Compartir a través de


Implementación de directivas de App Control para empresas

Nota

Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.

Ahora debe tener una o varias directivas de App Control para empresas listas para implementarse. Si aún no ha completado los pasos descritos en la Guía de diseño de Control de aplicaciones, hágalo ahora antes de continuar.

Convertir el XML de la directiva de App Control en binario

Antes de implementar las directivas de App Control, primero debe convertir el XML en su formulario binario. Puede hacerlo con el siguiente ejemplo de PowerShell. Debe establecer la variable $AppControlPolicyXMLFile para que apunte al archivo XML de directiva de App Control.

## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
    $PolicyID = $AppControlPolicy.SiPolicy.PolicyID
    $PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
    $PolicyBinary = "SiPolicy.p7b"
}

## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Planear la implementación

Al igual que con cualquier cambio significativo en el entorno, la implementación de App Control puede tener consecuencias involuntarias. Para garantizar la mejor oportunidad de éxito, debe seguir prácticas de implementación seguras y planear la implementación cuidadosamente. Identifique los dispositivos que administrará con App Control y divídalos en anillos de implementación. De este modo, puede controlar la velocidad y la escala de la implementación y responder si algo sale mal. Defina los criterios de éxito que determinarán cuándo es seguro continuar de un anillo a otro.

Todos los cambios de directiva de App Control para empresas deben implementarse en modo de auditoría antes de continuar con la aplicación. Supervise cuidadosamente los eventos de los dispositivos donde se ha implementado la directiva para asegurarse de que los eventos de bloque que observa coinciden con sus expectativas antes de ampliar la implementación a otros anillos de implementación. Si su organización usa Microsoft Defender para punto de conexión, puede usar la característica Búsqueda avanzada para supervisar de forma centralizada los eventos relacionados con App Control. De lo contrario, se recomienda usar una solución de reenvío de registros de eventos para recopilar eventos pertinentes de los puntos de conexión administrados.

Elección de cómo implementar directivas de App Control

Importante

Debido a un problema conocido, siempre debe activar nuevas directivas firmadas de App Control Base con un reinicio en sistemas con integridad de memoria habilitada. En este caso, se recomienda implementar mediante script .

Este problema no afecta a las actualizaciones de las directivas base firmadas que ya están activas en el sistema, la implementación de directivas sin firmar o la implementación de directivas complementarias (firmadas o sin firmar). Tampoco afecta a las implementaciones en sistemas que no ejecutan integridad de memoria.

Hay varias opciones para implementar directivas de App Control para empresas en puntos de conexión administrados, entre las que se incluyen: