使用參照電腦建立應用程控原則
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
本節概述使用參考計算機建立商務用應用程控原則的程式,該 參照計算機 已設定您想要允許的軟體。 您可以將此方法用於專用於特定功能用途的固定工作負載裝置,並與維護相同功能角色的其他裝置共用通用組態屬性。 固定工作負載裝置的範例可能包括 Active Directory 網域 控制器、安全 管理員 工作站、藥物混合設備、製造裝置、收款機、ATM 等。這種方法也可用來在系統上「在原始環境中」開啟應用程控,而且您想要將對用戶生產力的潛在影響降到最低。
注意
本主題所述的一些商務用應用程控選項僅適用於 Windows 10 1903 版和更新版本,或 Windows 11。 使用本主題來規劃您自己的組織應用程控原則時,請考慮受管理的用戶端是否可以使用所有這些功能或部分功能,並評估對用戶端上可能無法使用之任何功能的影響。 您可能需要調整此指導方針,以符合您特定組織的需求。
如 一般商務用應用程控部署案例中所述,我們將使用 Lamna Healthcare Company (Lamna) 範例來說明此案例。 Lamna 正嘗試採用更強的應用程式原則,包括使用應用程控來防止垃圾或未經授權的應用程式在其受管理的裝置上執行。
Alice Pena 是負責推出應用程控的 IT 小組負責人。
使用參考裝置建立自定義基底原則
Alice 先前已為組織完全受控的用戶裝置建立原則。 她現在想要使用應用程控來保護 Lamna 的重要基礎結構伺服器。 Lamna 對基礎結構系統的映射處理做法是建立「黃金」映射作為理想系統外觀的參考,然後使用該映射來複製更多公司資產。 Alice 決定使用這些相同的「黃金」映射系統來建立應用程控原則,這會為每種類型的基礎結構伺服器產生個別的自定義基底原則。 如同映像處理,她必須根據模型、部門、應用程式集等,從多部黃金計算機建立原則。
注意
請確定參照計算機沒有病毒和惡意代碼,並安裝您想要在建立應用程控原則之前掃描的任何軟體。
建立這個原則之前,已安裝軟體應用程式的每個部分都應驗證為可信任的。
我們建議您檢閱參照電腦上可能載入任意 DLL 和執行可能導致電腦變得更容易受到威脅之程式碼或指令碼的軟體。 範例包括以開發或編寫腳本為目標的軟體,例如 msbuild.exe (Visual Studio 的一部分,以及 .NET Framework) ,如果您不想要執行腳本,可以移除這些軟體。 您可以移除或停用參照電腦上的這類軟體。
Alice 識別下列關鍵因素,以抵達 Lamna 重要基礎結構伺服器的「信任圈」:
- 所有裝置都執行 Windows Server 2019 或更新版本;
- 所有應用程式都會集中管理和部署;
- 沒有互動式使用者。
根據上述內容,Alice 會定義原則的虛擬規則:
授權的「Windows 運作」 規則:
- Windows
- WHQL (第三方核心驅動程式)
- Windows 市集簽署的應用程式
掃描檔案的規則,這些 檔案 會授權在裝置上找到的所有既存應用程式二進位檔
若要建立應用程控原則,Alice 會依序在提升許可權的 Windows PowerShell 會話中執行下列每個命令:
初始化變數。
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName="FixedWorkloadPolicy_Audit" $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml" $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
使用 New-CIPolicy 掃描系統是否有已安裝的應用程式來建立新的應用程控原則:
New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
注意
- 使用 -Level 參數指定的主要檔案規則層級所未發現的任何應用程式,都可以新增 -Fallback 參數來擷取。 如需檔案規則層級選項的詳細資訊,請參閱 商務用應用程控檔案規則層級。
- 若要指定應用程控原則只掃描特定磁碟驅動器,請包含 -ScanPath 參數,後面接著路徑。 如果沒有此參數,此工具預設會掃描 C 磁碟驅動器。
- 當您指定 -UserPEs 參數 (在掃描) 中包含使用者模式可執行檔時,規則選項 0 Enabled:UMCI 會自動新增至應用程控原則。 如果您未指定 -UserPI,則原則在使用者模式可執行檔中會是空的,而且只會有內核模式二進位檔的規則,例如驅動程式。 換句話說,允許清單不會包含應用程式。 如果您建立這類原則,且稍後新增規則選項 0 Enabled:UMCI,所有啟動應用程式的嘗試都會導致來自商務用應用程控的回應。 在稽核模式下,回應是記錄一個事件,而在強制模式下,回應則是封鎖應用程式。
- 若要建立 Windows 10 1903 和更新版本的原則,包括補充原則的支援,請使用 -MultiplePolicyFormat。
- 若要指定要從掃描中排除的路徑清單,請使用 -OmitPaths 選項並提供以逗號分隔的路徑清單。
- 先前的範例包括
3> CIPolicylog.txt
,其會將警告訊息重新導向至文字檔案 CIPolicylog.txt。
將新原則與WindowsDefault_Audit原則合併,以確保所有 Windows 二進位檔和核心驅動程式都會載入。
Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
為新原則提供描述性名稱和初始版本號碼:
Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
修改合併的原則以設定原則規則:
Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
如果適當,請新增更多簽署者或檔案規則,以進一步自定義貴組織的原則。
使用 ConvertFrom-CIPolicy 將應用程控原則轉換成二進位格式:
[xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip" ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
將基底原則 XML 和相關聯的二進位檔上傳至原始檔控制解決方案,例如 GitHub 或檔管理解決方案,例如 Office 365 SharePoint。
Alice 現在有 Lamna 重要基礎結構伺服器的初始原則,已準備好在稽核模式中部署。
建立自定義基底原則,將使用者對使用中用戶端裝置的影響降到最低
Alice 先前已為組織的完全受控裝置建立原則。 Alice 已在 Lamna 的裝置建置程式中包含完全受控的裝置原則,因此所有新裝置現在都會從啟用應用程控開始。 她準備將原則部署至已在使用中的系統,但擔心造成用戶生產力中斷。 為了將該風險降至最低,Alice 決定對這些系統採取不同的方法。 她將繼續將稽核模式中的完全受控裝置原則部署到這些裝置,但在強制執行模式中,她將會將完全受控裝置原則規則與透過掃描裝置中所有先前安裝的軟體所建立的原則合併。 如此一來,每個裝置都會被視為自己的「黃金」系統。
Alice 識別下列重要因素,以抵達 Lamna 完全受控使用中裝置的「信任圈」:
- Lamna 完全受控裝置所描述的所有專案;
- 用戶已安裝需要繼續執行的應用程式。
根據上述內容,Alice 會定義原則的虛擬規則:
- 完全受控裝置原則中包含的所有專案
- 掃描檔案的規則,這些 檔案 會授權在裝置上找到的所有既存應用程式二進位檔
對於 Lamna 現有的使用中裝置,Alice 會部署腳本以及完全受控裝置原則 XML (不是轉換的應用程控原則二進位) 。 腳本接著會在用戶端本機上產生自定義原則,如上一節所述,但腳本不會與 DefaultWindows 原則合併,而是與 Lamna 的完全受控裝置原則合併。 Alice 也會修改上述步驟,以符合此不同使用案例的需求。