Combinar directivas de Control de aplicaciones para empresas
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
En este artículo se muestra cómo combinar varios archivos XML de directiva y cómo combinar reglas directamente en una directiva. Las implementaciones de App Control para empresas suelen incluir algunas directivas base y directivas complementarias opcionales para casos de uso específicos.
Nota
Antes de la versión 1903 de Windows, incluido Windows Server 2019 y versiones anteriores, solo una directiva de Control de aplicaciones para empresas puede estar activa en un sistema a la vez. Si necesita usar App Control en sistemas que ejecutan estas versiones anteriores de Windows, debe combinar todas las directivas antes de la implementación.
Combinación de varios archivos XML de directiva de App Control
Hay muchos escenarios en los que es posible que desee combinar dos o más archivos de directiva. Por ejemplo, si usa eventos de auditoría para crear reglas de directiva de App Control para empresas, puede combinar esas reglas con la directiva base de App Control existente. Para combinar las dos directivas de App Control a las que se hace referencia en ese artículo, complete los pasos siguientes en una sesión de Windows PowerShell con privilegios elevados.
Inicializa las variables que se usarán:
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"Use Merge-CIPolicy para combinar dos directivas y crear una nueva directiva de App Control para empresas:
Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicyNota
Puede combinar directivas adicionales con el paso Merge-CIPolicy anterior agregándolas al parámetro -PolicyPaths separado por comas. El nuevo archivo de directiva especificado por -OutputFilePath tendrá la información de directiva de la primera directiva de la lista. Por ejemplo, en el ejemplo anterior, el $MergedPolicy heredará el tipo de directiva, el identificador, el nombre y la información de versión de $LamnaPolicy. Para cambiar cualquiera de esos valores, use Set-CIPolicyIdInfo y Set-CIPolicyVersion.
Combinar reglas de Control de aplicaciones directamente en un XML de directiva
Además de combinar varios archivos XML de directiva, también puede combinar reglas creadas con el cmdlet New-CIPolicyRule directamente en un archivo XML de directiva de App Control existente. La combinación directa de reglas es una manera cómoda de actualizar la directiva sin crear archivos XML de directiva adicionales. Por ejemplo, para agregar reglas que permitan el Asistente para control de aplicaciones y la herramienta de RefreshPolicy.exe de Control de aplicaciones, siga estos pasos:
Instale la aplicación MSIX empaquetada del Asistente para control de aplicaciones.
Descargue la herramienta Actualizar directiva para la arquitectura del procesador y guárdela en el escritorio como RefreshPolicy.exe.
Desde una sesión de PowerShell, ejecute los siguientes comandos para crear reglas de permitir aplicaciones empaquetadas para el Asistente para control de aplicaciones:
$PackageInfo = Get-AppxPackage -Name Microsoft.App Control.WDACWizard $Rules = New-CIPolicyRule -Package $PackageInfoAgregue reglas de FilePublisher para el RefreshPolicy.exe:
$Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisherUse Merge-CIPolicy para combinar las nuevas reglas directamente en el archivo MergedPolicy creado en el paso final del procedimiento anterior:
Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
Conversión e implementación de directivas combinadas en puntos de conexión administrados
Ahora que tiene la nueva directiva combinada, puede convertir e implementar el binario de directiva en los puntos de conexión administrados.
Use ConvertFrom-CIPolicy para convertir la directiva de Control de aplicaciones a un formato binario:
$AppControlPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin" ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $AppControlPolicyBinNota
En los comandos de ejemplo anteriores, para las directivas destinadas a Windows 10 versión 1903+ o Windows 11, reemplace la cadena "{InsertPolicyID}" por el GUID de PolicyID real (incluidas las llaves { }) que se encuentra en el archivo XML de directiva. Para Windows 10 versiones anteriores a 1903, use el nombre SiPolicy.p7b para el nombre de archivo binario.
Cargue el XML de la directiva combinada y el binario asociado en la solución de control de código fuente que usa para las directivas de App Control for Business. como GitHub o una solución de administración de documentos como Office 365 SharePoint.
Implemente la directiva combinada con la solución de implementación que prefiera. Consulte Implementación de directivas de App Control para empresas