共用方式為


應用程控 管理員 已知問題的秘訣 &

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性

本文涵蓋適用於系統管理員的秘訣和訣竅,以及商務用應用程控的已知問題。 在生產環境中啟用此組態之前,請先在實驗室中測試此設定。

應用程控原則檔案位置

視原則是否簽署,以及所使用的原則部署方法而定,下列位置會找到多個原則格式的應用程控原則。

  • <OS 磁盘區>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
  • <EFI 系統分割區>\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip

{PolicyId GUID} 值是原則唯一的值,並以 PolicyId> 元素定義於原則 XML <中。

針對 單一原則格式應用程控原則,除了上述兩個位置之外,也請在下列位置尋找名為 SiPolicy.p7b 的檔案:

  • <EFI 系統分割區>\Microsoft\Boot\SiPolicy.p7b
  • <OS 磁盘區>\Windows\System32\CodeIntegrity\SiPolicy.p7b

注意

使用單一原則格式 GUID {A244370E-44C9-4C06-B551-F6016E563076} 的多個原則格式應用程控原則可能會存在於任何原則檔案位置下。

檔案規則優先順序順序

當應用程控引擎根據裝置上的作用中原則集評估檔案時,規則會以下列順序套用。 一旦檔案遇到相符專案,應用程控就會停止進一步處理。

  1. 明確拒絕規則 - 即使建立其他規則來嘗試允許檔案,如果有明確的拒絕規則,也會封鎖該檔案。 拒絕規則可以使用任何 規則層級。 建立拒絕規則時,請使用最實際的規則層級,以避免封鎖超出您預期的程度。

  2. 明確允許規則 - 如果檔案有任何明確的允許規則存在,檔案就會執行。

  3. 應用程控接著會檢查 EA) (Managed Installer 擴充屬性 ,或檔案上的 Intelligent Security Graph (ISG) EA 。 如果其中一個 EA 存在,且原則啟用對應的選項,則允許檔案。

  4. 最後,如果原則啟用ISG選項,應用程控會對ISG進行雲端呼叫,以取得檔案的信譽。

  5. 明確規則或根據ISG或MI不允許的任何檔案都會以隱含方式封鎖。

已知問題

如果有超過 32 個原則在作用中, (藍色畫面) 發生開機停止失敗

在您套用 2024 年 4 月 9 日或之後發行的 Windows 安全性更新之前,您的裝置僅限 32 個使用中原則。 如果超過原則數目上限,則參照 ci.dll 的裝置藍屏錯誤檢查值為 0x0000003b。 規劃您的應用程控原則時,請考慮此原則計數上限。 裝置上作用 中的任何 Windows 收件匣原則 也都會計入此限制。 若要移除最大原則限制,請安裝在 2024 年 4 月 9 日或之後發行的 Windows 安全性更新,然後重新啟動裝置。 否則,請減少裝置上的原則數目,保持低於 32 個原則。

注意

Windows 11 21H2 上未移除原則限制,且將維持為 32 個原則。

稽核模式原則可能會變更某些應用程式的行為,或導致應用程式當機

雖然應用程控稽核模式是設計來避免對應用程式造成影響,但某些功能一律會使用任何開啟/一律強制執行的應用程控原則,該原則會開啟使用者模式程式代碼完整性 (UMCI) 選項 0 Enabled:UMCI。 以下是稽核模式中的已知系統變更清單:

  • 某些腳本主機可能會封鎖程序代碼,或以較少的許可權執行程序代碼,即使在稽核模式中也一樣。 如需個別腳本主機行為的相關信息,請參閱使用 應用程控 執行腳本。
  • 選項 19 已啟用: 如果任何 UMCI 原則包含該選項,則一律會強制執行動態程式碼安全性。 請參閱 應用程控和 .NET

.NET 原生映射可能會產生誤判封鎖事件

在某些情況下,撰寫商務用應用程控錯誤和警告的程式代碼完整性記錄包括針對 .NET 元件產生的原生映射的錯誤事件。 一般而言,原生映射區塊在功能上是良性的,因為封鎖的原生映像會回復到其對應的元件,而 .NET 會在下一個排程的維護期間重新產生原生映射。

不支援使用橢圓曲線密碼編譯 (ECC) 的簽章

應用程控簽署者型規則僅適用於 RSA 密碼編譯。 不支援 ECC 演算法,例如 ECDSA。 如果應用程控根據 ECC 簽章封鎖檔案,則對應的 3089 簽章資訊事件會顯示 VerificationError = 23。 您可以改為透過哈希或檔屬性規則來授權檔案,如果檔案也使用 RSA 以簽章簽署,則可以使用其他簽署者規則。

當 FilePath 規則允許時,MSI 安裝程式會被視為可在 Windows 10 上寫入的使用者

MSI 安裝程式檔案一律會偵測為可在 Windows 10 和 Windows Server 2022 及更早版本上寫入的使用者。 如果您需要使用 FilePath 規則來允許 MSI 檔案,您必須在應用程控原則中設定選項 18 Disabled:Runtime FilePath Rule Protection

應用程式控制會封鎖直接從因特網啟動的 MSI 安裝

將 .msi 檔案直接從因特網安裝到受應用程控保護的計算機時失敗。 例如,此指令失敗:

msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

因應措施是下載 MSI 檔案並在本機執行:

msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi

使用自定義原則的慢速開機和效能

應用程控會評估所有執行的進程,包括收件匣 Windows 進程。 如果您的原則不是以應用程控範本為基礎,或是不信任 Windows 簽署者,則可能會導致開機時間變慢、效能降低,而且可能會發生開機問題。 基於這些理由,您應該盡可能使用 應用程控基底範本 來建立原則。

AppId 標記原則考慮

AppId 標記原則並非以應用程控基底範本為基礎,或不允許 Windows 內建登錄器,可能會導致開機時間大幅增加, () 約 2 分鐘。

如果您無法將 Windows 簽署者列入清單,或建置應用程控基底範本,請將下列規則新增至原則以改善效能:

允許原則中的所有 dll。

允許 xml 原則中的所有 dll 檔案。

由於 AppId 標記原則會評估但無法標記 dll 檔案,因此此規則會縮短 dll 評估並改善評估效能。