Referência técnica do CiTool
O CiTool facilita o gerenciamento de políticas do WDAC (Controle de Aplicativo) Windows Defender para administradores de TI. Você pode usar essa ferramenta para gerenciar Windows Defender políticas de Controle de Aplicativo e tokens de CI. Este artigo descreve como usar o CiTool para atualizar e gerenciar políticas. Atualmente, ele está incluído como parte da imagem do Windows no Windows 11, versão 22H2.
Comandos de política
| Comando | Descrição | Alias |
|---|---|---|
--update-policy </Path/To/Policy/File> |
Adicione ou atualize uma política no sistema atual. | -up |
--remove-policy <PolicyGUID> |
Remova uma política indicada pelo PolicyGUID do sistema. | -rp |
--list-policies |
Despeje informações sobre todas as políticas no sistema, sejam elas ativas ou não. | -lp |
Comandos de token
| Comando | Descrição | Alias |
|---|---|---|
--add-token <Path/To/Token/File> <--token-id ID> |
Implante um token no sistema atual, com uma ID específica opcional. | -at |
--remove-token <ID> |
Remova um token indicado por ID do sistema. | -rt |
--list-tokens |
Despejo de informações sobre todos os tokens no sistema. | -lt |
Observação
Em relação --add-tokenao , se <ID> for especificado, um token pré-existente com <ID> não deve existir.
Comandos diversos
| Comando | Descrição | Alias |
|---|---|---|
--device-id |
Despeje a ID do dispositivo de integridade de código. | -id |
--refresh |
Tente atualizar as políticas do WDAC. | -r |
--help |
Exiba o menu de ajuda da ferramenta. | -h |
Atributos e descrições de saída
Políticas de lista (--list-policies)
Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Base Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Friendly Name: Microsoft Windows Driver Policy
Version: 2814751463178240
Platform Policy: true
Policy is Signed: true
Has File on Disk: false
Is Currently Enforced: true
Is Authorized: true
Status: 0
| Atributo | Descrição | Valor de exemplo |
|---|---|---|
| ID da política | Listas a ID da política. | d2bda982-ccf6-4344-ac5b-0b44427b6816 |
| ID da política base | Listas a ID da política base. | d2bda982-ccf6-4344-ac5b-0b44427b6816 |
| Nome Amigável | Valor listado em <Setting Provider="PolicyInfo" Key="Information" ValueName="Name"> |
Microsoft Windows Driver Policy |
| Versão | Versão da política listada em <VersionEx> |
2814751463178240 |
| Política de Plataforma | Indica se a política é fornecida pela Microsoft, por exemplo, na política de blocklist de driver vulnerável. | true |
| A política é assinada | Indica se a política tem uma assinatura válida. | true |
| Tem arquivo em disco | Indica se o arquivo de política está atualmente no disco. | false |
| Atualmente, é imposta | Indica se o arquivo de política está ativo. | true |
| Está Autorizado | Se a política exigir que um token seja ativado, esse valor será o estado da autorização para o token. Se a política não exigir um token, esse valor corresponderá ao valor da propriedade Is Currently Enforced . | true |
Exemplos
Implantar uma política WDAC
CiTool --update-policy "\Windows\Temp\{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}.cip"
Atualizar as políticas do WDAC no sistema
CiTool --refresh
Remover uma política específica do WDAC por sua ID de política
CiTool --remove-policy "{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}"
Listar as políticas de WDAC impostas ativamente no sistema
# Check each policy's IsEnforced state and return only the enforced policies
(CiTool -lp -json | ConvertFrom-Json).Policies | Where-Object {$_.IsEnforced -eq "True"} |
Select-Object -Property PolicyID,FriendlyName | Format-List
Exibir o menu de ajuda
CiTool -h
----------------------------- Policy Commands ---------------------------------
--update-policy /Path/To/Policy/File
Add or update a policy on the current system
aliases: -up
--remove-policy PolicyGUID
Remove a policy indicated by PolicyGUID from the system
aliases: -rp
--list-policies
Dump information about all policies on the system, whether they be active or not
aliases: -lp
----------------------------- Token Commands ---------------------------------
--add-token Path/To/Token/File <--token-id ID>
Deploy a token onto the current system, with an optional specific ID
If <ID> is specified, a pre-existing token with <ID> should not exist.
aliases:-at
--remove-token ID
Remove a Token indicated by ID from the system.
aliases: -rt
--list-tokens
Dump information about all tokens on the system
aliases: -lt
----------------------------- Misc Commands ---------------------------------
--device-id
Dump the Code Integrity Device Id
aliases: -id
--refresh
Attempt to Refresh CI Policies
aliases: -r
--help
Display this message
aliases: -h
Comentários
Em breve: ao longo de 2024, vamos eliminar problemas do GitHub como o mecanismo de comentários para conteúdo e substituí-lo por um novo sistema de comentários. Para obter mais informações, consulte: https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de