使用向导创建新的补充策略
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
从 Windows 10 版本 1903 开始,适用于企业的 App Control 支持在设备上创建多个活动策略。 一个或多个补充策略允许客户扩展 应用控制基础策略 ,以增加策略的信任圈。 补充策略只能扩展一个基本策略,但多个补充策略可以扩展同一个基本策略。 使用补充策略时,将允许基础或其任何补充策略允许的应用程序运行。
可以通过应用控件 设计指南访问有关应用控件的先决条件信息。 本页概述了创建补充应用控制策略、配置策略选项以及签名者和文件规则的步骤。
扩展基本策略
在“新建策略”页上选择补充策略类型后,可以使用策略名称和文件对话框字段来命名和保存补充策略。 下一步需要选择基本策略进行扩展。 若要扩展基本策略,该基础必须允许补充策略。 应用控制向导验证基本策略是否允许补充,并显示以下确认。
如果未为补充策略配置基本策略,向导会尝试将策略转换为可以补充的策略。 成功后,向导会显示一个对话框,显示添加“允许补充策略”规则已完成。
向导检测到无法补充的策略(例如另一个补充策略),并显示以下错误。 只能对基本策略进行补充。 有关补充策略的详细信息,请参阅 我们的多个策略一文。
配置策略规则
页面启动时,将根据上一页中选择的基本策略自动启用/禁用策略规则。 大多数补充策略规则继承自基本策略。 向导会自动分析基本策略,并设置所需的补充策略规则以匹配基本策略规则。 继承的策略规则灰显,在用户界面中不可修改。
将光标置于规则标题上时,会在页面底部显示规则的简短说明。
可配置的补充策略规则说明
补充策略只能配置三个策略规则。 下表描述了每个策略规则,从最左侧的列开始。 选择“ + 高级选项” 标签会显示另一列策略规则,即高级策略规则。
| 规则选项 | 描述 |
|---|---|
| Intelligent Security Graph 授权 | 使用此选项可自动允许Microsoft的 Intelligent Security Graph (ISG) 定义的具有“已知良好”信誉的应用程序。 |
| 托管安装程序 | 使用此选项可自动允许已定义为托管安装程序的软件分发解决方案(例如Microsoft Configuration Manager)安装的应用程序。 |
| 禁用运行时 FilePath 规则保护 | 此选项禁用默认运行时检查,该检查仅允许仅由管理员可写的路径的 FilePath 规则。 |
创建自定义文件规则
应用控制策略中的文件规则指定标识和信任应用程序的级别。 文件规则是在应用控制策略中定义信任的main机制。 选择“ + 自定义规则” 将打开自定义文件规则条件面板,以便为策略创建和自定义目标文件规则。 向导支持四种类型的文件规则:
发布服务器规则
发布服务器文件规则类型使用基本文件规则的代码签名证书链中的属性。 选择将规则设置为其基础的文件(称为 引用文件)后,使用滑块来指示规则的特异性。 下表显示了滑块放置、相应的适用于企业的 App Control 规则级别及其说明之间的关系。 表和 UI 滑块上的位置越低,规则的针对性越大。
| 规则条件 | 应用控制规则级别 | 描述 |
|---|---|---|
| 颁发 CA | PCACertificate | 向签名者添加了最高可用证书。 此证书通常是 PCA 证书,比根证书低一级。 此证书签名的任何文件都会受到影响。 |
| 发布者 | 发布者 | 此规则是 PCACertificate 规则和叶证书的公用名 (CN) 的组合。 由主要 CA 签名但具有特定公司(例如设备驱动程序发布者)的叶的任何文件都会受到影响。 |
| 文件版本 | SignedVersion | 此规则是 PCACertificate 和 Publisher 规则以及版本号的组合。 来自指定发布服务器且版本高于指定发布者的任何内容都会受到影响。 |
| 文件名 | FilePublisher | 最具体。 文件名、发布者和 PCA 证书以及最低版本号的组合。 发布者中具有指定名称且大于或等于指定版本的文件将受到影响。 |
文件路径规则
文件路径规则不提供与显式签名者规则相同的安全保证,因为它们基于可变访问权限。 若要创建文件路径规则,请使用“ 浏览 ”按钮选择文件。
文件属性规则
向导支持基于经过身份验证的文件属性创建 文件名规则 。 例如,当应用程序及其依赖项 (例如,DLL) 可能共享同一个产品名称时,文件名规则非常有用。 此规则级别允许用户根据产品名称文件名轻松创建目标策略。 若要选择文件属性以创建规则,请将向导上的滑块移动到所需的属性。 下表描述了要创建规则的每个受支持文件属性。
| 规则级别 | 说明 |
|---|---|
| 原始文件名 | 指定二进制文件的原始文件名或首次创建文件时使用的名称。 |
| 文件描述 | 指定二进制文件的开发人员提供的文件说明。 |
| 产品名称 | 指定二进制文件随附的产品的名称。 |
| 内部名称 | 指定二进制文件的内部名称。 |
文件哈希规则
最后,向导支持使用文件的哈希创建文件规则。 尽管此级别是特定的,但它可能会导致额外的管理开销来维护当前产品版本的哈希值。 每次更新二进制文件时,哈希值都会更改,因此需要策略更新。 默认情况下,向导使用文件哈希作为回退,以防无法使用指定的文件规则级别创建文件规则。
删除签名规则
页面左侧的表记录了模板中的允许和拒绝规则,以及你创建的任何自定义规则。 可以通过从规则列表表中选择规则,从策略中删除规则。 突出显示规则后,按表下方的删除按钮。 系统再次提示你进行另一次确认。 选择此选项 Yes 可从策略和规则表中删除规则。