使用审核事件创建应用控制策略规则
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
在审核模式下运行应用控制可以发现应用控制策略中缺少但应包含的应用程序、二进制文件和脚本。
当应用控制策略在审核模式下运行时,任何运行但会被拒绝的二进制文件都会记录在 应用程序和服务日志\Microsoft\Windows\CodeIntegrity\Operational 事件日志中。 脚本和 MSI 记录在 应用程序和服务日志\Microsoft\Windows\AppLocker\MSI 和脚本 事件日志中。 这些事件可用于生成新的应用控制策略,该策略可以与原始基本策略合并或部署为单独的补充策略(如果允许)。
创建应用控制策略以允许使用审核事件的应用的过程概述
注意
必须已部署应用控制审核模式策略才能使用此过程。 如果尚未执行此操作,请参阅 部署适用于企业的应用控制策略。
若要熟悉从审核事件创建应用控制规则,请在具有应用控制审核模式策略的设备上执行以下步骤。
安装并运行应用控制策略不允许但你想要允许的应用程序。
查看 CodeIntegrity - Operational 和 AppLocker - MSI 和脚本 事件日志,以确认生成与应用程序相关的事件,如图 1 所示。 有关应看到的事件类型的信息,请参阅 了解应用控件事件。
图 1. 已部署应用控制策略的例外
在提升的 PowerShell 会话中,运行以下命令以初始化此过程使用的变量。 此过程基于为完全托管的设备创建应用控制策略中引入的 Lamna_FullyManagedClients_Audit.xml 策略,并将生成名为 EventsPolicy.xml的新策略。
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"使用 New-CIPolicy 从记录的审核事件生成新的应用控制策略。 此示例使用 FilePublisher 文件规则级别和 哈希 回退级别。 警告消息将重定向到 EventsPolicyWarnings.txt的文本文件。
New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings注意
当你从审核事件创建策略时,应仔细考虑选择信任的文件规则级别。 前面的示例使用 FilePublisher 规则级别,回退级别为 Hash,该级别可能比所需更具体。 可以使用不同的 -Level 和 -Fallback 选项重新运行上述命令,以满足你的需求。 有关应用控制规则级别的详细信息,请参阅 了解应用控制策略规则和文件规则。
查找并查看应在桌面上找到的应用控制策略文件 EventsPolicy.xml 。 确保它仅包含要允许的应用程序、二进制文件和脚本的文件和签名者规则。 可以通过手动编辑策略 XML 来删除规则,或使用应用控制策略向导工具 (请参阅 使用向导) 编辑现有基本策略和补充应用控制策略 。
查找并查看应在桌面上找到 的文本文件EventsPolicyWarnings.txt 。 对于应用控件无法在指定规则级别或回退规则级别创建规则的任何文件,此文件将包含警告。
注意
New-CIPolicy 仅为仍可在磁盘上找到的文件创建规则。 系统上不再存在的文件将不会创建允许它们的规则。 但是,事件日志应具有足够的信息,以便通过手动编辑策略 XML 以添加规则来允许这些文件。 可以使用现有规则作为模板,并针对 %windir%\schemas\CodeIntegrity\cipolicy.xsd 中找到的应用控制策略架构定义验证结果。
将EventsPolicy.xml 与基本策略 Lamna_FullyManagedClients_Audit.xml 合并,或将其转换为补充策略。
有关合并策略的信息,请参阅 合并业务应用控制策略 ,有关补充策略的信息,请参阅 将多个应用控制用于业务策略。
将基本策略或补充策略转换为二进制策略,并使用首选方法进行部署。