部署 AppLocker 原則的需求
這篇適用於 IT 專業人員的部署文章列出部署 AppLocker 原則之前,您需要考慮的需求。
部署 AppLocker 原則之前,必須先符合或解決下列需求:
部署計劃
成功的 AppLocker 原則部署從原則設計開始,可允許組織所需的應用程式,並防止未經授權的應用程式,包括惡意代碼執行。 若要開發此方案,請參閱 AppLocker設計指南。 下表是您需要收集的數據範例,以及成功部署AppLocker原則所需的決策。
| 商務群組 | 組織單位 | 實作 AppLocker? | 應用程式 | 安裝路徑 | 使用預設規則或定義新的規則條件 | 允許或拒絕 | GPO 名稱 | 支援原則 |
|---|---|---|---|---|---|---|---|---|
| 銀行出納員 | Teller-East 和 Teller-West | 是 | Teller 軟體 | C:\Program Files\Woodgrove\Teller.exe | 檔案已簽署;建立發行者條件 | 允許 | 出納員 | Web 說明 |
| Windows 檔案 | C:\Windows | 建立預設規則的路徑例外狀況以排除 \Windows\Temp | 允許 | 服務台 | ||||
| 工作表召集人 | C:\Program Files\Woodgrove\HR\Timesheet.exe | 檔案未簽署;建立檔案哈希條件 | 允許 | Web 說明 | ||||
| 人力資源 | HR-All | 是 | 檢查支付 | C:\Program Files\Woodgrove\HR\Checkcut.exe | 檔案已簽署;建立發行者條件 | 允許 | HR | Web 說明 |
| Internet Explorer 7 | C:\Program Files\Internet Explorer | 檔案已簽署;建立發行者條件 | 拒絕 | 服務台 | ||||
| Windows 檔案 | C:\Windows | 使用 Windows 路徑的預設規則 | 允許 | 服務台 |
事件處理原則
| 商務群組 | AppLocker 事件收集位置 | 封存原則 | 分析? | 安全策略 |
|---|---|---|---|---|
| 銀行出納員 | 轉送至:srvBT093 | Standard | 無 | Standard |
| 人力資源 | 不要轉寄 | 60 個月 | 是的;每月摘要報告給經理 | Standard |
原則維護原則
| 商務群組 | 規則更新原則 | 應用程式解除委任原則 | 應用程式版本原則 | 應用程式部署原則 |
|---|---|---|---|---|
| 銀行出納員 | 已規劃:每月到商務辦公室分級 緊急:透過技術支援中心要求 |
透過商務辦公室分級;需要 30 天通知 | 一般原則:保留過去版本 12 個月 列出每個應用程式的原則 |
透過商務辦公室協調;需要 30 天通知 |
| 人力資源 | 已規劃:透過 HR 分級 緊急:透過技術支援中心要求 |
透過 HR 分級;需要 30 天通知 | 一般原則:保留過去版本 60 個月 列出每個應用程式的原則 |
透過 HR 協調;需要 30 天通知 |
支援的作業系統
只有特定作業系統才支援AppLocker。 某些功能無法在所有作業系統上使用。 如需詳細資訊,請 參閱使用AppLocker的需求。
原則分配機制
您需要一種方式來將AppLocker原則分散到整個目標商務群組。 AppLocker 會使用 群組原則 管理架構,有效地散發應用程控原則。 您也可以使用本機安全策略嵌入式管理單元,在個別計算機上設定AppLocker原則。 AppLocker 規則也可以透過行動裝置管理解決方案散發,例如 Microsoft Intune。
事件收集和分析系統
事件處理對於瞭解應用程式使用量很重要。 您必須有收集和分析 AppLocker 事件的程式,才能適當地限制和瞭解應用程式使用量。 如需監視AppLocker事件的程式,請參閱: