Aplicación de directivas de App Control para empresas
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Ahora debe tener una o varias directivas de App Control para empresas implementadas ampliamente en modo de auditoría. Ha analizado los eventos recopilados de los dispositivos con esas directivas y está listo para aplicarlos. Use este procedimiento para preparar e implementar las directivas de App Control en modo de cumplimiento.
Nota
Algunos de los pasos descritos en este artículo solo se aplican a Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas de Control de aplicaciones de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características. Evalúe el impacto de las características que pueden no estar disponibles en los clientes que ejecutan versiones anteriores de Windows 10 y Windows Server. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.
Conversión de la directiva base de App Control de auditoría a aplicada
Como se describe en escenarios de implementación comunes de App Control para empresas, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso de App Control para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.
Alice Pena es la responsable del lanzamiento de App Control de Lamna por parte del equipo de TI.
Alice creó e implementó anteriormente una directiva para los dispositivos totalmente administrados de la organización. Actualizaron la directiva en función de los datos de eventos de auditoría, como se describe en Uso de eventos de auditoría para crear reglas de directiva de Control de aplicaciones y volver a implementarla. Todos los eventos de auditoría restantes son los esperados y Alice está lista para cambiar al modo de cumplimiento.
Inicialice las variables que se usarán y cree la directiva aplicada copiando la versión de auditoría.
$EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced" $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml" $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml" cp $AuditPolicyXML $EnforcedPolicyXMLUse Set-CIPolicyIdInfo para proporcionar a la nueva directiva un identificador único y un nombre descriptivo. Cambiar el identificador y el nombre le permite implementar la directiva aplicada en paralelo con la directiva de auditoría. Realice este paso si tiene previsto proteger la directiva de App Control con el tiempo. Si prefiere reemplazar la directiva de auditoría en contexto, puede omitir este paso.
$EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)[Opcionalmente] Use Set-RuleOption para habilitar las opciones de regla 9 ("Menú Opciones de arranque avanzadas") y 10 ("Auditoría de arranque en caso de error"). La opción 9 permite a los usuarios deshabilitar el cumplimiento de App Control para una única sesión de arranque desde un menú previo al arranque. La opción 10 indica a Windows que cambie la directiva de aplicación a auditoría solo si se bloquea un controlador de modo kernel crítico de arranque. Se recomienda encarecidamente estas opciones al implementar una nueva directiva aplicada en el primer anillo de implementación. A continuación, si no se encuentra ningún problema, puede quitar las opciones y reiniciar la implementación.
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9 Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10Use Set-RuleOption para eliminar la opción de regla de modo de auditoría, que cambia la directiva a cumplimiento:
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -DeleteUse ConvertFrom-CIPolicy para convertir la nueva directiva de Control de aplicaciones en binario:
Nota
Si no usó -ResetPolicyID en el paso 2 anterior, debe reemplazar $EnforcedPolicyID en el siguiente comando por el atributo PolicyID que se encuentra en el XML de la directiva base.
$EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip" ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
Hacer copias de las directivas complementarias necesarias para usarlas con la directiva base aplicada
Dado que a la directiva aplicada se le dio un policyID único en el procedimiento anterior, debe duplicar las directivas complementarias necesarias para usarlas con la directiva aplicada. Las directivas complementarias siempre heredan el modo auditoría o cumplimiento de la directiva base que modifican. Si no ha restablecido el policyID de la directiva base de cumplimiento, puede omitir este procedimiento.
Inicialice las variables que se usarán y cree una copia de la directiva complementaria actual. También se usarán algunas variables y archivos del procedimiento anterior.
$SupplementalPolicyName = "Lamna_Supplemental1" $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml" $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"Use Set-CIPolicyIdInfo para proporcionar a la nueva directiva complementaria un identificador único y un nombre descriptivo, y cambiar la directiva base que se va a complementar.
$SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)Nota
Si Set-CIPolicyIdInfo no genera el nuevo valor de PolicyID en la versión de Windows 10, deberá obtener el valor policyId directamente del XML.
Use ConvertFrom-CIPolicy para convertir la nueva directiva complementaria de App Control for Business en binario:
$EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml" ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinaryRepita los pasos anteriores si tiene otras directivas complementarias que actualizar.
Implementación de la directiva aplicada y las directivas complementarias
Ahora que la directiva base está en modo aplicado, puede empezar a implementarla en los puntos de conexión administrados. Para obtener información sobre la implementación de directivas, consulte Implementación de directivas de App Control para empresas.