為輕量管理的裝置建立應用程控原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。

本節概述為組織內 受輕量管理的裝置 建立商務用應用程控原則的程式。 一般而言，不熟悉應用程控的組織，如果從像本文所述的寬鬆原則開始，將會最成功。 組織可以選擇隨著時間強化原則，以在其受應用程控管理的裝置上達到更強大的整體安全性狀態，如稍後文章所述。

注意

本主題所述的一些商務用應用程控選項僅適用於 Windows 10 1903 版和更新版本，或 Windows 11。 使用本主題來規劃您自己的組織應用程控原則時，請考慮受管理的用戶端是否可以使用所有這些功能或部分功能，並評估對用戶端上可能無法使用之任何功能的影響。 您可能需要調整此指導方針，以符合您特定組織的需求。

如同在 不同案例中的商務用應用程控部署：裝置類型，我們將使用 Lamna Healthcare Company (Lamna) 範例來說明此案例。 Lamna 正嘗試採用更強的應用程式原則，包括使用應用程控來防止垃圾或未經授權的應用程式在其受管理的裝置上執行。

Alice Pena 是負責推出應用程控的 IT 小組負責人。 Lamna 目前有鬆散的應用程式使用原則，以及使用者具有最大應用程式彈性的文化特性。 因此，Alice 知道她必須採取累加方法來控制應用程控，並針對不同的工作負載使用不同的原則。

對於大部分的使用者和裝置，Alice 想要建立盡可能寬鬆的初始原則，以將用戶生產力的影響降到最低，同時仍提供安全性價值。

定義輕量受控裝置的「信任圈」

Alice 識別下列重要因素，以抵達 Lamna 輕度受控裝置的「信任圈」，其中目前包含大部分的用戶裝置：

• 所有客戶端都執行 Windows 10 1903 版和更新版本，或 Windows 11;
• 所有用戶端都由 Configuration Manager 或使用 Intune 來管理。
• 有些應用程式並非全部都是使用 Configuration Manager 部署;
• 大部分的使用者都是其裝置上的本機系統管理員;
• 某些小組可能需要更多規則來授權通常不會套用至所有其他使用者的特定應用程式。

根據上述內容，Alice 會定義原則的虛擬規則：

1. 授權的「Windows 運作」 規則：

   • Windows
   • WHQL (第三方核心驅動程式)
   • Windows 市集簽署的應用程式

2. 包含下列規則的「ConfigMgr 運作」規則：

   • 讓 Configuration Manager元件正常運作的簽署者和哈希規則。
   • 允許受管理的安裝程式規則將 Configuration Manager 授權為受控安裝程式。

3. 允許 Intelligent Security Graph (ISG) (信譽型授權)

4. 使用 Windows 受信任的跟證書頒發機構單位所簽發憑證的已簽署應用程式

5. 管理員 下列位置的僅限路徑規則：

   • C：\Program Files*
   • c：\Program Files (x86) *
   • %windir%*

使用範例應用程控基底原則建立自定義基底原則

在定義了「信任圈」之後，Alice 已準備好為 Lamna 的輕度受控裝置產生初始原則。 Alice 決定使用此範例 SmartAppControl.xml 來建立初始基底原則，然後加以自定義以符合 Lamna 的需求。

Alice 會遵循下列步驟來完成這項工作：

1. 在用戶端裝置上，於提升許可權的 Windows PowerShell 工作階段中執行下列命令，以初始化變數：

   注意

   如果您想要使用不同的 商務用應用程控基底原則範例，請在此步驟中以您慣用的基底原則取代範例原則路徑。

   $PolicyPath = $env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_LightlyManagedClients_Audit"
   $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
   $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
   

2. 將範例原則複製到桌面：

   Copy-Item $ExamplePolicy $LamnaPolicy
   

3. 變更原則以移除不支援的規則：

   注意

   SmartAppControl.xml適用於 Windows 11 22H2 版和更新版本。 此原則包含企業應用程控原則不支援的「啟用：條件式 Windows 鎖定原則」規則，必須加以移除。 如需詳細資訊，請 參閱應用程控和智慧應用程控。 如果您使用 以外的 SmartAppControl.xml範例原則，請略過此步驟。

   [xml]$xml = Get-Content $LamnaPolicy
   $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
   $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
   $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
   $node.ParentNode.RemoveChild($node)
   $xml.Save($LamnaPolicy)
   

4. 為新原則提供唯一識別碼、描述性名稱和初始版本號碼：

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. 使用 Configuration Manager 建立稽核原則，並將其部署至執行 Windows 10 1903 版和更新版本的用戶端裝置，或 Windows 11。 將 Configuration Manager 原則與範例原則合併。

   注意

   如果您未使用 Configuration Manager，請略過此步驟。

   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   

6. 修改原則以設定其他原則規則：

   Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

7. 新增規則以允許 Windows 和 Program Files 目錄：

   $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
   

8. 如果適當，請新增更多簽署者或檔案規則，以進一步自定義貴組織的原則。

9. 使用 ConvertFrom-CIPolicy 將商務用應用程控原則轉換為二進位格式：

   [xml]$PolicyXML = Get-Content $LamnaPolicy
   $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
   ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

10. 將您的基底原則 XML 和相關聯的二進位檔上傳至原始檔控制解決方案，例如 GitHub 或檔管理解決方案，例如 Office 365 SharePoint。

此時，Alice 已有初始原則，可在稽核模式下部署至 Lamna 內的受控用戶端。

此輕度受控原則的安全性考慮

為了將用戶生產力的影響降到最低，Alice 定義了一個原則，讓安全性與使用者應用程式之間有幾項取捨彈性。 一些取捨包括：

• 具有系統管理存取權的使用者

  這種取捨是最具影響力的安全性取捨。 它可讓裝置使用者或以使用者許可權執行的惡意代碼，修改或移除裝置上的應用程控原則。 此外，系統管理員可以將任何應用程式設定為受控安裝程式，這可讓他們獲得任何應用程式或二進位檔的持續性應用程式授權。

  可能的緩和措施：

  • 使用已簽署的應用程控原則和 UEFI BIOS 存取保護，以防止竄改應用程控原則。
  • 若要移除受管理安裝程式的需求，請在應用程式部署程式中建立和部署已簽署的類別目錄檔案。
  • 使用裝置證明在開機時偵測應用程控的設定狀態，並使用該資訊來設定敏感性公司資源的存取條件。

• 不帶正負號的原則

  以系統管理員身分執行的任何程式都可以取代或移除未簽署的原則，而不會造成任何結果。 同樣啟用補充原則的未簽署基底原則，其「信任圈」可能會遭到任何未簽署的補充原則改變。

  可能的緩和措施：

  • 使用已簽署的應用程控原則和 UEFI BIOS 存取保護，以防止竄改應用程控原則。
  • 限制可在裝置上提升給系統管理員的人員。

• Managed 安裝程式

  請參閱 Managed安裝程式的安全性考慮

  可能的緩和措施：

  • 若要移除受管理安裝程式的需求，請在應用程式部署程式中建立和部署已簽署的類別目錄檔案。
  • 限制可在裝置上提升給系統管理員的人員。

• Intelligent Security Graph (ISG)

  請參閱 Intelligent Security Graph 的安全性考慮

  可能的緩和措施：

  • 實作需要IT管理應用程式的原則。 稽核現有的應用程式使用方式，並使用軟體發佈解決方案部署授權的應用程式，例如 Microsoft Intune。 從ISG移至受管理的安裝程式或以簽章為基礎的規則。
  • 使用限制性稽核模式原則來稽核應用程式使用量和增強弱點偵測。

• 補充原則

  補充原則的設計目的是要放寬相關聯的基底原則。 此外，允許不帶正負號的原則可讓任何系統管理員程式無限制地擴充基底原則所定義的「信任圈」。

  可能的緩和措施：

  • 使用已簽署的應用程控原則，只允許經過授權的已簽署補充原則。
  • 使用限制性稽核模式原則來稽核應用程式使用量和增強弱點偵測。

• FilePath 規則

  查看 檔案路徑規則的詳細資訊

  可能的緩和措施：

  • 限制可在裝置上提升給系統管理員的人員。
  • 從 filepath 規則移轉至受管理的安裝程式或簽章型規則。

• 已簽署的檔案

  雖然以程式代碼簽署的檔案會驗證作者的身分識別，並確保作者以外的任何人並未更改程式碼，但不保證已簽署的程式代碼是安全的。

  可能的緩和措施：

  • 使用具有即時保護的可靠反惡意代碼軟體或防病毒軟體，例如 Microsoft Defender，保護您的裝置免於遭受惡意檔案、廣告軟體和其他威脅。

下一步

• 為完全受控裝置建立商務用應用程控原則
• 準備部署商務用應用程控原則