Использование нескольких политик управления приложениями Защитник Windows

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Примечание.

Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Начиная с Windows 10 версии 1903 и Windows Server 2022, вы можете развертывать несколько политик управления приложениями Защитник Windows (WDAC) параллельно на устройстве. Чтобы разрешить более 32 активных политик, установите обновление для системы безопасности Windows, выпущенное 9 апреля 2024 г. или позже, а затем перезапустите устройство. Эти обновления не ограничивают количество политик, которые можно развернуть одновременно на данном устройстве. До установки обновления для системы безопасности Windows, выпущенного 9 апреля 2024 г. или позже, ваше устройство будет ограничено 32 активными политиками, и это число не должно превышаться.

Примечание.

Ограничение политики не было удалено Windows 11 21H2 и будет ограничено 32 политиками.

Ниже приведены некоторые распространенные сценарии, в которых полезно использовать несколько параллельных политик.

1. Параллельное применение и аудит
   • Чтобы проверить изменения политики перед развертыванием в режиме принудительного применения, пользователи теперь могут развертывать базовую политику в режиме аудита параллельно с существующей базовой политикой режима принудительного применения.
2. Несколько базовых политик
   • Пользователи могут одновременно применять две или более базовые политики, чтобы упростить выбор политик с разными область или намерениями.
   • Если на устройстве существуют две базовые политики, приложение должно передать обе политики для запуска.
3. Дополнительные политики
   • Пользователи могут развернуть одну или несколько дополнительных политик для расширения базовой политики.
   • Дополнительная политика расширяет одну базовую политику, а несколько дополнительных политик могут расширить одну и ту же базовую политику.
   • Для дополнительных политик выполняются приложения, разрешенные базовой политикой или ее дополнительной политикой или политиками.

Примечание.

Системы до 1903 не поддерживали использование политик WDAC в формате нескольких политик.

Взаимодействие с базовой и дополнительной политикой

• Несколько базовых политик: пересечение
  • Только приложения, разрешенные обеими политиками, запускаются без создания событий блоков
• Базовая + дополнительная политика: объединение
  • Файлы, разрешенные базовой политикой или дополнительной политикой запуска

Создание политик WDAC в формате нескольких политик

Чтобы разрешить существование и применение нескольких политик в одной системе, необходимо создать политики с использованием нового формата нескольких политик. Параметр MultiplePolicyFormat в New-CIPolicy приводит к 1) уникальным значениям, созданным для идентификатора политики, и 2) типу политики, заданному в качестве базовой политики. В приведенном ниже примере описывается процесс создания новой политики в формате нескольких политик.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

При необходимости можно сделать новую базовую политику разрешенной для дополнительных политик.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Для подписанных базовых политик, разрешающих дополнительные политики, убедитесь, что определены дополнительные подписыватели. Используйте дополнительный параметр в Add-SignerRule для предоставления дополнительных подписывателей.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Создание дополнительной политики

Чтобы создать дополнительную политику, начните с создания новой политики в формате нескольких политик, как показано ранее. После этого используйте Set-CIPolicyIdInfo, чтобы преобразовать его в дополнительную политику и указать, какую базовую политику она развертывает. Для указания базовой политики можно использовать SupplementsBasePolicyID или BasePolicyToSupplementPath.

• "SupplementsBasePolicyID": GUID базовой политики, к которым применяется дополнительная политика.
• BasePolicyToSupplementPath: путь к базовому файлу политики, к которому применяется дополнительная политика.

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Слияние политик

При слиянии политик используется тип политики и идентификатор указанной левой или первой политики. Если самая левая — это базовая политика с идентификатором идентификатора<, то независимо от того, какие guid идентификаторы и типы являются для любых последующих политик, объединенная политика является базовой политикой с идентификатором> идентификатора<.>

Развертывание нескольких политик

Чтобы развернуть несколько Защитник Windows политик управления приложениями, их необходимо развернуть локально, скопировав *.cip файлы политики в соответствующую папку или с помощью поставщика служб CSP ApplicationControl.

Локальное развертывание нескольких политик

Чтобы развернуть политики локально с помощью нового формата нескольких политик, выполните следующие действия.

1. Убедитесь, что файлы двоичных политик имеют правильный формат именования {PolicyGUID}.cip.
   • Убедитесь, что имя двоичного файла политики точно совпадает с идентификатором GUID PolicyID в политике.
   • Например, если XML-код политики имеет идентификатор <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, то правильным именем для файла двоичной политики будет {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
2. Скопируйте двоичные политики в C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. Перезагрузите систему.

Развертывание нескольких политик с помощью поставщика служб CSP ApplicationControl

С сервера MDM с помощью поставщика службы конфигурации ApplicationControl (CSP) можно управлять несколькими Защитник Windows политиками управления приложениями. CSP также обеспечивает поддержку развертывания политики без перезагрузки.

Однако при отмене регистрации политик на сервере MDM поставщик служб CSP пытается удалить все политики, не развернутые активно, а не только политики, добавленные поставщиком служб управления. Это происходит из-за того, что система не знает, какие методы развертывания использовались для применения отдельных политик.

Дополнительные сведения о развертывании нескольких политик при необходимости с помощью пользовательской возможности OMA-URI Microsoft Intune см. в разделе ApplicationControl CSP.

Примечание.

WMI и GP в настоящее время не поддерживают несколько политик. Вместо этого клиенты, которые не могут напрямую получить доступ к стеку MDM, должны использовать поставщик WMI Моста MDM через поставщик WMI ApplicationControl для управления несколькими политиками Защитник Windows политиками управления приложениями.