Bereitstellen von App Control for Business-Richtlinien
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Sie sollten jetzt über eine oder mehrere App Control for Business-Richtlinien verfügen, die bereitgestellt werden können. Wenn Sie die im Entwurfshandbuch für App-Steuerelemente beschriebenen Schritte noch nicht abgeschlossen haben, tun Sie dies jetzt, bevor Sie fortfahren.
Konvertieren der XML-Datei ihrer App Control-Richtlinie in eine Binärdatei
Bevor Sie Ihre App Control-Richtlinien bereitstellen, müssen Sie zuerst den XML-Code in seine binäre Form konvertieren. Dazu können Sie das folgende PowerShell-Beispiel verwenden. Sie müssen die variable $AppControlPolicyXMLFile so festlegen, dass sie auf die XML-Datei der App Control-Richtlinie verweist.
## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
$PolicyID = $AppControlPolicy.SiPolicy.PolicyID
$PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
$PolicyBinary = "SiPolicy.p7b"
}
## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary
Planen Der Bereitstellung
Wie bei jeder wichtigen Änderung ihrer Umgebung kann die Implementierung der App-Steuerung unbeabsichtigte Folgen haben. Um die besten Erfolgschancen zu gewährleisten, sollten Sie sichere Bereitstellungsmethoden befolgen und Ihre Bereitstellung sorgfältig planen. Identifizieren Sie die Geräte, die Sie mit App Control verwalten, und teilen Sie sie in Bereitstellungsringe auf. Auf diese Weise können Sie die Geschwindigkeit und Skalierung der Bereitstellung steuern und reagieren, wenn etwas schief geht. Definieren Sie die Erfolgskriterien, die bestimmen, wann es sicher ist, von einem Ring zum nächsten fortzufahren.
Alle Änderungen der App Control for Business-Richtlinie sollten im Überwachungsmodus bereitgestellt werden, bevor sie mit der Erzwingung fortfahren. Überwachen Sie Ereignisse von Geräten, auf denen die Richtlinie bereitgestellt wurde, sorgfältig, um sicherzustellen, dass die block-Ereignisse, die Sie beobachten, Ihren Erwartungen entsprechen, bevor Sie die Bereitstellung auf andere Bereitstellungsringe erweitern. Wenn Ihr organization Microsoft Defender for Endpoint verwendet, können Sie das Feature Erweiterte Suche verwenden, um Ereignisse im Zusammenhang mit App Control zentral zu überwachen. Andernfalls wird empfohlen, eine Ereignisprotokollweiterleitungslösung zu verwenden, um relevante Ereignisse von Ihren verwalteten Endpunkten zu sammeln.
Auswählen der Bereitstellung von App Control-Richtlinien
Wichtig
Aufgrund eines bekannten Problems sollten Sie immer neue signierte App Control Base-Richtlinien mit einem Neustart auf Systemen mit aktivierter Speicherintegrität aktivieren. In diesem Fall wird die Bereitstellung per Skript empfohlen.
Dieses Problem wirkt sich nicht auf Updates von signierten Basisrichtlinien aus, die bereits auf dem System aktiv sind, die Bereitstellung von nicht signierten Richtlinien oder die Bereitstellung zusätzlicher Richtlinien (signiert oder unsigniert). Dies wirkt sich auch nicht auf Bereitstellungen auf Systemen aus, auf denen keine Speicherintegrität ausgeführt wird.
Es gibt mehrere Optionen zum Bereitstellen von App Control for Business-Richtlinien für verwaltete Endpunkte, darunter: