使用精靈建立新的基底原則
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
建立與商務用應用程控搭配使用的原則時,建議從範本原則開始,然後新增或移除規則以符合您的應用程控案例。 基於這個理由,應用程控精靈會提供三個範本原則,以在基底原則建立工作流程期間從開始和自定義。 您可以透過 應用程控設計指南來存取應用程控的必要條件資訊。 此頁面概述從範本建立新應用程控原則、設定原則選項,以及簽署者和檔案規則的步驟。
範本基底原則
每個範本原則都有一組唯一的原則允許清單規則,這些規則會影響原則的信任圈和安全性模型。 下表列出以遞增的信任和自由順序的原則。 例如,預設 Windows 模式原則信任的應用程式發行者和簽署者比「已簽署」和「可繼續」模式原則還要少。 默認 Windows 原則具有比「已簽署」和「可繼續」原則更佳的安全性,但代價是相容性。
範本基底原則 | 描述 |
---|---|
默認 Windows 模式 | 預設 Windows 模式會授權下列元件:
|
允許Microsoft模式 | 允許模式會授權下列元件:
|
帶正負號且有信譽的模式 | 已簽署和可信譽模式會授權下列元件:
|
斜體化內容表示目前原則與先前原則的變更。
如需預設 Windows 模式和允許Microsoft模式原則的詳細資訊,請參閱 商務用應用程控基底原則一文。
選取基底範本之後,請為原則命名,然後選擇在磁碟上儲存應用程控原則的位置。
設定原則規則
頁面啟動時,原則規則會自動啟用/停用,視上一頁選擇的範本而定。 按原則規則標題旁邊的滑桿按鈕,選擇啟用或停用所需的原則規則選項。 當滑鼠停留在規則標題上方時,頁面底部會出現每個規則的簡短描述。
原則規則描述
下表描述每個原則規則,從最左邊的數據行開始。 原則 規則一文 提供每個原則規則的更完整描述。
規則選項 | 描述 |
---|---|
進階開機選項功能表 | 所有商務用應用程控原則預設會停用 F8 預先啟動功能表。 設定這個規則選項可對實際存在的使用者顯示 F8 功能表。 |
允許補充原則 | 在基底原則上使用此選項,以允許補充原則加以擴充。 |
停用腳本強制執行 | 這個選項會停用文稿強制執行選項。 未簽署的PowerShell腳本和互動式PowerShell不再受限於 限制語言模式。 注意:執行 HTA 檔案需要此選項,且只有 Windows 10 2019 年 5 月更新 (1903) 和更新版本才支援。 不支援在舊版 Windows 10 上使用它,而且可能會產生非預期的結果。 |
受 Hypervisor 保護的程式代碼完整性 (HVCI) | 啟用時,原則強制執行會使用以虛擬化為基礎的安全性,在安全環境中執行程式代碼完整性服務。 HVCI 可針對核心惡意代碼提供更強大的保護。 |
Intelligent Security Graph 授權 | 使用此選項可自動允許具有「已知良好」信譽的應用程式,如 Microsoft Intelligent Security Graph (ISG) 所定義。 |
Managed Installer | 使用此選項可自動允許軟體發佈解決方案所安裝的應用程式,例如已定義為受控安裝程式的 Microsoft Configuration Manager。 |
需要 WHQL | 根據預設,非 Windows 硬體質量實驗室 (WHQL) 簽署的舊版驅動程式可以執行。 啟用這項規則需要每個執行的驅動程式是由 WHQL 簽署,並移除舊版的驅動程式支援。 因此,每個新的 Windows 相容驅動程式都必須經過 WHQL 認證。 |
更新原則而不重新啟動 | 使用此選項可允許未來套用商務用應用程控原則更新,而不需要系統重新啟動。 |
未簽署的系統完整性原則 | 允許原則維持未簽署。 移除此選項時,必須簽署原則,並將 UpdatePolicySigners 新增到該原則以支援未來的原則修改。 |
使用者模式程式代碼完整性 | 商務用應用程控原則會同時限制內核模式和使用者模式二進制檔。 根據預設,只有核心模式二進位檔案會受到限制。 啟用此規則選項會驗證使用者模式的可執行檔和指令碼。 |
進階原則規則描述
選取 [+ 進階選項] 標籤會顯示另一個原則規則數據行,即進階原則規則。 下表提供每個進階原則規則的描述。
規則選項 | 描述 |
---|---|
失敗時開機稽核 | 當商務用應用程控原則處於強制模式時使用。 當驅動程式在啟動期間失敗時,應用程控原則會處於稽核模式,讓 Windows 載入。 系統管理員可以驗證 CodeIntegrity 事件記錄檔中失敗的原因。 |
停用正式發行前小眾測試版簽署 | 如果啟用,應用程控原則會封鎖正式發行前小眾測試版簽署的二進制檔。 在組織只想要執行已發行的二進位檔,而非正式發行前小眾測試版/預覽版簽署組建的案例中,會使用此選項。 |
停用運行時間 FilePath 規則保護 | 此選項會停用預設運行時間檢查,只允許只有系統管理員可寫入之路徑的 FilePath 規則。 |
動態程式代碼安全性 | 啟用 .NET 應用程式的原則強制執行,以及動態載入的連結庫 (DLL) 。 |
在重新啟動時使 IA 失效 | 使用 Intelligent Security Graph 選項 (14) 時,應用程控會設定擴充檔屬性,指出檔案已獲授權執行。 此選項會導致應用程控定期重新驗證ISG授權檔案的信譽。 |
需要 EV 簽署者 | 目前不支援此選項。 |
注意
建議您一開始 啟用稽核模式 ,因為它可讓您先測試新的商務用應用程控原則,再強制執行這些原則。 使用稽核模式時,不會封鎖任何應用程式,而每當原則以外的應用程式啟動時,原則就會記錄事件。 因此,所有範本預設都會啟用稽核模式。
建立自定義檔案規則
應用程控原則中的檔案規則會指定識別和信任應用程式的層級。 檔案規則是在應用程控原則中定義信任的主要機制。 選取 [+ 自定義規則] 會開啟自定義檔案規則條件面板,以建立您原則的自定義檔案規則。 精靈支援四種類型的檔案規則:
發行者規則
發行者文件規則類型會使用程式代碼簽署憑證鏈結中的屬性來建立檔案規則的基礎。 一旦選取要作為規則關閉基礎的檔案,稱為 參考檔案,請使用滑桿來指出規則的特定性。 下表顯示滑桿放置、對應的商務用應用程控規則層級與其描述之間的關聯性。 數據表和UI滑桿的位置越低,規則的特性就越高。
規則條件 | 應用程控規則層級 | 描述 |
---|---|---|
發行 CA | PCACertificate | 最高可用的憑證會新增至簽署者。 此憑證通常是 PCA 憑證,跟證書下方的一個層級。 此憑證所簽署的任何檔案都受到影響。 |
發行者 | 發行者 | 此規則是分葉憑證的 PCACertificate 規則和一般名稱 (CN) 的組合。 由主要 CA 簽署但具有特定公司分葉的任何檔案,例如設備驅動器公司,都受到影響。 |
檔案版本 | SignedVersion | 此規則是 PCACertificate、publisher 和版本號碼的組合。 來自指定發行者且版本在或高於指定版本的任何專案都受到影響。 |
檔案名稱 | FilePublisher | 最具體的。 檔名、發行者和 PCA 憑證的組合,以及最低版本號碼。 來自發行者且具有指定名稱且大於或等於指定版本的檔案會受到影響。 |
Filepath 規則
Filepath 規則不會提供與明確簽署者規則相同的安全性保證,因為它們是以可變動的訪問許可權為基礎。 若要建立 filepath 規則,請使用 [ 流覽 ] 按鈕選取檔案。
檔案屬性規則
精靈支持根據已驗證的文件屬性建立 檔名規則 。 例如,當應用程式及其相依性 (例如,DLL) 可能全都共用相同的產品名稱時,檔名規則就很有用。 此規則層級可讓使用者根據產品名稱檔名參數,輕鬆地建立目標原則。 若要選取要建立規則的文件屬性,請將精靈上的滑桿移至所需的屬性。 下表描述要建立規則的每個支援文件屬性。
規則層級 | 說明 |
---|---|
原始檔名 | 指定二進位檔的原始檔名,或第一次建立檔案的名稱。 |
檔案描述 | 指定二進位檔開發人員所提供的檔案描述。 |
產品名稱 | 指定二進位檔隨附的產品名稱。 |
內部名稱 | 指定二進位檔的內部名稱。 |
檔案哈希規則
最後,精靈支援使用檔案的哈希建立檔案規則。 雖然此層級是特定的,但維護目前產品版本的哈希值可能會造成額外的系統管理額外負荷。 每次更新二進位檔案時雜湊值就會變更,因此需要更新原則。 根據預設,如果無法使用指定的檔案規則層級建立檔案規則,精靈會使用檔案哈希作為後援。
刪除簽署規則
頁面左側的原則簽署規則清單表會記載範本中的允許和拒絕規則,以及您建立的任何自定義規則。 從規則清單數據表中選取規則,即可從原則中刪除範本簽署規則和自定義規則。 一旦醒目提示規則,請按數據表下方的 [刪除] 按鈕。 系統接著會提示您再次確認。 選 Yes
取即可從原則和規則數據表中移除規則。