Compartilhar via


Remover políticas do Controlo de Aplicações para Empresas

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Remover políticas de Controlo de Aplicações

Poderá chegar uma altura em que pretende remover uma ou mais políticas de Controlo de Aplicações ou remover todas as políticas de Controlo de Aplicações que implementou. Este artigo descreve as várias formas de remover políticas de Controlo de Aplicações.

Importante

Política de Controlo de Aplicações Base Assinada

Se a política de base que está a tentar remover for uma política de Controlo de Aplicações assinada, primeiro tem de implementar uma política de substituição assinada que inclua a opção 6 Ativada:Política de Integridade do Sistema Não Assinada.

A política de substituição tem de ter o mesmo PolicyId que aquele que está a substituir e uma versão igual ou superior à política existente. A política de substituição também tem de incluir <UpdatePolicySigners>.

Para entrar em vigor, esta política tem de ser assinada com um certificado incluído na <secção UpdatePolicySigners> da política original que pretende substituir.

Em seguida, tem de reiniciar o computador para que a proteção UEFI da política seja desativada. Se não o fizer, ocorrerá uma falha no início do arranque.

As políticas de Controlo de Aplicações suplementares assinadas podem ser removidas da mesma forma que as políticas não assinadas, sem a necessidade de seguir os passos acima mencionados

Antes de remover qualquer política, primeiro tem de desativar o método utilizado para implementá-la (como Política de Grupo ou MDM). Caso contrário, a política poderá voltar a implementar no computador.

Para tornar uma política efetivamente inativa antes de a remover, primeiro pode substituir a política por uma nova que inclua as seguintes alterações:

  1. Substitua as regras de política pelas regras "Permitir *";
  2. Defina a opção 3 Ativado:Modo de Auditoria para alterar a política apenas para modo de auditoria;
  3. Definir opção 11 Desativado:Imposição de Script;
  4. Permitir todos os objetos COM. Veja Permitir o registo de objetos COM numa política de Controlo de Aplicações;
  5. Se aplicável, remova a opção 0 Ativada:UMCI para converter a política apenas no modo kernel.

Remover políticas de Controlo de Aplicações com CiTool.exe

A partir da Atualização de Windows 11 2022, pode remover políticas de Controlo de Aplicações com CiTool.exe. A partir de uma janela de comando elevada, execute o seguinte comando. Certifique-se de que substitui o GUID de PolicyId de texto pelo PolicyId real da política de Controlo de Aplicações que pretende remover:

CiTool.exe -rp "{PolicyId GUID}" -json

Observação

A partir da atualização Windows 11 2024, as políticas não assinadas podem ser removidas através de CiTool.exe sem ser necessário reiniciar. No entanto, em versões anteriores do Windows, é necessário reiniciar para concluir o processo de remoção.

Remover políticas de Controlo de Aplicações com soluções MDM, como Intune

Pode utilizar uma solução de Gerenciamento de Dispositivos Móvel (MDM), como Microsoft Intune, para remover políticas de Controlo de Aplicações de computadores cliente com o CSP ApplicationControl.

Consulte o fornecedor de soluções MDM para obter informações específicas sobre como utilizar o CSP applicationControl.

Em seguida, reinicie o computador.

Remover políticas de Controlo de Aplicações com script

Para remover políticas de Controlo de Aplicações com script, o script tem de eliminar o(s) ficheiro(s) de política(s) do computador. Para várias políticas de formato de política (1903+), procure os ficheiros de política nas seguintes localizações. Certifique-se de que substitui o GUID do PolicyId pelo PolicyId real da política de Controlo de Aplicações que pretende remover.

  • <Partição> do Sistema EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
  • <Volume> do SO\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip

Para políticas de Controlo de Aplicações de formato de política única, além das duas localizações acima, procure também um ficheiro chamado SiPolicy.p7b que possa ser encontrado nas seguintes localizações:

  • <Partição> do Sistema EFI\Microsoft\Boot\SiPolicy.p7b
  • <Volume> do SO\Windows\System32\CodeIntegrity\SiPolicy.p7b

Em seguida, reinicie o computador.

Script de exemplo para eliminar uma única política de Controlo de Aplicações

# Set PolicyId GUID to the PolicyId from your App Control policy XML
$PolicyId = "{PolicyId GUID}"

# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint =  $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"

# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition

# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}

$Count = 1
while ($Count -le $NumFilesToDelete)
{

    # Set the $PolicyPath to the file to be deleted, if exists
    Switch ($Count)
    {
        1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
        3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
        4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
    }

    # Delete the policy file from the current $PolicyPath
    Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
    if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}

    $Count = $Count + 1
}

# Dismount the EFI partition
mountvol $MountPoint /D

Observação

Tem de executar o script como administrador para remover as políticas de Controlo de Aplicações no seu computador.

Remover políticas de Controlo de Aplicações que causam falhas de paragem de arranque

Uma política de Controlo de Aplicações que bloqueia controladores críticos de arranque pode causar uma falha de paragem de arranque (BSOD), embora isto possa ser mitigado ao definir a opção 10 Ativado:Auditoria de Arranque Por Falha nas suas políticas. Além disso, as políticas de Controlo de Aplicações assinadas protegem a política contra manipulação administrativa e software maligno que obteve acesso administrativo ao sistema. Por este motivo, as políticas de Controlo de Aplicações assinadas são intencionalmente mais difíceis de remover do que as políticas não assinadas, mesmo para os administradores. Adulterar ou remover uma política de Controlo de Aplicações assinada fará com que ocorra um BSOD.

Para remover uma política que está a causar falhas de paragem de arranque:

  1. Se a política for uma política de Controlo de Aplicações assinada , desative o Arranque Seguro no menu DO BIOS do UEFI. Para obter ajuda para localizar onde desativar o Arranque Seguro no menu do BIOS, consulte o fabricante do equipamento original (OEM).
  2. Aceda ao menu Opções de Arranque Avançadas no seu computador e selecione a opção Desativar imposição de assinatura do controlador. Para obter instruções sobre como aceder ao menu Opções de Arranque Avançadas durante o arranque, consulte o seu OEM. Esta opção irá suspender todas as verificações de integridade do código, incluindo o Controlo de Aplicações, para uma única sessão de arranque.
  3. Inicie o Windows normalmente e inicie sessão. Em seguida, remova as políticas de Controlo de Aplicações com o script.
  4. Se tiver desativado o Arranque Seguro no passo 1 acima e a unidade estiver protegida pelo BitLocker, suspenda a proteção BitLocker e, em seguida, ative o Arranque Seguro no menu DO BIOS da UEFI.
  5. Reinicie o computador.

Observação

Se a unidade estiver protegida pelo Bitlocker, poderá precisar das chaves de recuperação bitlocker para executar os passos 1 a 2 acima.