将多个应用控制用于业务策略

注意

适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性

从 Windows 10 版本 1903 和 Windows Server 2022 开始,可以在设备上并排部署多个适用于企业的应用控制策略。 若要允许超过 32 个活动策略,请安装 2024 年 4 月 9 日或之后发布的 Windows 安全更新,然后重启设备。 通过这些更新,可以一次性部署到给定设备的策略数量没有限制。 在安装 2024 年 4 月 9 日或之后发布的 Windows 安全更新之前,你的设备限制为 32 个活动策略,并且不能超过该数量。

注意

策略限制未在 21H2 Windows 11 删除,并且仍限制为 32 个策略。

下面是多个并行策略非常有用的一些常见方案:

  1. 并行强制实施和审核
    • 若要在强制模式下部署之前验证策略更改,用户现在可以与现有强制模式基本策略并排部署审核模式基本策略
  2. 多个基本策略
    • 用户可以同时强制实施两个或多个基本策略,以便对具有不同范围/意向的策略进行更简单的策略目标
    • 如果设备上存在两个基本策略,则应用程序必须传递这两个策略才能运行
  3. 补充策略
    • 用户可以部署一个或多个补充策略来扩展基本策略
    • 补充策略扩展单个基本策略,多个补充策略可以扩展同一基本策略
    • 对于补充策略,基本策略或其补充策略允许的应用程序将运行

注意

1903 年之前的系统不支持使用多策略格式应用控制策略。

基础策略和补充策略交互

  • 多个基本策略:交集
    • 仅这两个策略允许的应用程序运行而不生成块事件
  • 基本 + 补充策略:联合
    • 基本策略或补充策略运行允许的文件

以多种策略格式创建应用控制策略

为了允许多个策略在单个系统上存在并生效,必须使用新的多策略格式创建策略。 New-CIPolicy 中的“MultiplePolicyFormat”开关为策略 ID 生成 1) 唯一值,) 设置为基本策略的策略类型生成 2 个唯一值。 以下示例介绍了以多个策略格式创建新策略的过程。

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

(可选)可以选择使新的基本策略允许补充策略。

Set-RuleOption -FilePath ".\policy.xml" -Option 17

对于允许补充策略的已签名基本策略,请确保定义了补充签名者。 使用 Add-SignerRule 中的补充开关提供补充签名者。

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

补充策略创建

若要创建补充策略,请首先以多策略格式创建新策略,如前所述。 在此处,使用 Set-CIPolicyIdInfo 将其转换为补充策略,并指定它扩展的基策略。 可以使用 SupplementsBasePolicyID 或 BasePolicyToSupplementPath 指定基本策略。

  • “SupplementsBasePolicyID”:补充策略应用于的基本策略的 GUID
  • “BasePolicyToSupplementPath”:适用于补充策略的基本策略文件的路径
Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

合并策略

合并策略时,将使用最左侧/第一个指定的策略的策略类型和 ID。 如果最左侧是具有 ID <ID> 的基本策略,则无论任何后续策略的 GUID 和类型是什么,合并的策略都是具有 ID <ID> 的基础策略。

部署多个策略

若要部署多个企业应用控制策略,必须通过将策略文件复制到 *.cip 适当的文件夹或使用 ApplicationControl CSP 在本地部署策略。

在本地部署多个策略

若要使用新的多策略格式在本地部署策略,请执行以下步骤:

  1. 确保二进制策略文件具有正确的命名格式 {PolicyGUID}.cip
    • 确保二进制策略文件的名称与策略中的 PolicyID GUID 完全相同
    • 例如,如果策略 XML 的 ID 为 <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>,则二进制策略文件的正确名称为 {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip
  2. 将二进制策略复制到 C:\Windows\System32\CodeIntegrity\CiPolicies\Active
  3. 重新启动系统。

通过 ApplicationControl CSP 部署多个策略

可以通过 ApplicationControl 配置服务提供商 (CSP) 从 MDM 服务器管理多个企业应用控制策略。 CSP 还提供对无重启策略部署的支持。

但是,从 MDM 服务器取消注册策略时,CSP 会尝试删除未主动部署的每个策略,而不仅仅是 CSP 添加的策略。 发生此行为的原因是系统不知道使用哪些部署方法来应用单个策略。

有关部署多个策略(可选)使用Microsoft Intune的自定义 OMA-URI 功能的详细信息,请参阅 ApplicationControl CSP

注意

WMI 和 GP 当前不支持多个策略。 相反,无法直接访问 MDM 堆栈的客户应 通过 MDM 桥 WMI 提供程序使用 ApplicationControl CSP 来管理适用于企业的多个策略格式应用控制策略。