些程式假設您的 AppLocker 原則是在強制模式設定為 [僅稽核] 時部署,而且您已透過 AppLocker 事件記錄和其他通道收集數據,以判斷這些原則對您的環境有何影響,以及原則是否遵循您的應用程控設計。
如需 AppLocker 原則強制執行設定的相關信息,請參閱 瞭解 AppLocker 強制設定。
如需如何規劃 AppLocker 原則部署的資訊,請參閱 AppLocker 設計指南。
步驟 1:擷取 AppLocker 原則
更新目前在生產環境中強制執行的AppLocker原則可能會導致非預期的結果。 使用 群組原則,您可以從 群組原則 Object (GPO) 匯出原則,然後在參照或測試電腦上使用 AppLocker 來更新規則或規則。 如需執行這些工作的程式,請參閱 從 GPO 匯出 AppLocker 原則和將 AppLocker 原則匯入 GPO。 針對本機 AppLocker 原則,您可以在 AppLocker 參考或測試電腦上使用 (secpol.msc) 的本機安全策略嵌入式管理單元來更新規則或規則。 如需執行這項工作的程式,請參閱將 AppLocker原則匯出至 XML 檔案 和 從另一部電腦匯入 AppLocker 原則。
步驟 2:改變強制設定
規則強制執行會套用至規則集合內的所有規則,而不是個別規則。 AppLocker 會將規則分成集合:可執行檔、Windows Installer 檔案、已封裝的應用程式、腳本和 DLL 檔案。 如需強制模式設定的相關信息,請參 閱瞭解AppLocker強制設定。 如需改變強制模式設定的程式, 請參閱設定僅稽核的 AppLocker 原則。
步驟 3:更新原則
您可以藉由新增、變更或移除規則來編輯AppLocker原則。 不過,您無法藉由匯入更多規則來指定 AppLocker 原則的版本。 若要在修改 AppLocker 原則時確保版本控制,請使用可讓您建立 GPO 版本的 群組原則 管理軟體。 這類軟體的範例是Microsoft計算機優化套件中的進階 群組原則 管理功能。
注意
在 群組原則 中強制執行 AppLocker 規則集合時,您不應該編輯它。 因為 AppLocker 會控制允許執行哪些檔案,所以變更即時原則可能會導致非預期的行為。
如需更新 GPO 的程式,請參閱將 AppLocker 原則匯入 GPO。
如需使用本機安全策略嵌入式管理單元 (secpol.msc) 散發本機計算機原則的程式,請參閱將 AppLocker 原則導出至 XML 檔案 和 從另一部計算機匯入 AppLocker 原則。
步驟 4:監視原則的效果
部署原則時,請務必監視該原則的實際實作,方法是監視支援組織的應用程式存取要求活動,並檢閱AppLocker事件記錄檔。 若要監視原則的效果,請參 閱使用AppLocker監視應用程式使用量。
其他資源
- 如需執行其他 AppLocker 原則工作的步驟,請參閱 管理 AppLocker。