Bereitstellen von App Control-Richtlinien mithilfe eines Skripts
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
In diesem Artikel wird beschrieben, wie Sie App Control for Business-Richtlinien mithilfe eines Skripts bereitstellen. Die folgenden Anweisungen verwenden PowerShell, können aber mit jedem Skripthost verwendet werden.
Sie sollten jetzt eine oder mehrere App Control-Richtlinien in binäre Form konvertiert haben. Führen Sie andernfalls die unter Bereitstellen von Richtlinien für App Control for Business beschriebenen Schritte aus.
Wichtig
Aufgrund eines bekannten Problems in Windows 11 Früheren Updates als 2024 (24H2) sollten Sie immer neue signierte App Control Base-Richtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. Überspringen Sie alle unten stehenden Schritte, die CiTool, RefreshPolicy.exe oder WMI verwenden, um eine Richtlinienaktivierung zu initiieren. Kopieren Sie stattdessen die Richtlinienbinärdatei an die richtigen System32- und EFI-Speicherorte, und aktivieren Sie die Richtlinie dann mit einem Systemneustart.
Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.
Bereitstellen von Richtlinien für Windows 11 22H2 und höher sowie Windows Server 2025 und höher
Sie können den CiTool-Posteingang verwenden, um signierte und nicht signierte Richtlinien unter Windows 11 22H2 und Windows Server 2025 mit den folgenden Befehlen bereitzustellen. Stellen Sie sicher, dass Sie im folgenden Beispiel durch den tatsächlichen Pfad zu Ihrer Binärdatei für die App-Steuerungsrichtlinie ersetzen <Path to policy binary file to deploy> .
# Policy binary files should be named as {GUID}.cip for multiple policy format files (where {GUID} = <PolicyId> from the Policy XML)
$PolicyBinary = "<Path to policy binary file to deploy>"
CiTool --update-policy $PolicyBinary [-json]
Bereitstellen von Richtlinien für Windows 11, Windows 10 Version 1903 und höher sowie Windows Server 2022 und höher
Um dieses Verfahren zu verwenden, laden Sie das Aktualisierungstool für die App-Steuerungsrichtlinie herunter, und verteilen Sie es an alle verwalteten Endpunkte. Stellen Sie sicher, dass Ihre App-Steuerungsrichtlinien das Aktualisierungstool für die App-Steuerungsrichtlinie zulassen, oder verwenden Sie ein verwaltetes Installationsprogramm, um das Tool zu verteilen.
Initialisieren Sie die Variablen, die vom Skript verwendet werden sollen.
# Policy binary files should be named as {GUID}.cip for multiple policy format files (where {GUID} = <PolicyId> from the Policy XML) $PolicyBinary = "<Path to policy binary file to deploy>" $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\" $RefreshPolicyTool = "<Path where RefreshPolicy.exe can be found from managed endpoints>"Kopieren Sie die Binärdatei der App Control for Business-Richtlinie in den Zielordner.
Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -ForceWiederholen Sie die Schritte 1 bis 2, um weitere App Control-Richtlinien bereitzustellen.
Führen Sie RefreshPolicy.exe aus, um alle App Control-Richtlinien auf dem verwalteten Endpunkt zu aktivieren und zu aktualisieren.
& $RefreshPolicyTool
Bereitstellen von Richtlinien für alle anderen Versionen von Windows und Windows Server
Verwenden Sie WMI, um Richtlinien für alle anderen Versionen von Windows und Windows Server bereitzustellen.
Initialisieren Sie die Variablen, die vom Skript verwendet werden sollen.
# Policy binary files should be named as SiPolicy.p7b for Windows 10 versions earlier than 1903 $PolicyBinary = "<Path to policy binary file to deploy>" $DestinationBinary = $env:windir+"\System32\CodeIntegrity\SiPolicy.p7b"Kopieren Sie die Binärdatei der App Control for Business-Richtlinie an das Ziel.
Copy-Item -Path $PolicyBinary -Destination $DestinationBinary -ForceAktualisieren und Aktivieren der App-Steuerungsrichtlinie mithilfe von WMI
Invoke-CimMethod -Namespace root\Microsoft\Windows\CI -ClassName PS_UpdateAndCompareCIPolicy -MethodName Update -Arguments @{FilePath = $DestinationBinary}
Bereitstellen signierter Richtlinien
Wenn Sie signierte App Control-Richtlinien verwenden, müssen die Richtlinien in der EFI-Partition Ihres Geräts bereitgestellt werden.
Binden Sie das EFI-Volume ein, und erstellen Sie das Verzeichnis , falls es nicht vorhanden ist, in einer PowerShell-Eingabeaufforderung mit erhöhten Rechten:
$MountPoint = 'C:\EFIMount' $EFIDestinationFolder = "$MountPoint\EFI\Microsoft\Boot\CiPolicies\Active" $EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0] if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force } mountvol $MountPoint $EFIPartition if (-Not (Test-Path $EFIDestinationFolder)) { New-Item -Path $EFIDestinationFolder -Type Directory -Force }Kopieren Sie die signierte Richtlinie in den erstellten Ordner:
Copy-Item -Path $PolicyBinary -Destination $EFIDestinationFolder -ForceStarten Sie das System neu.