Использование нескольких Защитник Windows политик управления приложениями

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Примечание

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

До Windows 10 1903 года WDAC поддерживала только одну активную политику в системе в любой момент времени. Это значительно ограничивает клиентов в ситуациях, когда было бы полезно использовать несколько политик с различными намерениями. Начиная с Windows 10 версии 1903, WDAC поддерживает на устройстве одновременно до 32 активных политик, чтобы включить следующие сценарии:

  1. Принудительное выполнение и аудит бок о бок
    • Чтобы проверить изменения политики перед развертыванием в режиме принудительных мер, пользователи теперь могут развернуть базовую политику в режиме аудита бок о бок с существующей базовой политикой в режиме принудительных мер.
  2. Несколько базовых политик
    • Пользователи могут применять две или несколько базовых политик одновременно, чтобы упростить таргетинг политик для политик с различными областью и намерениями.
    • Если на устройстве существуют две базовые политики, приложение должно быть разрешено обоим для запуска
  3. Дополнительные политики
    • Пользователи могут развернуть одну или несколько дополнительных политик для расширения базовой политики
    • Дополнительная политика расширяет одну базовую политику, и несколько дополнительных политик могут расширять одну и ту же базовую политику.
    • Для дополнительных политик разрешено запускать приложения, разрешенные базовой политикой или ее дополнительными политиками.

Примечание

Системы до 1903 года не поддерживают использование политик WDAC формата нескольких политик.

Взаимодействие базовой и дополнительной политики

  • Несколько базовых политик: пересечение
    • Только приложения, разрешенные обеими политиками, запускаются без создания событий блока
  • Базовая + дополнительная политика: объединение
    • Файлы, разрешенные базовой политикой или дополнительной политикой, не блокируются

Создание политик WDAC в формате нескольких политик

Чтобы разрешить существование нескольких политик и действовать в одной системе, необходимо создать политики с помощью нового формата нескольких политик. Переключатель "MultiplePolicyFormat" в New-CIPolicy приводит к 1) уникальным GUID-интерфейсам, созданным для ID политики и 2) типу политики, указанному в качестве базового. Ниже приведен пример создания новой политики в формате нескольких политик.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level Publisher -Fallback Hash

Дополнительно можно сделать так, чтобы новая базовая политика позволяла использовать дополнительные политики.

Set-RuleOption -FilePath <string> -Option 17

Для подписанных базовых политик, позволяющих использовать дополнительные политики, убедитесь, что определены дополнительные подписатели. Используйте дополнительный переключатель в Add-SignerRule для предоставления дополнительных подписателей.

Add-SignerRule -FilePath <string> -CertificatePath <string> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]  [<CommonParameters>]

Создание дополнительных политик

Чтобы создать дополнительную политику, начните с создания новой политики в формате Multiple Policy, как показано выше. Затем используйте Set-CIPolicyIdInfo, чтобы преобразовать его в дополнительную политику и указать, какую базовую политику она расширяет. Для указания базовой политики можно использовать или SupplementsBasePolicyID или BasePolicyToSupplementPath.

  • "SupplementsBasePolicyID": GUID базовой политики, которая применяется к дополнительной политике
  • "BasePolicyToSupplementPath": путь к базовому файлу политики, который применяется к дополнительной политике
Set-CIPolicyIdInfo [-FilePath] <string> [-PolicyName <string>] [-SupplementsBasePolicyID <guid>] [-BasePolicyToSupplementPath <string>] [-ResetPolicyID] [-PolicyId <string>]  [<CommonParameters>]

Примечание

ResetPolicyId возвращает дополнительную политику к базовой политике и сбрасывает GUID-интерфейсы политики обратно в случайный GUID.

Объединение политик

При слиянии используется тип политики и ID указанной политики leftmost/first. Если левый является базовой политикой с ID, то независимо от того, какие GUID и типы являются для любых последующих политик, объединенная политика будет базовая политика с <ID> ИД <ID> .

Развертывание нескольких политик

Чтобы развернуть несколько политик WDAC, необходимо либо развернуть их локально, скопив файлы политик в соответствующую папку, либо с помощью CSP ApplicationControl, поддерживаемого функцией *.cip MeM Intune Custom OMA-URI.

Локальное развертывание нескольких политик

Чтобы развернуть политики локально с помощью нового формата нескольких политик, выполните следующие действия:

  1. Убедитесь, что файлы двоичных политик имеют правильный формат {PolicyGUID}.cip именования .
    • Убедитесь, что имя двоичного файла политики точно такое же, как GUID PolicyID в политике
    • Например, если у XML-политики был код как, то правильное имя для двоичного файла <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID> политики было бы {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip .
  2. Скопируйте двоичные политики C:\Windows\System32\CodeIntegrity\CiPolicies\Active в .
  3. Перезагрузка системы.

Развертывание нескольких политик с помощью CSP ApplicationControl

Несколько политик WDAC можно управлять с сервера MDM через поставщика служб конфигурации ApplicationControl (CSP). CSP также поддерживает развертывание политики без перезагрузки.

Однако, если политики не зарегистрированы с сервера MDM, CSP будет пытаться удалить все политики с устройств, а не только политики, добавленные CSP. Причина этого заключается в том, что CSP ApplicationControl не отслеживает источники регистрации для отдельных политик, даже если запрашивает все политики на устройстве, независимо от того, были ли они развернуты CSP.

Дополнительные сведения о развертывании нескольких политик см. в CSP ApplicationControl с помощью возможности пользовательских OMA-URI meM Intune.

Примечание

WMI и GP в настоящее время не поддерживают несколько политик. Вместо этого клиенты, которые не могут напрямую получить доступ к Стеку MDM, должны использовать CSP ApplicationControl через поставщика WMI MDM Bridge для управления политиками формата нескольких политик WDAC.