Compartir a través de

Referencia técnica de CiTool

  • Artículo
  • Se aplica a:
    Windows 11

CiTool facilita la administración de directivas de App Control for Business para los administradores de TI. Puede usar esta herramienta para administrar las directivas de App Control para empresas y los tokens de CI. En este artículo se describe cómo usar CiTool para actualizar y administrar directivas. Se incluye en las imágenes de Windows a partir de Windows 11, versión 22H2 y Windows Server 2025.

Comandos de directiva

Comando Descripción Alias
--update-policy </Path/To/Policy/File> Agregue o actualice una directiva en el sistema actual. -up
--remove-policy <PolicyGUID> Quite una directiva indicada por PolicyGUID del sistema. -rp
--list-policies Volcado de información sobre todas las directivas del sistema, estén activas o no. -lp

Comandos de token

Comando Descripción Alias
--add-token <Path/To/Token/File> <--token-id ID> Implemente un token en el sistema actual, con un identificador específico opcional. -at
--remove-token <ID> Quite un token indicado por el identificador del sistema. -rt
--list-tokens Volcado de información sobre todos los tokens del sistema. -lt

Nota

Con respecto a --add-token, si <ID> se especifica , no debe existir un token preexistente con <ID> .

Comandos varios

Comando Descripción Alias
--device-id Volcado del identificador de dispositivo de integridad de código. -id
--refresh Intente actualizar las directivas de App Control. -r
--help Muestra el menú de ayuda de la herramienta. -h

Descripciones y atributos de salida

Directivas de lista (--list-policies)

Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Base Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Friendly Name: Microsoft Windows Driver Policy
Version: 2814751463178240
Platform Policy: true
Policy is Signed: true
Has File on Disk: false
Is Currently Enforced: true
Is Authorized: true
Status: 0
Atributo Descripción Valor de ejemplo
Identificador de directiva Listas el identificador de la directiva. d2bda982-ccf6-4344-ac5b-0b44427b6816
Id. de directiva base Listas el identificador de la directiva base. d2bda982-ccf6-4344-ac5b-0b44427b6816
Nombre descriptivo Valor que aparece en <Setting Provider="PolicyInfo" Key="Information" ValueName="Name"> Microsoft Windows Driver Policy
Versión Versión de la directiva que aparece en <VersionEx> 2814751463178240
Directiva de plataforma Indica si Microsoft proporciona la directiva, por ejemplo, en la directiva de lista de bloqueo de controladores vulnerables. true
La directiva está firmada Indica si la directiva tiene una firma válida. true
Tiene el archivo en el disco Indica si el archivo de directiva está actualmente en el disco. false
Se aplica actualmente Indica si el archivo de directiva está activo. true
Está autorizado Si la directiva requiere que se active un token, este valor es el estado de autorización del token. Si la directiva no requiere un token, este valor coincide con el valor de la propiedad Is Currently Enforced . true

Ejemplos

Implementación de una directiva de App Control

CiTool --update-policy "\Windows\Temp\{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}.cip"

Actualizar las directivas de App Control en el sistema

CiTool --refresh

Eliminación de una directiva específica de App Control por su identificador de directiva

CiTool --remove-policy "{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}"

Enumerar las directivas de App Control aplicadas activamente en el sistema

# Check each policy's IsEnforced state and return only the enforced policies
(CiTool -lp -json | ConvertFrom-Json).Policies | Where-Object {$_.IsEnforced -eq "True"} |
Select-Object -Property PolicyID,FriendlyName | Format-List

Mostrar el menú de ayuda

CiTool -h

----------------------------- Policy Commands ---------------------------------
  --update-policy /Path/To/Policy/File
    Add or update a policy on the current system
    aliases: -up
  --remove-policy PolicyGUID
    Remove a policy indicated by PolicyGUID from the system
    aliases: -rp
  --list-policies
    Dump information about all policies on the system, whether they be active or not
    aliases: -lp
----------------------------- Token Commands ---------------------------------
  --add-token Path/To/Token/File <--token-id ID>
    Deploy a token onto the current system, with an optional specific ID
    If <ID> is specified, a pre-existing token with <ID> should not exist.
    aliases:-at
  --remove-token ID
    Remove a Token indicated by ID from the system.
    aliases: -rt
  --list-tokens
    Dump information about all tokens on the system
    aliases: -lt
----------------------------- Misc Commands ---------------------------------
  --device-id
    Dump the Code Integrity Device Id
    aliases: -id
  --refresh
    Attempt to Refresh CI Policies
    aliases: -r
  --help
    Display this message
    aliases: -h