部署商務用應用程控原則
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
您現在應該已準備好部署一或多個商務用應用程控原則。 如果您尚未完成 應用程控設計指南中所述的步驟,請立即完成,再繼續進行。
將您的應用程控原則 XML 轉換為二進位
在部署應用程控原則之前,您必須先將 XML 轉換成其二進位形式。 您可以使用下列 PowerShell 範例來執行此動作。 您必須將$AppControlPolicyXMLFile變數設定為指向您的應用程控原則 XML 檔案。
## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
$PolicyID = $AppControlPolicy.SiPolicy.PolicyID
$PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
$PolicyBinary = "SiPolicy.p7b"
}
## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary
規劃部署
如同環境的任何重大變更,實作應用程控可能會產生非預期的後果。 若要確保成功的最佳機會,您應該遵循安全的部署做法,並仔細規劃部署。 識別您將使用應用程控管理的裝置,並將其分割成部署更新步調。 如此一來,您可以控制部署的速度和規模,並在發生任何錯誤時回應。 定義成功準則,以判斷何時可以安全地從一個通道繼續進行到下一個通道。
所有商務用應用程控原則變更都應該在稽核模式中部署,再繼續強制執行。 從已部署原則的裝置仔細監視事件,以確保您觀察到的封鎖事件符合預期,然後再將部署擴大至其他部署更新步調。 如果您的組織使用 適用於端點的 Microsoft Defender,您可以使用進階搜捕功能來集中監視應用程控相關的事件。 否則,我們建議使用事件記錄轉送解決方案,從受控端點收集相關事件。
選擇如何部署應用程控原則
重要
由於已知問題,您應該一律啟用新的 已簽署 應用程控基底原則,並在已啟用 記憶體完整性的 系統上重新啟動。 在此情況下 ,建議您透過腳本進行部署 。
此問題不會影響系統上已啟用之已簽署基底原則的更新、未簽署原則的部署,或 (已簽署或未簽署) 的補充原則部署。 它也不會影響未執行記憶體完整性的系統部署。
有數個選項可將商務用應用程控原則部署至受控端點,包括:
- 使用行動裝置 裝置管理 (MDM) 解決方案進行部署,例如 Microsoft Intune
- 使用 Microsoft Configuration Manager部署
- 透過腳本部署
- 透過組策略部署