使用向导创建新的基本策略
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
创建用于企业应用控制的策略时,建议从模板策略开始,然后添加或删除规则以适合你的应用控制方案。 因此,应用控制向导提供了三个模板策略,可在基本策略创建工作流期间从中开始和自定义。 可以通过应用控件 设计指南访问有关应用控件的先决条件信息。 本页概述了从模板创建新的应用控制策略、配置策略选项以及签名者和文件规则的步骤。
模板基本策略
每个模板策略都有一组唯一的策略允许列表规则,这些规则会影响策略的信任圈和安全模型。 下表列出了按增加信任和自由顺序的策略。 例如,默认 Windows 模式策略信任的应用程序发布者和签名者比“已签名和信誉良好”模式策略要少。 与已签名和信誉良好的策略相比,默认 Windows 策略的信任圈更小,安全性更好,但代价是兼容性。
| 模板基本策略 | 描述 |
|---|---|
| 默认 Windows 模式 | 默认 Windows 模式授权以下组件:
|
| 允许Microsoft模式 | 允许模式授权以下组件:
|
| 已签名和可信誉模式 | 已签名和信誉模式授权以下组件:
|
斜体内容表示当前策略中与之前策略相关的更改。
有关默认 Windows 模式和允许Microsoft模式策略的详细信息,可以通过 适用于企业基础策略的示例应用控制一文访问。
选择基本模板后,为策略指定一个名称,并选择将应用控制策略保存在磁盘上的位置。
配置策略规则
页面启动时,将根据上一页中选择的模板自动启用/禁用策略规则。 通过按策略规则标题旁边的滑块按钮,选择启用或禁用所需的策略规则选项。 当鼠标悬停在规则标题上时,页面底部会显示每个规则的简短说明。
策略规则说明
下表介绍了每个策略规则,从最左侧的列开始。 策略规则一文提供了每个策略规则的更完整说明。
| 规则选项 | 描述 |
|---|---|
| “高级启动选项”菜单 | 默认情况下,所有企业应用控制策略的 F8 预启动菜单都处于禁用状态。 设置此规则选项可使 F8 菜单显示给实际存在的用户。 |
| 允许补充策略 | 在基础策略上使用此选项,以允许补充策略扩展它。 |
| 禁用脚本强制 | 此选项禁用脚本强制选项。 未签名的 PowerShell 脚本和交互式 PowerShell 不再限制为 约束语言模式。 注意:此选项是运行 HTA 文件所必需的,并且仅支持 Windows 10 2019 年 5 月更新 (1903) 及更高版本。 不支持在早期版本的 Windows 10 上使用它,并且可能会产生意外的结果。 |
| 受虚拟机监控程序保护的代码完整性 (HVCI) | 启用后,策略强制使用基于虚拟化的安全性在安全环境中运行代码完整性服务。 HVCI 提供针对内核恶意软件的更强大的保护。 |
| Intelligent Security Graph 授权 | 使用此选项可自动允许Microsoft智能安全图 (ISG) 定义的具有“已知良好”信誉的应用程序。 |
| 托管安装程序 | 使用此选项可自动允许已定义为托管安装程序的软件分发解决方案(例如Microsoft Configuration Manager)安装的应用程序。 |
| 需要 WHQL | 默认情况下,允许执行非 Windows 硬件质量实验室 (WHQL) 签名的旧驱动程序。 启用此规则需要每个已执行的驱动程序都经过 WHQL 签名,并删除旧的驱动程序支持。 此后,每个新的 Windows 兼容驱动程序都必须经过 WHQL 认证。 |
| 在不重新启动的情况下更新策略 | 使用此选项可允许将来应用适用于企业的 App Control 策略更新,而无需重新启动系统。 |
| 未签名的系统完整性策略 | 允许策略保持未签名状态。 当删除此选项时,该策略必须已签名并且已将 UpdatePolicySigners 添加到策略以支持将来的策略修改。 |
| 用户模式代码完整性 | 适用于企业的应用控制策略限制内核模式和用户模式二进制文件。 默认情况下,仅限制内核模式二进制文件。 启用此规则选项可验证用户模式可执行文件和脚本。 |
高级策略规则说明
选择“ + 高级选项” 标签会显示另一列策略规则,即高级策略规则。 下表提供了每个高级策略规则的说明。
| 规则选项 | 描述 |
|---|---|
| 失败时启动审核 | 当企业应用控制策略处于强制模式时使用。 当驱动程序在启动期间发生故障时,应用控制策略将置于审核模式,以便 Windows 加载。 管理员可以在 CodeIntegrity 事件日志中验证失败的原因。 |
| 禁用外部测试版签名 | 如果启用,应用控制策略将阻止 flightroot 签名的二进制文件。 在组织仅希望运行已发布的二进制文件,而不运行外部测试版/预览版签名的生成时,将使用此选项。 |
| 禁用运行时 FilePath 规则保护 | 此选项禁用默认运行时检查,该检查仅允许仅由管理员可写的路径的 FilePath 规则。 |
| 动态代码安全性 | 为 .NET 应用程序和动态加载的库启用策略强制 (dll) 。 |
| 重新启动时使 CA 无效 | 当使用 Intelligent Security Graph 选项 (14) 时,应用控制设置一个扩展文件属性,该属性指示该文件已获授权运行。 此选项会导致应用控制定期重新验证 ISG 授权的文件的信誉。 |
| 需要 EV 签名者 | 目前不支持此选项。 |
注意
建议首先 启用审核模式 ,因为它允许在实施新的企业应用控制策略之前对其进行测试。 使用审核模式时,不会阻止任何应用程序 -- 每当启动策略外部的应用程序时,策略会记录事件。 因此,默认情况下,所有模板都启用了审核模式。
创建自定义文件规则
应用控制策略中的文件规则指定标识和信任应用程序的级别。 文件规则是在应用控制策略中定义信任的main机制。 选择“ + 自定义规则” 将打开自定义文件规则条件面板,以便为策略创建自定义文件规则。 向导支持四种类型的文件规则:
发布服务器规则
发布服务器文件规则类型使用基本文件规则的代码签名证书链中的属性。 选择将规则设置为其基础的文件(称为 引用文件)后,使用滑块来指示规则的特异性。 下表显示了滑块放置、相应的适用于企业的 App Control 规则级别及其说明之间的关系。 表和 UI 滑块上的位置越低,规则的针对性越大。
| 规则条件 | 应用控制规则级别 | 描述 |
|---|---|---|
| 颁发 CA | PCACertificate | 向签名者添加了最高可用证书。 此证书通常是 PCA 证书,比根证书低一级。 此证书签名的任何文件都会受到影响。 |
| 发布者 | 发布者 | 此规则是 PCACertificate 规则和叶证书的公用名 (CN) 的组合。 由主要 CA 签名但具有特定公司(例如设备驱动程序公司)叶的任何文件都会受到影响。 |
| 文件版本 | SignedVersion | 此规则是 PCACertificate、publisher 和版本号的组合。 来自指定发布服务器且版本高于指定发布者的任何内容都会受到影响。 |
| 文件名 | FilePublisher | 最具体。 文件名、发布者和 PCA 证书以及最低版本号的组合。 发布者中具有指定名称且大于或等于指定版本的文件将受到影响。 |
文件路径规则
文件路径规则不提供与显式签名者规则相同的安全保证,因为它们基于可变访问权限。 若要创建文件路径规则,请使用“ 浏览 ”按钮选择文件。
文件属性规则
向导支持基于经过身份验证的文件属性创建 文件名规则 。 例如,当应用程序及其依赖项 (例如,DLL) 可能共享同一个产品名称时,文件名规则非常有用。 此规则级别允许用户根据产品名称文件名参数轻松创建目标策略。 若要选择文件属性以创建规则,请将向导上的滑块移动到所需的属性。 下表描述了要创建规则的每个受支持文件属性。
| 规则级别 | 说明 |
|---|---|
| 原始文件名 | 指定二进制文件的原始文件名或首次创建文件时使用的名称。 |
| 文件描述 | 指定二进制文件的开发人员提供的文件说明。 |
| 产品名称 | 指定二进制文件随附的产品的名称。 |
| 内部名称 | 指定二进制文件的内部名称。 |
文件哈希规则
最后,向导支持使用文件的哈希创建文件规则。 尽管此级别是特定的,但它可能会导致额外的管理开销来维护当前产品版本的哈希值。 每次更新二进制文件时,哈希值都会更改,因此需要策略更新。 默认情况下,向导使用文件哈希作为回退,以防无法使用指定的文件规则级别创建文件规则。
删除签名规则
页面左侧的策略签名规则列表表记录了模板中的允许和拒绝规则,以及你创建的任何自定义规则。 可以通过从规则列表表中选择规则,从策略中删除模板签名规则和自定义规则。 突出显示规则后,按表下方的删除按钮。 然后系统会提示你进行另一次确认。 选择此选项 Yes 可从策略和规则表中删除规则。