Использование событий аудита для создания правил политики управления приложениями
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Запуск элемента управления приложениями в режиме аудита позволяет обнаруживать приложения, двоичные файлы и скрипты, которые отсутствуют в политике управления приложениями, но должны быть включены.
Пока политика управления приложениями выполняется в режиме аудита, любой двоичный файл, который выполняется, но был бы отклонен, регистрируется в журнале событий приложений и служб\Microsoft\Windows\CodeIntegrity\Operational . Скрипт и MSI регистрируются в журналах приложений и служб\Microsoft\Windows\AppLocker\MSI и в журнале событий скриптов. Эти события можно использовать для создания новой политики управления приложениями, которая может быть объединена с исходной базовой политикой или развернута в качестве отдельной дополнительной политики, если это разрешено.
Общие сведения о процессе создания политики управления приложениями для разрешения приложений, использующих события аудита
Примечание.
Для использования этого процесса необходимо уже развернуть политику режима аудита управления приложениями. Если вы еще этого не сделали, см. статью Развертывание политик управления приложениями для бизнеса.
Чтобы ознакомиться с созданием правил управления приложениями на основе событий аудита, выполните следующие действия на устройстве с политикой режима аудита управления приложениями.
Установите и запустите приложение, которое не разрешено политикой управления приложениями, но вы хотите разрешить.
Просмотрите журналы событий CodeIntegrity — Operational и AppLocker — MSI и Script , чтобы убедиться, что события, как показано на рис. 1, создаются, связанные с приложением. Сведения о типах событий, которые следует просмотреть, см. в статье Общие сведения о событиях управления приложениями.
Рисунок 1. Исключения из развернутой политики управления приложениями
В сеансе PowerShell с повышенными привилегиями выполните следующие команды, чтобы инициализировать переменные, используемые в этой процедуре. Эта процедура основана на политикеLamna_FullyManagedClients_Audit.xml , представленной в статье Создание политики управления приложениями для полностью управляемых устройств , и создаст новую политику с именемEventsPolicy.xml.
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"Используйте New-CIPolicy для создания новой политики управления приложениями на основе зарегистрированных событий аудита. В этом примере используется уровень правила файла FilePublisher и резервный уровень Хэша . Предупреждающие сообщения перенаправляются в текстовый файл EventsPolicyWarnings.txt.
New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarningsПримечание.
В процессе создания политик из событий аудита необходимо обдуманно выбирать уровень правил файлов для добавления в список доверия. В предыдущем примере используется уровень правила FilePublisher с резервным уровнем хэша, который может быть более конкретным, чем требуется. Вы можете повторно выполнить указанную выше команду, используя различные параметры -Level и -Fallback в соответствии со своими потребностями. Дополнительные сведения об уровнях правил управления приложениями см. в статье Общие сведения о правилах политики и файлах управления приложениями.
Найдите и просмотрите файл политики управления приложениямиEventsPolicy.xml , который должен быть найден на вашем рабочем столе. Убедитесь, что он содержит только правила файлов и подписыватель для приложений, двоичных файлов и скриптов, которые вы хотите разрешить. Вы можете удалить правила, вручную изменив XML-код политики или используя мастер политики управления приложениями (см. раздел Изменение существующих базовых и дополнительных политик управления приложениями с помощью мастера).
Найдите и просмотрите текстовый файл EventsPolicyWarnings.txt , который должен находиться на рабочем столе. Этот файл будет содержать предупреждение для всех файлов, для которых элементу управления приложения не удалось создать правило на указанном уровне правила или на уровне резервного правила.
Примечание.
New-CIPolicy создает правила только для файлов, которые по-прежнему можно найти на диске. Для файлов, которые больше не присутствуют в системе, не будет создано правило, разрешающее их. Однако в журнале событий должно быть достаточно сведений, чтобы разрешить эти файлы, вручную изменив XML-код политики для добавления правил. Вы можете использовать существующее правило в качестве шаблона и проверить результаты с определением схемы политики управления приложениями по адресу %windir%\schemas\CodeIntegrity\cipolicy.xsd.
Объедините EventsPolicy.xml с базовой политикойLamna_FullyManagedClients_Audit.xml или преобразуйте ее в дополнительную политику.
Сведения о слиянии политик см. в статье Слияние политик управления приложениями для бизнеса и дополнительные политики см. в статье Использование нескольких политик управления приложениями для бизнеса.
Преобразуйте базовую или дополнительную политику в двоичную и разверните с помощью предпочтительного метода.