本文面向 IT 专业人员介绍了使用参考计算机创建和维护 AppLocker 策略的步骤。
背景和先决条件
AppLocker 引用设备是一种基线设备,可用于配置策略,然后可用于维护 AppLocker 策略。 有关配置引用设备的过程,请参阅 配置 AppLocker 引用设备。
用于创建和维护 AppLocker 策略的 AppLocker 引用设备应包含每个组织单位的相应应用, (OU) 来模拟生产环境。
可以使用“仅审核”强制模式设置或Windows PowerShell cmdlet 在引用设备上执行 AppLocker 策略测试。
步骤 1:在引用设备上自动生成规则
使用 AppLocker,可以为文件夹中的所有文件自动生成规则。 AppLocker 会扫描指定的文件夹,并创建你为该文件夹中的每个文件选择的条件类型。 有关如何自动生成规则的信息,请参阅 运行自动生成规则向导。
注意
如果运行此向导为 组策略 对象 (GPO) 创建第一个规则,系统会提示创建允许运行关键系统文件的默认规则。 可以随时编辑默认规则。 如果你的组织使用自定义规则来允许 Windows 系统文件运行,请确保在创建自定义规则后删除默认规则。
步骤 2:在引用设备上创建默认规则
AppLocker 包括每个规则集合的默认规则。 这些规则旨在帮助确保在 AppLocker 规则集合中允许 Windows 正常运行所需的文件。 必须为每个规则集合运行默认规则。 有关默认规则及其使用注意事项的信息,请参阅 了解 AppLocker 默认规则。 有关创建默认规则的过程,请参阅 创建 AppLocker 默认规则。
重要提示
创建自己的规则时,可以使用默认规则作为模板。 这允许运行 Windows 目录中的文件。 但是,这些规则仅用于在首次测试 AppLocker 规则时充当初学者策略。
步骤 3:修改引用设备上的规则和规则集合
如果 AppLocker 策略当前在生产环境中运行,请从相应的 GPO 中导出策略并将其保存到引用设备。 有关如何导出和保存策略的信息,请参阅 从 GPO 导出 AppLocker 策略。 如果未部署 AppLocker 策略,请创建规则并使用以下过程开发策略:
- 创建使用发布者条件的规则
- 创建使用文件哈希条件的规则
- 创建使用路径条件的规则
- 编辑 AppLocker 规则
- 为 AppLocker 规则添加例外
- 删除 AppLocker 规则
- 启用 DLL 规则集合
- 强制执行 AppLocker 规则
步骤 4:在引用设备上测试和更新 AppLocker 策略
应测试每组规则,以确保它们按预期执行。 Test-AppLockerPolicy Windows PowerShell cmdlet 可用于确定引用设备上的任何应用是否被规则集合中的规则阻止。 在用于定义 AppLocker 策略的每个引用设备上执行这些步骤。 确保引用设备已加入域,并且它正在从相应的 GPO 接收 AppLocker 策略。 由于 AppLocker 规则继承自链接的 GPO,因此应部署所有规则以同时测试所有测试 GPO。 使用以下过程完成此步骤:
警告
如果已将规则集合上的强制模式设置设置为 “强制实施规则 ”或 “未配置”,则会在完成下一步时强制实施策略。 将规则集合上的强制模式设置设置为 “仅 当尚未准备好阻止任何文件运行时审核”。
步骤 5:将策略导出并导入到生产环境中
测试 AppLocker 策略后,可以将其导入 GPO (或导入到不受组策略) 管理的单个计算机中,并检查其预期效果。 若要执行这些任务,请执行以下过程:
如果 AppLocker 策略强制设置为 “仅审核 ”,并且你确信该策略正在实现你的意图,则可以将其更改为 “强制实施规则”。 有关如何更改强制设置的信息,请参阅 为强制规则配置 AppLocker 策略。
步骤 6:监视生产中策略的效果
如果在部署策略后需要进行更多优化或更新,请使用以下适当的过程来监视和更新策略: