Documentar a estrutura da Política de Grupo e a imposição de regras do AppLocker
Este artigo de planeamento descreve o que deve incluir no seu plano quando utiliza o AppLocker.
Registar as suas descobertas
Para concluir este documento de planeamento do AppLocker, deve primeiro concluir os seguintes passos:
- Determinar seus objetivos de controle do aplicativo
- Criar uma lista de aplicativos implantados para cada grupo comercial
- Selecionar os tipos de regras que serão criados
- Determinar a estrutura da Política de Grupo e a imposição de regras
Depois de determinar como estruturar os objetos de Política de Grupo (GPOs) para as políticas do AppLocker, deve registar as suas conclusões. Pode utilizar a tabela seguinte para determinar a quantidade de GPOs a criar (ou editar) e a que objetos estão ligados. Se decidir criar regras personalizadas para permitir a execução de ficheiros de sistema, tenha em atenção a configuração da regra de alto nível na coluna Utilizar regra predefinida ou definir nova condição de regra .
A tabela seguinte inclui os dados de exemplo que foram recolhidos quando determinou as definições de imposição e a estrutura de GPO para as políticas do AppLocker.
| Grupo empresarial | Unidade organizacional | Implementar o AppLocker? | Apps | Caminho de instalação | Utilizar a regra predefinida ou definir a nova condição de regra | Permitir ou negar | Nome do GPO |
|---|---|---|---|---|---|---|---|
| Caixas Bancárias | Teller-East e Teller-West | Sim | Teller Software | C:\Program Files\Woodgrove\Teller.exe | O ficheiro está assinado; criar uma condição de publicador | Permitido | Tellers-AppLockerTellerRules |
| Ficheiros do Windows | C:\Windows | Criar uma exceção de caminho para a regra predefinida para excluir \Windows\Temp | Permitido | ||||
| Recursos Humanos | HR-All | Sim | Verificar Pagamento | C:\Program Files\Woodgrove\HR\Checkcut.exe | O ficheiro está assinado; criar uma condição de publicador | Permitido | HR-AppLockerHRRules |
| Organizador da Folha de Horas | C:\Program Files\Woodgrove\HR\Timesheet.exe | O ficheiro não está assinado; criar uma condição hash de ficheiro | Permitido | ||||
| Internet Explorer 7 | C:\Program Files\Internet Explorer | O ficheiro está assinado; criar uma condição de publicador | Negado | ||||
| Ficheiros do Windows | C:\Windows | Utilizar uma regra predefinida para o caminho do Windows | Permitido |
Próximas etapas
Depois de determinar a estrutura Política de Grupo e a estratégia de imposição de regras para as aplicações de cada grupo empresarial, as seguintes tarefas permanecem: