Объединение политик управления приложениями Защитник Windows (WDAC)
Примечание.
Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.
В этой статье показано, как объединить несколько XML-файлов политики и как объединить правила непосредственно в политику. Защитник Windows развертывания управления приложениями часто включают несколько базовых политик и необязательных дополнительных политик для конкретных вариантов использования.
Примечание.
До Windows версии 1903, включая Windows Server 2019 и более ранних версий, в системе одновременно может быть активна только одна политика управления приложениями Защитник Windows. Если вам нужно использовать WDAC в системах под управлением этих более ранних версий Windows, перед развертыванием необходимо объединить все политики.
Объединение нескольких XML-файлов политики WDAC
Существует множество сценариев, в которых может потребоваться объединить два или более файлов политики. Например, если события аудита используются для создания Защитник Windows правил политики управления приложениями, их можно объединить с существующей базовой политикой WDAC. Чтобы объединить две политики WDAC, указанные в этой статье, выполните следующие действия в сеансе с повышенными привилегиями Windows PowerShell.
Инициализируйте переменные, которые будут использоваться:
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"
Используйте merge-CIPolicy для слияния двух политик и создания новой политики управления приложениями Защитник Windows:
Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy
Примечание.
Дополнительные политики можно объединить с Merge-CIPolicy шаге выше, добавив их в параметр -PolicyPaths, разделенный запятыми. Новый файл политики, указанный параметром -OutputFilePath, будет содержать сведения о политике из первой политики в списке. Например, в приведенном выше примере $MergedPolicy наследует тип политики, идентификатор, имя и сведения о версии от $LamnaPolicy. Чтобы изменить любое из этих значений, используйте Set-CIPolicyIdInfo и Set-CIPolicyVersion.
Слияние правил WDAC непосредственно с XML-файлом политики
Помимо объединения нескольких XML-файлов политики, можно также объединять правила, созданные с помощью командлета New-CIPolicyRule, непосредственно в существующий XML-файл политики WDAC. Прямое слияние правил — это удобный способ обновления политики без создания дополнительных XML-файлов политики. Например, чтобы добавить правила, разрешающие работу мастера WDAC и средства RefreshPolicy.exe WDAC, выполните следующие действия.
Установите упакованое приложение MSIX мастера WDAC .
Скачайте средство "Политика обновления" для архитектуры процессора и сохраните его на рабочем столе как RefreshPolicy.exe.
В сеансе PowerShell выполните следующие команды, чтобы создать правила разрешения упакованных приложений для мастера WDAC:
$PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard $Rules = New-CIPolicyRule -Package $PackageInfo
Добавьте правила FilePublisher для RefreshPolicy.exe:
$Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher
Используйте Merge-CIPolicy , чтобы объединить новые правила непосредственно в файл MergedPolicy, созданный на последнем шаге предыдущей процедуры:
Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
Преобразование и развертывание объединенной политики в управляемых конечных точках
Теперь, когда у вас есть новая объединенная политика, вы можете преобразовать и развернуть двоичный файл политики в управляемых конечных точках.
Преобразуйте политику WDAC в двоичный формат с помощью командлета ConvertFrom-CIPolicy:
$WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin" ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBin
Примечание.
В приведенных выше примерах команд для политик, предназначенных для Windows 10 версии 1903+ или Windows 11, замените строку "{InsertPolicyID}" фактическим идентификатором GUID PolicyID (включая фигурные скобки { }), который находится в XML-файле политики. Для Windows 10 версий до 1903 используйте имя SiPolicy.p7b для имени двоичного файла.
Отправьте объединенный XML-код политики и связанный двоичный файл в решение системы управления версиями, используемое для политик управления приложениями Защитник Windows. например, GitHub или решение для управления документами, например Office 365 SharePoint.
Разверните объединенную политику с помощью предпочтительного решения для развертывания. См. статью Развертывание политик управления приложениями Защитник Windows (WDAC)
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по