Partilhar via


Documentar a estrutura da Política de Grupo e a imposição de regras do AppLocker

Este artigo de planeamento descreve o que deve incluir no seu plano quando utiliza o AppLocker.

Registar as suas descobertas

Para concluir este documento de planeamento do AppLocker, deve primeiro concluir os seguintes passos:

  1. Determinar seus objetivos de controle do aplicativo
  2. Criar uma lista de aplicativos implantados para cada grupo comercial
  3. Selecionar os tipos de regras que serão criados
  4. Determinar a estrutura da Política de Grupo e a imposição de regras

Depois de determinar como estruturar os objetos de Política de Grupo (GPOs) para as políticas do AppLocker, deve registar as suas conclusões. Pode utilizar a tabela seguinte para determinar a quantidade de GPOs a criar (ou editar) e a que objetos estão ligados. Se decidir criar regras personalizadas para permitir a execução de ficheiros de sistema, tenha em atenção a configuração da regra de alto nível na coluna Utilizar regra predefinida ou definir nova condição de regra .

A tabela seguinte inclui os dados de exemplo que foram recolhidos quando determinou as definições de imposição e a estrutura de GPO para as políticas do AppLocker.

Grupo empresarial Unidade organizacional Implementar o AppLocker? Apps Caminho de instalação Utilizar a regra predefinida ou definir a nova condição de regra Permitir ou negar Nome do GPO
Caixas Bancárias Teller-East e Teller-West Sim Teller Software C:\Program Files\Woodgrove\Teller.exe O ficheiro está assinado; criar uma condição de publicador Permitido Tellers-AppLockerTellerRules
Ficheiros do Windows C:\Windows Criar uma exceção de caminho para a regra predefinida para excluir \Windows\Temp Permitido
Recursos Humanos HR-All Sim Verificar Pagamento C:\Program Files\Woodgrove\HR\Checkcut.exe O ficheiro está assinado; criar uma condição de publicador Permitido HR-AppLockerHRRules
Organizador da Folha de Horas C:\Program Files\Woodgrove\HR\Timesheet.exe O ficheiro não está assinado; criar uma condição hash de ficheiro Permitido
Internet Explorer 7 C:\Program Files\Internet Explorer

O ficheiro está assinado; criar uma condição de publicador Negado
Ficheiros do Windows C:\Windows Utilizar uma regra predefinida para o caminho do Windows Permitido

Próximas etapas

Depois de determinar a estrutura Política de Grupo e a estratégia de imposição de regras para as aplicações de cada grupo empresarial, as seguintes tarefas permanecem: