將 AppLocker 原則部署至生產環境
本文適用於 IT 專業人員,說明部署 AppLocker 應用程控設定之前應該先完成的工作。
成功測試和修改每個 群組原則 Object (GPO) 的 AppLocker 原則之後,您就可以將強制設定部署到生產環境。 對於大部分的組織而言,這表示將 AppLocker 強制模式設定從 [僅稽核 ] 切換為 [強制 執行規則集合的規則]。 請務必遵循您稍早建立的部署計劃。 如需詳細資訊,請參閱 AppLocker 設計指南。 根據組織中不同商務群組的需求,您可以為連結的 GPO 部署不同的強制模式設定。
了解您的設計決策
部署 AppLocker 原則之前,您應該先決定:
- 針對每個商務群組,要以何種方式控制哪些應用程式。 如需詳細資訊,請參閱建立已部署到每個業務群組的應用程式清單。
- 如何處理應用程式存取的要求。 如需開發支援原則時所應考量事項的詳細資訊,請參閱規劃 AppLocker 原則管理。
- 如何管理事件,包括轉送事件。 如需有關 AppLocker 中事件管理的詳細資訊,請參閱使用 AppLocker 監視應用程式使用方式。
- 您的 GPO 結構,包括如何包含 AppLocker 原則。 如需詳細資訊,請參閱決定群組原則結構和規則強制執行。
如需有關 AppLocker 部署如何依循設計決策的詳細資訊,請參閱了解 AppLocker 原則設計決策。
AppLocker 部署方法
如果您設定參照裝置,您可以在此裝置上建立和更新 AppLocker 原則、測試原則,然後將原則匯出至適當的 GPO 以進行散發。 另一個方法是建立原則,並將強制執行設定設為 [僅稽核],然後查看產生的事件。
-
本文說明使用AppLocker參照計算機來準備應用程控原則以使用 群組原則或其他方式進行部署的步驟。
-
本文說明將強制模式設定變更為 [僅 稽核] 或 [ 強制執行規則] 來部署 AppLocker 原則的步驟。