記錄群組原則結構與 AppLocker 規則強制執行
本規劃文章說明當您使用AppLocker時,應該在計劃中包含的內容。
記錄您的結果
若要完成此 AppLocker 規劃檔,您應該先完成下列步驟:
在決定如何針對 AppLocker 原則) 建構 群組原則 物件 (GPO 之後,您應該記錄結果。 您可以使用下表來判斷要建立 (或編輯) 的 GPO 數目,以及它們所連結的物件。 如果您決定建立自定義規則以允許系統檔案執行,請記下 [使用預設規則或定義新規則條件 ] 資料行中的高層級規則設定。
下表包含當您決定 AppLocker 原則的強制設定和 GPO 結構時所收集的範例數據。
| 商務群組 | 組織單位 | 實作 AppLocker? | 應用程式 | 安裝路徑 | 使用預設規則或定義新的規則條件 | 允許或拒絕 | GPO 名稱 |
|---|---|---|---|---|---|---|---|
| 銀行出納員 | Teller-East 和 Teller-West | 是 | Teller Software | C:\Program Files\Woodgrove\Teller.exe | 檔案已簽署;建立發行者條件 | 允許 | Tellers-AppLockerTellerRules |
| Windows 檔案 | C:\Windows | 建立預設規則的路徑例外狀況以排除 \Windows\Temp | 允許 | ||||
| 人力資源 | HR-All | 是 | 檢查支付 | C:\Program Files\Woodgrove\HR\Checkcut.exe | 檔案已簽署;建立發行者條件 | 允許 | HR-AppLockerHRRules |
| 工作表召集人 | C:\Program Files\Woodgrove\HR\Timesheet.exe | 檔案未簽署;建立檔案哈希條件 | 允許 | ||||
| Internet Explorer 7 | C:\Program Files\Internet Explorer | 檔案已簽署;建立發行者條件 | 拒絕 | ||||
| Windows 檔案 | C:\Windows | 使用 Windows 路徑的預設規則 | 允許 |
後續步驟
在您判斷每個商務群組應用程式的 群組原則 結構和規則強制執行策略之後,下列工作仍會保留: