Compartilhar via


Impor políticas de Controlo de Aplicações para Empresas

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Agora, deverá ter uma ou mais políticas do Controlo de Aplicações para Empresas amplamente implementadas no modo de auditoria. Analisou os eventos recolhidos dos dispositivos com essas políticas e está pronto para impor. Utilize este procedimento para preparar e implementar as políticas de Controlo de Aplicações no modo de imposição.

Observação

Alguns dos passos descritos neste artigo aplicam-se apenas a Windows 10 versão 1903 e posterior, ou Windows 11. Ao utilizar este tópico para planear as políticas de Controlo de Aplicações da sua própria organização, considere se os seus clientes geridos podem utilizar todas ou algumas destas funcionalidades. Avalie o impacto de quaisquer funcionalidades que possam estar indisponíveis nos clientes que executam versões anteriores do Windows 10 e do Windows Server. Poderá ter de adaptar esta documentação de orientação para satisfazer as necessidades da sua organização específica.

Converter a política base do Controlo de Aplicações de auditoria para imposta

Conforme descrito em cenários comuns de implementação do Controlo de Aplicações para Empresas, vamos utilizar o exemplo da Lamna Healthcare Company (Lamna) para ilustrar este cenário. A Lamna está a tentar adotar políticas de aplicação mais fortes, incluindo a utilização do Controlo de Aplicações para impedir que aplicações indesejadas ou não autorizadas sejam executadas nos respetivos dispositivos geridos.

Alice Pena é a líder da equipa de TI responsável pela implementação do Controlo de Aplicações da Lamna.

A Alice criou e implementou anteriormente uma política para os dispositivos totalmente geridos da organização. Atualizaram a política com base nos dados de eventos de auditoria, conforme descrito em Utilizar eventos de auditoria para criar regras de política de Controlo de Aplicações e implementá-la novamente. Todos os eventos de auditoria restantes estão conforme esperado e Alice está pronta para mudar para o modo de imposição.

  1. Inicialize as variáveis que serão utilizadas e crie a política imposta ao copiar a versão de auditoria.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
    $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
    $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
    cp $AuditPolicyXML $EnforcedPolicyXML
    
  2. Utilize Set-CIPolicyIdInfo para dar à nova política um ID exclusivo e um nome descritivo. Alterar o ID e o nome permite-lhe implementar a política imposta lado a lado com a política de auditoria. Efetue este passo se planear proteger a política de Controlo de Aplicações ao longo do tempo. Se preferir substituir a política de auditoria no local, pode ignorar este passo.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
    $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)
    
  3. [Opcionalmente] Utilize Set-RuleOption para ativar as opções de regra 9 ("Menu Opções de Arranque Avançadas") e 10 ("Auditoria de Arranque com Falha"). A opção 9 permite que os utilizadores desativem a imposição do Controlo de Aplicações para uma única sessão de arranque a partir de um menu de pré-arranque. A opção 10 instrui o Windows a mudar a política de imposição para auditoria apenas se um controlador de modo kernel crítico de arranque estiver bloqueado. Recomendamos vivamente estas opções ao implementar uma nova política imposta na sua primeira cadência de implementação. Em seguida, se não forem encontrados problemas, pode remover as opções e reiniciar a implementação.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10
    
  4. Utilize Set-RuleOption para eliminar a opção de regra do modo de auditoria, que altera a política para a imposição:

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete
    
  5. Utilize ConvertFrom-CIPolicy para converter a nova política de Controlo de Aplicações em binário:

    Observação

    Se não utilizou -ResetPolicyID no Passo 2 acima, tem de substituir $EnforcedPolicyID no seguinte comando pelo atributo PolicyID encontrado no XML da política base.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
    ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
    

Efetuar cópias de quaisquer políticas suplementares necessárias para utilizar com a política de base imposta

Uma vez que a política imposta recebeu um PolicyID exclusivo no procedimento anterior, tem de duplicar todas as políticas suplementares necessárias para utilizar com a política imposta. As políticas suplementares herdam sempre o modo auditoria ou imposição da política base que modificam. Se não tiver reposto o PolicyID da política de base de imposição, pode ignorar este procedimento.

  1. Inicialize as variáveis que serão utilizadas e crie uma cópia da política suplementar atual. Também serão utilizadas algumas variáveis e ficheiros do procedimento anterior.

    $SupplementalPolicyName = "Lamna_Supplemental1"
    $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
    $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"
    
  2. Utilize Set-CIPolicyIdInfo para dar à nova política suplementar um ID exclusivo e um nome descritivo e altere a política de base a complementar.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
    $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)
    

    Observação

    Se Set-CIPolicyIdInfo não produzir o novo valor PolicyID na sua versão de Windows 10, terá de obter diretamente o valor PolicyId do XML.

  3. Utilize ConvertFrom-CIPolicy para converter a nova política suplementar do Controlo de Aplicações para Empresas em binário:

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
    ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary
    
  4. Repita os passos acima se tiver outras políticas suplementares para atualizar.

Implementar a política imposta e as políticas suplementares

Agora que a política de base está no modo imposto, pode começar a implementá-la nos pontos finais geridos. Para obter informações sobre a implementação de políticas, veja Implementar políticas do Controlo de Aplicações para Empresas.