Поделиться через

Объединение политик управления приложениями Защитник Windows (WDAC)

Примечание.

Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этой статье показано, как объединить несколько XML-файлов политики и как объединить правила непосредственно в политику. Защитник Windows развертывания управления приложениями часто включают несколько базовых политик и необязательных дополнительных политик для конкретных вариантов использования.

Примечание.

До Windows версии 1903, включая Windows Server 2019 и более ранних версий, в системе одновременно может быть активна только одна политика управления приложениями Защитник Windows. Если вам нужно использовать WDAC в системах под управлением этих более ранних версий Windows, перед развертыванием необходимо объединить все политики.

Объединение нескольких XML-файлов политики WDAC

Существует множество сценариев, в которых может потребоваться объединить два или более файлов политики. Например, если события аудита используются для создания Защитник Windows правил политики управления приложениями, их можно объединить с существующей базовой политикой WDAC. Чтобы объединить две политики WDAC, указанные в этой статье, выполните следующие действия в сеансе с повышенными привилегиями Windows PowerShell.

  1. Инициализируйте переменные, которые будут использоваться:

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Используйте merge-CIPolicy для слияния двух политик и создания новой политики управления приложениями Защитник Windows:

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    Примечание.

    Дополнительные политики можно объединить с Merge-CIPolicy шаге выше, добавив их в параметр -PolicyPaths, разделенный запятыми. Новый файл политики, указанный параметром -OutputFilePath, будет содержать сведения о политике из первой политики в списке. Например, в приведенном выше примере $MergedPolicy наследует тип политики, идентификатор, имя и сведения о версии от $LamnaPolicy. Чтобы изменить любое из этих значений, используйте Set-CIPolicyIdInfo и Set-CIPolicyVersion.

Слияние правил WDAC непосредственно с XML-файлом политики

Помимо объединения нескольких XML-файлов политики, можно также объединять правила, созданные с помощью командлета New-CIPolicyRule, непосредственно в существующий XML-файл политики WDAC. Прямое слияние правил — это удобный способ обновления политики без создания дополнительных XML-файлов политики. Например, чтобы добавить правила, разрешающие работу мастера WDAC и средства RefreshPolicy.exe WDAC, выполните следующие действия.

  1. Установите упакованое приложение MSIX мастера WDAC .

  2. Скачайте средство "Политика обновления" для архитектуры процессора и сохраните его на рабочем столе как RefreshPolicy.exe.

  3. В сеансе PowerShell выполните следующие команды, чтобы создать правила разрешения упакованных приложений для мастера WDAC:

    $PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. Добавьте правила FilePublisher для RefreshPolicy.exe:

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Используйте Merge-CIPolicy , чтобы объединить новые правила непосредственно в файл MergedPolicy, созданный на последнем шаге предыдущей процедуры:

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

Преобразование и развертывание объединенной политики в управляемых конечных точках

Теперь, когда у вас есть новая объединенная политика, вы можете преобразовать и развернуть двоичный файл политики в управляемых конечных точках.

  1. Преобразуйте политику WDAC в двоичный формат с помощью командлета ConvertFrom-CIPolicy:

    $WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBin

    Примечание.

    В приведенных выше примерах команд для политик, предназначенных для Windows 10 версии 1903+ или Windows 11, замените строку "{InsertPolicyID}" фактическим идентификатором GUID PolicyID (включая фигурные скобки { }), который находится в XML-файле политики. Для Windows 10 версий до 1903 используйте имя SiPolicy.p7b для имени двоичного файла.

  2. Отправьте объединенный XML-код политики и связанный двоичный файл в решение системы управления версиями, используемое для политик управления приложениями Защитник Windows. например, GitHub или решение для управления документами, например Office 365 SharePoint.

  3. Разверните объединенную политику с помощью предпочтительного решения для развертывания. См. статью Развертывание политик управления приложениями Защитник Windows (WDAC)