部署适用于业务的应用控制策略
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
现在应准备好部署一个或多个适用于企业的应用控制策略。 如果尚未完成 应用控件设计指南中所述的步骤,请立即完成,然后再继续操作。
将应用控制策略 XML 转换为二进制文件
在部署应用控制策略之前,必须先将 XML 转换为其二进制格式。 可以使用以下 PowerShell 示例执行此操作。 必须将 $AppControlPolicyXMLFile 变量设置为指向应用控制策略 XML 文件。
## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
$PolicyID = $AppControlPolicy.SiPolicy.PolicyID
$PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
$PolicyBinary = "SiPolicy.p7b"
}
## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary
规划部署
与环境的任何重大更改一样,实现应用控制可能会产生意想不到的后果。 为确保成功的最佳机会,应遵循安全部署做法并仔细规划部署。 确定将使用应用控制管理的设备,并将其拆分为部署圈。 这样,你可以控制部署的速度和规模,并在发生任何错误时做出响应。 定义成功条件,以确定何时可以安全地继续从一个环转到下一个环。
在继续强制实施之前,所有业务应用控制策略更改都应在审核模式下部署。 仔细监视已部署策略的设备的事件,以确保观察到的块事件符合预期,然后再将部署范围扩展到其他部署圈。 如果组织使用Microsoft Defender for Endpoint,则可以使用高级搜寻功能集中监视与应用控制相关的事件。 否则,建议使用事件日志转发解决方案从托管终结点收集相关事件。
选择如何部署应用控制策略
重要提示
由于 2024 (24H2) 之前的Windows 11更新中的已知问题,应在启用了内存完整性的系统上重新启动来激活新的已签名应用控制基策略。 在这种情况下,建议 通过脚本进行部署 。
此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。
有多种选项可用于将适用于企业的 App Control 策略部署到托管终结点,包括:
- 使用移动设备管理 (MDM) 解决方案进行部署,例如Microsoft Intune
- 使用 Microsoft Configuration Manager 进行部署
- 通过脚本部署
- 通过组策略进行部署