使用參照裝置建立及維護 AppLocker 原則
本文適用於 IT 專業人員,說明使用參照計算機建立和維護 AppLocker 原則的步驟。
背景和必要條件
AppLocker 參考裝置是一種基準裝置,可用來設定原則,然後可用來維護 AppLocker 原則。 如需設定參照裝置的程式,請參閱設定 AppLocker 參考裝置。
用來建立和維護 AppLocker 原則的 AppLocker 參考裝置應該包含每個組織單位的對應應用程式, (OU) 來模擬您的生產環境。
您可以使用僅稽核強制模式設定或 Windows PowerShell Cmdlet,在參照裝置上執行 AppLocker 原則測試。
步驟 1:在參照裝置上自動產生規則
使用 AppLocker,您可以自動產生資料夾內所有檔案的規則。 AppLocker 會掃描指定的資料夾,並建立您為該資料夾中的每個檔案選擇的條件類型。 如需如何自動產生規則的資訊,請 參閱執行自動產生規則精靈。
注意
如果您執行此精靈來建立 群組原則 物件 (GPO) 的第一個規則,系統會提示您建立預設規則,以允許執行重要的系統檔案。 您可以隨時編輯預設規則。 如果您的組織使用自定義規則來允許 Windows 系統檔案執行,請確定您在建立自定義規則之後刪除預設規則。
步驟 2:在參照裝置上建立默認規則
AppLocker 包含每個規則集合的默認規則。 這些規則旨在協助確保 AppLocker 規則集合中允許 Windows 正常運作所需的檔案。 您必須為每個規則集合執行預設規則。 如需使用默認規則和考慮的相關信息,請參閱 瞭解 AppLocker 預設規則。 如需建立默認規則的程式,請 參閱建立AppLocker默認規則。
重要
當您建立自己的規則時,可以使用預設規則作為範本。 這可讓 Windows 目錄內的檔案執行。 不過,當您第一次測試 AppLocker 規則時,這些規則只能作為入門原則。
步驟 3:修改參考裝置上的規則和規則集合
如果 AppLocker 原則目前正在生產環境中執行,請從對應的 GPO 匯出原則,並將其儲存至參考裝置。 如需如何匯出和儲存原則的資訊,請參閱 從 GPO 匯出 AppLocker 原則。 如果未部署任何 AppLocker 原則,請使用下列程式建立規則並開發原則:
- 建立使用發行者條件的規則
- 建立使用檔案雜湊條件的規則
- 建立使用路徑條件的規則
- 編輯 AppLocker 規則
- 新增 AppLocker 規則的例外
- 刪除 AppLocker 規則
- 啟用 DLL 規則集合
- 強制執行 AppLocker 規則
步驟 4:在參照裝置上測試和更新 AppLocker 原則
您應該測試每組規則,以確保它們如預期般執行。 Test-AppLockerPolicy Windows PowerShell Cmdlet 可用來判斷參考裝置上的任何應用程式是否遭到規則集合中的規則封鎖。 在您用來定義 AppLocker 原則的每個參考裝置上執行步驟。 請確定參照裝置已加入網域,並已從適當的 GPO 接收 AppLocker 原則。 因為 AppLocker 規則繼承自連結的 GPO,所以您應該部署所有規則,以同時測試所有測試 GPO。 使用下列程式來完成此步驟:
警告
如果您已將規則集合上的強制模式設定設為 [強制執行規則 ] 或 [ 未設定],則會在完成下一個步驟時強制執行原則。 只有在您尚未準備好封鎖任何檔案執行時,才將規則集合上的強制模式設定設為 [稽 核]。
步驟 5:將原則匯出並匯入生產環境
測試 AppLocker 原則之後,您可以將它匯入 GPO (,或匯入未由 群組原則) 管理的個別電腦,並檢查其預期的效果。 若要執行這些工作,請執行下列程式:
如果 AppLocker 原則強制執行設定 為 [僅稽 核],而且您滿意原則符合您的意圖,您可以將它變更為 [強制執行規則]。 如需如何變更強制設定的資訊,請參閱設定 AppLocker原則以強制執行規則。
步驟 6:監視原則在生產環境中的效果
如果在部署原則之後需要進行更多精簡或更新,請使用適當的下列程式來監視和更新原則: