记录你的应用列表
此规划文章介绍了在为 AppLocker 策略创建应用列表时应记录的应用信息。
记录你的发现
应用
记录应用的名称、发布者信息 ((如果) 进行数字签名),以及它对业务的重要性。
安装路径
记录应用的安装路径。 例如,Microsoft Office 2016 在大多数设备上将文件安装到 %programfiles%\Microsoft Office\Office16\,即 C:\Program Files\Microsoft Office\Office16\ 。
下表提供了一个示例,说明如何在设计应用程序控制策略的早期阶段列出每个业务组的应用程序。 最终,随着更多计划信息添加到列表中,该信息可用于生成 AppLocker 规则。
业务组 | 组织单位 | 实现 AppLocker? | 应用 | 安装路径 |
---|---|---|---|---|
银行出纳员 | Teller-East 和 Teller-West | 是 | 出纳软件 | C:\Program Files\Woodgrove\Teller.exe |
Windows 文件 | C:\Windows | |||
人力资源 | HR-All | 是 | 查看付款 | C:\Program Files\Woodgrove\HR\Checkcut.exe |
时间表管理器 | C:\Program Files\Woodgrove\HR\Timesheet.exe | |||
Internet Explorer 7 | C:\Program Files\Internet Explorer | |||
Windows 文件 | C:\Windows |
注意
AppLocker 仅支持打包应用的发布者规则。 因此,不需要收集打包应用的安装路径信息。
事件处理
创建应用列表时,需要考虑如何管理由用户访问生成的事件。 以下列表是需要考虑的内容和要记录的内容的示例:
- 是否转发 AppLocker 事件进行分析?
- AppLocker 事件集合的位置是什么?
- 是否应实施事件存档策略?
- 谁分析 AppLocker 事件以及分析频率如何?
- 是否应为事件收集制定安全策略?
策略维护
创建应用列表时,需要考虑如何管理和维护所创建的策略。 以下列表是需要考虑的内容和要记录的内容的示例:
- 如何针对紧急应用访问和永久访问更新规则?
- 如何删除应用?
- 维护同一应用的多少个旧版本?
- 如何引入新应用?
后续步骤
创建应用程序列表后,下一步是标识规则集合,这些集合将成为应用程序控制策略。 此信息可以添加到表中的以下列:
- 使用默认规则或定义新规则条件
- 允许或拒绝
- GPO 名称
若要标识规则集合,请参阅以下文章:
反馈
https://aka.ms/ContentUserFeedback。
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:提交和查看相关反馈