Удаление политик управления приложениями для бизнеса
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Удаление политик управления приложениями
Может потребоваться удалить одну или несколько политик управления приложениями или все развернутые политики управления приложениями. В этой статье описаны различные способы удаления политик управления приложениями.
Важно.
Политика подписанного базового элемента управления приложениями
Если базовая политика, которую вы пытаетесь удалить, является подписанной политикой управления приложениями, сначала необходимо развернуть подписанную политику замены, которая включает параметр 6 Enabled:Unsigned System Integrity Policy.
Политика замены должна иметь тот же идентификатор PolicyId, что и заменяющий, и версию, равную или превышающую существующую политику. Политика замены также должна включать <UpdatePolicySigners>.
Чтобы начать действовать, эта политика должна быть подписана сертификатом, включенным в <раздел UpdatePolicySigners> исходной политики, которую вы хотите заменить.
Затем необходимо перезагрузить компьютер, чтобы защита политики UEFI была отключена. В противном случае произойдет сбой запуска загрузки.
Подписанные дополнительные политики управления приложениями могут быть удалены так же, как и политики без знака, без необходимости выполнять указанные выше действия.
Перед удалением политики необходимо сначала отключить метод, используемый для ее развертывания (например, групповая политика или MDM). В противном случае политика может повторно развернуться на компьютере.
Чтобы сделать политику эффективно неактивной перед ее удалением, можно сначала заменить ее новой политикой, которая включает следующие изменения:
- Замените правила политики правилами "Разрешить *";
- Задайте параметр 3 Включено:Режим аудита , чтобы изменить политику только на режим аудита;
- Установите параметр 11 Disabled:Script Enforcement;
- Разрешить все COM-объекты. См . раздел Разрешение регистрации COM-объектов в политике управления приложениями.
- Если применимо, удалите параметр 0 Enabled:UMCI , чтобы преобразовать политику только в режим ядра.
Удаление политик управления приложениями с помощью CiTool.exe
Начиная с обновления Windows 11 2022, политики управления приложениями можно удалить с помощью CiTool.exe. В командном окне с повышенными привилегиями выполните следующую команду. Обязательно замените текстовый идентификатор GUID PolicyId фактическим идентификатором политики управления приложениями, которую вы хотите удалить:
CiTool.exe -rp "{PolicyId GUID}" -json
Примечание.
Начиная с обновления Windows 11 2024, неподписанные политики можно удалить с помощью CiTool.exe без необходимости перезапуска. Однако в предыдущих версиях Windows для завершения процесса удаления требуется перезагрузка.
Удаление политик управления приложениями с помощью решений MDM, таких как Intune
Вы можете использовать решение mobile Управление устройствами (MDM), например Microsoft Intune, чтобы удалить политики управления приложениями с клиентских компьютеров с помощью поставщика служб CSP ApplicationControl.
Обратитесь к поставщику решений MDM для получения конкретных сведений об использовании поставщика служб CSP ApplicationControl.
Затем перезагрузите компьютер.
Удаление политик управления приложениями с помощью скрипта
Чтобы удалить политики управления приложениями с помощью скрипта, скрипт должен удалить файлы политики с компьютера. Для политик управления приложениями в нескольких форматах политик (1903 и более поздних версий) найдите файлы политики в следующих расположениях. Обязательно замените идентификатор GUID PolicyId фактическим идентификатором политики управления приложениями, которую требуется удалить.
- <EFI System Partition>\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
- <Том> ОС\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
Для политик управления приложениями одного формата политики в дополнение к двум приведенным выше расположениям также найдите файл с именем SiPolicy.p7b, который можно найти в следующих расположениях:
- <EFI System Partition>\Microsoft\Boot\SiPolicy.p7b
- <Том> ОС\Windows\System32\CodeIntegrity\SiPolicy.p7b
Затем перезагрузите компьютер.
Пример скрипта для удаления одной политики управления приложениями
# Set PolicyId GUID to the PolicyId from your App Control policy XML
$PolicyId = "{PolicyId GUID}"
# Initialize variables
$SinglePolicyFormatPolicyId = "{A244370E-44C9-4C06-B551-F6016E563076}"
$SinglePolicyFormatFileName = "\SiPolicy.p7b"
$MountPoint = $env:SystemDrive+"\EFIMount"
$SystemCodeIntegrityFolderRoot = $env:windir+"\System32\CodeIntegrity"
$EFICodeIntegrityFolderRoot = $MountPoint+"\EFI\Microsoft\Boot"
$MultiplePolicyFilePath = "\CiPolicies\Active\"+$PolicyId+".cip"
# Mount the EFI partition
$EFIPartition = (Get-Partition | Where-Object IsSystem).AccessPaths[0]
if (-Not (Test-Path $MountPoint)) { New-Item -Path $MountPoint -Type Directory -Force }
mountvol $MountPoint $EFIPartition
# Check if the PolicyId to be removed is the system reserved GUID for single policy format.
# If so, the policy may exist as both SiPolicy.p7b in the policy path root as well as
# {GUID}.cip in the CiPolicies\Active subdirectory
if ($PolicyId -eq $SinglePolicyFormatPolicyId) {$NumFilesToDelete = 4} else {$NumFilesToDelete = 2}
$Count = 1
while ($Count -le $NumFilesToDelete)
{
# Set the $PolicyPath to the file to be deleted, if exists
Switch ($Count)
{
1 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$MultiplePolicyFilePath}
2 {$PolicyPath = $EFICodeIntegrityFolderRoot+$MultiplePolicyFilePath}
3 {$PolicyPath = $SystemCodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
4 {$PolicyPath = $EFICodeIntegrityFolderRoot+$SinglePolicyFormatFileName}
}
# Delete the policy file from the current $PolicyPath
Write-Host "Attempting to remove $PolicyPath..." -ForegroundColor Cyan
if (Test-Path $PolicyPath) {Remove-Item -Path $PolicyPath -Force -ErrorAction Continue}
$Count = $Count + 1
}
# Dismount the EFI partition
mountvol $MountPoint /D
Примечание.
Чтобы удалить политики управления приложениями на компьютере, необходимо запустить сценарий от имени администратора.
Удаление политик управления приложениями, вызывающих сбои при остановке загрузки
Политика управления приложениями, блокирующая критически важные драйверы загрузки, может привести к сбою остановки загрузки (BSOD), хотя это можно устранить, установив параметр 10 Enabled:Boot Audit On Failure в политиках. Кроме того, подписанные политики управления приложениями защищают политику от административных манипуляций и вредоносных программ, которые получили доступ к системе на уровне администратора. По этой причине подписанные политики управления приложениями намеренно сложнее удалить, чем неподписанные политики даже для администраторов. Изменение или удаление подписанной политики управления приложениями приведет к возникновению BSOD.
Чтобы удалить политику, которая вызывает сбои при остановке загрузки, выполните следующие действия:
- Если политика является подписанной политикой управления приложениями, отключите безопасную загрузку в меню UEFI BIOS. Чтобы получить помощь по поиску места для отключения безопасной загрузки в меню BIOS, обратитесь к изготовителю оборудования (OEM).
- Откройте меню Дополнительные параметры загрузки на компьютере и выберите параметр Отключить принудительное применение подписи драйвера. Инструкции по доступу к меню "Дополнительные параметры загрузки" во время запуска см. у изготовителя оборудования. Этот параметр приостанавливает все проверки целостности кода, включая управление приложениями, для одного сеанса загрузки.
- Запустите Windows в обычном режиме и выполните вход. Затем удалите политики управления приложениями с помощью скрипта.
- Если вы отключили безопасную загрузку на шаге 1 выше и диск защищен с помощью BitLocker, приостановите защиту BitLocker , а затем включите безопасную загрузку в меню UEFI BIOS.
- Перезагрузите компьютер.
Примечание.
Если диск защищен с помощью Bitlocker, возможно, вам потребуются ключи восстановления Bitlocker для выполнения описанных выше шагов 1–2.