Creación de directivas de etiquetado de AppId de App Control

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

Creación de la directiva mediante el Asistente para control de aplicaciones

Puede usar el Asistente para control de aplicaciones para empresas y los comandos de PowerShell para crear una directiva de Control de aplicaciones y convertirla en una directiva appIdTagging. El Asistente para control de aplicaciones está disponible para su descarga en el sitio del Instalador del Asistente para control de aplicaciones. Estos comandos de PowerShell solo están disponibles en las plataformas admitidas enumeradas en la Guía de etiquetado de AppId.

1. Cree una nueva directiva base con las plantillas:

   Comience con la tarea Creador de directivas y seleccione Formato de directiva múltiple y Directiva base. Seleccione la plantilla base que se va a usar para la directiva. En el ejemplo siguiente se muestra a partir de la plantilla Modo predeterminado de Windows y se basa en estas reglas.

   

   Nota

   Si la directiva de etiquetado de AppId no se basa en las plantillas base o no permite procesos integrados de Windows, observará regresiones de rendimiento significativas, especialmente durante el arranque. Por este motivo, se recomienda encarecidamente compilar a base de plantillas base. Para obtener más información sobre el problema, consulte El problema conocido de etiquetado de AppId.

2. Establezca las siguientes opciones de regla mediante los alternancias del Asistente:

   

3. Crear reglas personalizadas:

   Al seleccionar el + Custom Rules botón, se abre el panel Reglas personalizadas. El Asistente admite cinco tipos de reglas de archivo:

   • Reglas del publicador: cree una regla basada en la jerarquía de certificados de firma. Además, el nombre de archivo original y la versión se pueden combinar con el certificado de firma para mayor seguridad.
   • Reglas de ruta de acceso: cree una regla basada en la ruta de acceso a un archivo o a una ruta de acceso de carpeta primaria. Las reglas de ruta de acceso admiten caracteres comodín.
   • Reglas de atributo de archivo: cree una regla basada en las propiedades inmutables de un archivo, como el nombre de archivo original, la descripción del archivo, el nombre del producto o el nombre interno.
   • Reglas de nombre de aplicación de paquete: cree una regla basada en el nombre de la familia de paquetes de un appx/msix.
   • Reglas hash: cree una regla basada en el hash PE Authenticode de un archivo.

   Para obtener más información sobre cómo crear nuevas reglas de archivo de directiva, consulte las directrices proporcionadas en la sección creación de reglas de archivo de directiva.

4. Convertir en directiva de etiquetado de AppId:

   Después de que el Asistente compile el archivo de directiva, abra el archivo en un editor de texto y quite todo el bloque de texto SigningScenario "Value=131". El único escenario de firma restante debe ser "Value=12", que es la sección de aplicación en modo de usuario. A continuación, abra PowerShell en un símbolo del sistema con privilegios elevados y ejecute el siguiente comando. Reemplace el par de Key-Value appIdTagging para el escenario:

   Set-CIPolicyIdInfo -ResetPolicyID -FilePath .\AppIdPolicy.xml -AppIdTaggingPolicy -AppIdTaggingKey "MyKey" -AppIdTaggingValue "MyValue"
   

   El GUID policyID lo devuelve el comando de PowerShell si se ejecuta correctamente.

Creación de la directiva mediante PowerShell

Con este método, creará una directiva de etiquetado de AppId directamente mediante los comandos de PowerShell de App Control. Estos comandos de PowerShell solo están disponibles en las plataformas admitidas enumeradas en la Guía de etiquetado de AppId. En una instancia de PowerShell de elevación:

1. Cree una regla AppId para la directiva basada en una combinación de la cadena de certificados de firma y la versión de la aplicación. En el ejemplo siguiente, el nivel se ha establecido en SignedVersion. Cualquiera de los niveles de regla de archivo de control de aplicaciones se puede usar en las reglas de AppId:

   $rule = New-CiPolicyRule -Level SignedVersion -DriverFilePath <path_to_application>
   

2. Cree la directiva de etiquetado de AppId. Reemplace el par de Key-Value appIdTagging para el escenario:

   New-CIPolicy -rules $rule -FilePath .\AppIdPolicy.xml -AppIdTaggingPolicy -AppIdTaggingKey "MyKey" -AppIdTaggingValue "MyValue"
   

3. Establezca las opciones de regla para la directiva:

   Set-RuleOption -Option 0 .\AppIdPolicy.xml  # Usermode Code Integrity (UMCI)
   Set-RuleOption -Option 16 .\AppIdPolicy.xml # Refresh Policy no Reboot
   Set-RuleOption -Option 18 .\AppIdPolicy.xml # (Optional) Disable FilePath Rule Protection
   

   Si usa reglas de ruta de acceso de archivo, es posible que desee establecer la opción 18. De lo contrario, no es necesario.

4. Establezca el nombre y el identificador en la directiva, lo que resulta útil para la depuración futura:

   Set-CIPolicyIdInfo -ResetPolicyId -PolicyName "MyPolicyName" -PolicyId "MyPolicyId" -AppIdTaggingPolicy -FilePath ".\AppIdPolicy.xml"
   

   El GUID policyID lo devuelve el comando de PowerShell si se ejecuta correctamente.

Implementación para pruebas locales

Después de crear la directiva de etiquetado de AppId en los pasos anteriores, puede implementar la directiva en la máquina local para realizar pruebas antes de implementar ampliamente la directiva en los puntos de conexión:

1. En función del método de implementación, convierta el xml en binario:

   Convertfrom-CIPolicy .\policy.xml ".\{PolicyIDGUID}.cip"
   

2. Opcionalmente, impleméntela para pruebas locales:

   copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\
   ./RefreshPolicy.exe
   

   RefreshPolicy.exe está disponible para su descarga desde el Centro de descarga de Microsoft.

Pasos siguientes

Para obtener más información sobre la depuración y la implementación amplia de la directiva de etiquetado de AppId, consulte Depuración de directivas de AppId e Implementación de directivas de AppId.