Планирование управления политикой AppLocker
В этой статье описываются решения, необходимые для создания процессов управления политиками AppLocker и их поддержки.
Управление политикой
Прежде чем приступить к развертыванию, рассмотрите возможность управления правилами AppLocker с течением времени. Разработка процесса управления правилами AppLocker помогает гарантировать, что AppLocker продолжает эффективно контролировать, как приложения могут запускаться в вашей организации.
Политика поддержки приложений и пользователей
Разработка процесса управления правилами AppLocker помогает гарантировать, что AppLocker продолжает эффективно контролировать, как приложения могут запускаться в вашей организации. Ниже приведены рекомендации.
- Какой тип поддержки конечных пользователей предоставляется для заблокированных приложений?
- Как добавляются новые правила в политику?
- Как обновляются существующие правила?
- Перенаправляются ли события на проверку?
Поддержка службы технической поддержки
Если в вашей организации есть созданный отдел поддержки, при развертывании политик AppLocker учитывайте следующие моменты:
- Какая документация требуется вашему отделу поддержки для развертывания новых политик?
- Каковы критические процессы в каждой бизнес-группе, на которые влияют политики управления приложениями, и как они могут повлиять на рабочую нагрузку отдела поддержки?
- Кто является контактами в отделе поддержки?
- Как решаются проблемы с управлением приложениями для конечного пользователя?
Поддержка конечных пользователей
Так как AppLocker блокирует запуск неутвержденных приложений, важно, чтобы ваша организация тщательно планировала предоставление поддержки конечным пользователям. Ниже приведены рекомендации.
- Хотите ли вы использовать сайт интрасети в качестве первой линии поддержки для пользователей, которые сталкиваются с заблокированными приложениями?
- Как вы хотите поддерживать исключения из политики?
Использование сайта интрасети
AppLocker можно настроить для отображения сообщения блока по умолчанию, но с пользовательским URL-адресом. Этот URL-адрес можно использовать для перенаправления пользователей на сайт поддержки, содержащий сведения о том, почему пользователь получил ошибку и какие приложения разрешены. Если при блокировке приложения не отображается настраиваемый URL-адрес сообщения, используется URL-адрес по умолчанию.
На следующем рисунке показан пример сообщения об ошибке для заблокированного приложения. Чтобы настроить ссылку Дополнительные сведения, можно использовать параметр политики Задать поддержку веб-ссылки.
Инструкции по отображению пользовательского URL-адреса для сообщения см. в разделе Отображение сообщения пользовательского URL-адреса при попытке запуска заблокированного приложения.
Управление событиями AppLocker
Каждый раз, когда процесс пытается запуститься, AppLocker создает событие в журнале событий AppLocker. Событие содержит сведения о файле, который пытался запустить, о пользователе, который его инициировал, и GUID правила AppLocker, который заблокировал или разрешил файл. Журнал событий AppLocker находится по следующему пути: Журналы приложений и служб\Microsoft\Windows\AppLocker. Журнал AppLocker содержит три журнала:
- EXE и DLL. Содержит события для всех файлов, затронутых коллекциями исполняемых файлов и правил DLL (.exe, .com, .dll и OCX).
- MSI и скрипт. Содержит события для всех файлов, на которые влияет установщик Windows и коллекции правил сценариев (.msi, MSP, .ps1, .bat, .cmd, VBS и .js).
- Упакованного приложения-развертывания или упакованного приложения-выполнения содержит события для всех универсальных приложений Windows, затронутых коллекцией правил упакованного приложения и упакованных правил установщика приложений (.appx).
Сбор этих событий в центральном расположении помогает поддерживать политику AppLocker и устранять проблемы с конфигурацией правил.
Обслуживание политики
По мере развертывания, обновления или прекращения использования приложений необходимо обновлять правила политики.
Политику AppLocker можно изменить, добавив, изменив или удалив правила. Однако нельзя указать версию для политики путем импорта дополнительных правил. Чтобы обеспечить управление версиями при изменении политики AppLocker, используйте программное обеспечение для управления групповая политика, которое позволяет создавать версии объектов групповая политика (GPO). Примером этого типа программного обеспечения является функция расширенного управления групповая политика из пакета оптимизации компьютеров Майкрософт. Дополнительные сведения см. в статье Обзор расширенного управления групповая политика.
Важно.
Не следует изменять коллекцию правил AppLocker, пока она применяется в групповая политика. Так как AppLocker определяет, какие файлы разрешено запускать, внесение изменений в динамическую политику может привести к непредвиденному поведению.
Новая версия поддерживаемого приложения
При развертывании новой версии приложения в организации необходимо определить, следует ли продолжать поддерживать предыдущую версию этого приложения. Чтобы добавить новую версию, может потребоваться только создать новое правило для каждого файла, связанного с приложением. Если вы используете условия издателя и версия не указана, то существующего правила или правил может быть достаточно, чтобы разрешить запуск обновленного файла. Однако необходимо проверка для измененных имен файлов или добавленных новых файлов. В этом случае необходимо изменить существующие правила или создать новые. Возможно, потребуется обновить правила на основе издателя для файлов, для которых меняется цифровая подпись.
Чтобы определить, изменился ли файл во время обновления приложения, просмотрите сведения о выпуске издателя, предоставленные вместе с пакетом обновления. Вы также можете просмотреть веб-страницу издателя, чтобы получить эту информацию. Каждый файл также можно проверить, чтобы определить версию.
Для файлов, которые разрешены или запрещены с условиями хэша файлов, необходимо получить новый хэш файлов и убедиться, что правила включают этот новый хэш.
Для файлов с условиями пути следует убедиться, что путь установки совпадает. Если путь изменился, необходимо добавить правило для нового пути перед установкой новой версии приложения.
Недавно развернуто приложение
Для поддержки нового приложения необходимо добавить одно или несколько правил в существующую политику AppLocker.
Приложение больше не поддерживается
Если ваша организация больше не поддерживает приложение с связанными с ней правилами AppLocker, можно удалить правила, чтобы заблокировать приложение.
Приложение заблокировано, но должно быть разрешено
Файл может быть заблокирован по трем причинам:
- Наиболее распространенной причиной является отсутствие правила, разрешающего запуск приложения.
- Для файла, который является слишком ограничивающим, может быть создано правило.
- Правило запрета, которое не может быть переопределено, явно блокирует файл.
Перед редактированием коллекции правил сначала определите, какое правило препятствует запуску файла. Устранить проблему можно с помощью командлета Test-AppLockerPolicy Windows PowerShell. Дополнительные сведения об устранении неполадок с политикой AppLocker см. в статье Тестирование и обновление политики AppLocker.
Запись результатов
Чтобы завершить работу с этим документом по планированию AppLocker, сначала необходимо выполнить следующие действия:
- Определение целей по управлению приложениями
- Создание списка приложений, развернутых для каждой бизнес-группы
- Выбор типов создаваемых правил
- Определение структуры групповой политики и применения правил
- Планирование управления политикой AppLocker
Для управления политиками AppLocker необходимо определить три ключевые области:
Политика поддержки
Задокументируйте процесс обработки звонков от пользователей, которые пытались запустить заблокированное приложение, и убедитесь, что сотрудники службы поддержки знают рекомендуемые шаги по устранению неполадок и точки эскалации для вашей политики.
Обработка событий
Задокументируйте, где собираются события, как часто они архивируются и как они обрабатываются для анализа.
Обслуживание политики
Подробные сведения о планах обслуживания и жизненного цикла политики.
В следующей таблице содержатся примеры данных, собранных при определении способа обслуживания политик AppLocker и управления ими.
| Бизнес-группа | Подразделения | Реализовать AppLocker? | Приложения | Путь установки | Использование правила по умолчанию или определение нового условия правила | Разрешить или запретить | Имя объекта групповой политики | Политика поддержки |
|---|---|---|---|---|---|---|---|---|
| Банковские касситоры | Teller-East и Teller-West | Да | Программное обеспечение Teller | C:\Program Files\Woodgrove\Teller.exe | Файл подписан; создание условия издателя | Разрешить | Tellers-AppLockerTellerRules | Веб-справка |
| Файлы Windows | C:\windows | Создание исключения пути к правилу по умолчанию для исключения \Windows\Temp | Разрешить | Служба технической поддержки | ||||
| Кадровые ресурсы | HR-All | Да | Чек выплаты | C:\Program Files\Woodgrove\HR\Checkcut.exe | Файл подписан; создание условия издателя | Разрешить | HR-AppLockerHRRules | Веб-справка |
| Организатор тайм-листов | C:\Program Files\Woodgrove\HR\Timesheet.exe | Файл не подписан; создание условия хэша файла | Разрешить | Веб-справка | ||||
| Интернет Обозреватель 7 | C:\Program Files\Internet Обозреватель | Файл подписан; создание условия издателя | Запретить | Веб-справка | ||||
| Файлы Windows | C:\windows | Использование правила по умолчанию для пути Windows | Разрешить | Служба технической поддержки |
В следующих двух таблицах показаны примеры документирования рекомендаций по обслуживанию политик AppLocker и управлению ими.
Политика обработки событий
Одним из методов обнаружения для использования приложений является установка режима принудительного применения AppLocker только аудит. Этот режим принудительного применения записывает события в журналы AppLocker, которыми можно управлять и анализировать, как и другие журналы Windows. После определения приложений можно приступить к разработке политик, касающихся обработки событий AppLocker и доступа к ней.
В следующей таблице приведен пример того, что следует учитывать и записывать.
| Бизнес-группа | Расположение сбора событий AppLocker | Политика архивации | Проанализированы? | Политика безопасности |
|---|---|---|---|---|
| Банковские касситоры | Перенаправлено в: Репозиторий событий AppLocker в srvBT093 | Standard | Нет | Standard |
| Кадровые ресурсы | НЕ ПЕРЕСЫЛАЙТЕ. srvHR004 | 60 месяцев | Да, суммарные отчеты для руководителей ежемесячно | Standard |
Политика обслуживания политики
Начните документировать, как вы планируете обновить политики управления приложениями.
В следующей таблице приведен пример того, что следует учитывать и записывать.
| Бизнес-группа | Политика обновления правил | Политика вывода приложений из эксплуатации | Политика версий приложений | Политика развертывания приложений |
|---|---|---|---|---|
| Банковские касситоры | Запланировано: ежемесячно через рассмотрение бизнес-офиса Экстренные ситуации: запрос через службу поддержки |
Через рассмотрение бизнес-офиса Требуется уведомление за 30 дней |
Общая политика: сохранение предыдущих версий в течение 12 месяцев Вывод списка политик для каждого приложения |
Координируется через бизнес-офис Требуется уведомление за 30 дней |
| Кадровые ресурсы | Запланировано: ежемесячно через рассмотрение отдела кадров Экстренные ситуации: запрос через службу поддержки |
Через рассмотрение отдела кадров Требуется уведомление за 30 дней |
Общая политика: сохранение предыдущих версий в течение 60 месяцев Вывод списка политик для каждого приложения |
Координируется с помощью отдела кадров Требуется уведомление за 30 дней |