Erzwingen von App Control for Business-Richtlinien

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

Sie sollten jetzt über eine oder mehrere App Control for Business-Richtlinien verfügen, die im Überwachungsmodus allgemein bereitgestellt sind. Sie haben Ereignisse analysiert, die von den Geräten mit diesen Richtlinien gesammelt wurden, und Sie können sie erzwingen. Verwenden Sie dieses Verfahren, um Ihre App-Steuerungsrichtlinien im Erzwingungsmodus vorzubereiten und bereitzustellen.

Hinweis

Einige der in diesem Artikel beschriebenen Schritte gelten nur für Windows 10 Version 1903 und höher oder Windows 11. Wenn Sie dieses Thema verwenden, um ihre eigenen App Control-Richtlinien für organization zu planen, überlegen Sie, ob Ihre verwalteten Clients alle oder einige dieser Features verwenden können. Bewerten Sie die Auswirkungen auf alle Features, die auf Ihren Clients mit früheren Versionen von Windows 10 und Windows Server möglicherweise nicht verfügbar sind. Möglicherweise müssen Sie diese Anleitung an die Anforderungen Ihrer spezifischen organization anpassen.

Konvertieren der App Control-Basisrichtlinie von "Audit" in "Erzwungen"

Wie in gängigen App Control for Business-Bereitstellungsszenarien beschrieben, verwenden wir das Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna versucht, strengere Anwendungsrichtlinien einzuführen, einschließlich der Verwendung der App-Steuerung, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.

Alice Pena ist die IT-Teamleiterin, die für den App Control-Rollout von Lamna verantwortlich ist.

Alice hat zuvor eine Richtlinie für die vollständig verwalteten Geräte der organization erstellt und bereitgestellt. Sie haben die Richtlinie basierend auf Überwachungsereignisdaten aktualisiert, wie unter Verwenden von Überwachungsereignissen zum Erstellen von App Control-Richtlinienregeln beschrieben und erneut bereitgestellt. Alle verbleibenden Überwachungsereignisse sind wie erwartet, und Alice ist bereit, in den Erzwingungsmodus zu wechseln.

  1. Initialisieren Sie die variablen, die verwendet werden, und erstellen Sie die erzwungene Richtlinie, indem Sie die Überwachungsversion kopieren.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Verwenden Sie Set-CIPolicyIdInfo , um der neuen Richtlinie eine eindeutige ID und einen aussagekräftigen Namen zu geben. Wenn Sie die ID und den Namen ändern, können Sie die erzwungene Richtlinie parallel zur Überwachungsrichtlinie bereitstellen. Führen Sie diesen Schritt aus, wenn Sie planen, Ihre App-Steuerungsrichtlinie im Laufe der Zeit zu härten. Wenn Sie die Überwachungsrichtlinie lieber direkt ersetzen möchten, können Sie diesen Schritt überspringen.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Optional] Verwenden Sie Set-RuleOption , um die Regeloptionen 9 ("Menü erweiterte Startoptionen") und 10 ("Startüberwachung bei Fehler") zu aktivieren. Option 9 ermöglicht Es Benutzern, die Erzwingung der App-Steuerung für eine einzelne Startsitzung über ein Menü vor dem Start zu deaktivieren. Option 10 weist Windows an, die Richtlinie nur dann von der Erzwingung zur Überwachung zu wechseln, wenn ein startkritischer Kernelmodustreiber blockiert ist. Wir empfehlen diese Optionen dringend, wenn Sie eine neue erzwungene Richtlinie in Ihrem ersten Bereitstellungsring bereitstellen. Wenn dann keine Probleme gefunden werden, können Sie die Optionen entfernen und die Bereitstellung neu starten.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Verwenden Sie Set-RuleOption, um die Option überwachungsmodusregel zu löschen, wodurch die Richtlinie in Erzwingung geändert wird:

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Verwenden Sie ConvertFrom-CIPolicy , um die neue App Control-Richtlinie in binär zu konvertieren:

    Hinweis

    Wenn Sie -ResetPolicyID in Schritt 2 oben nicht verwendet haben, müssen Sie $EnforcedPolicyID im folgenden Befehl durch das PolicyID-Attribut ersetzen, das sich in Ihrer Basisrichtlinien-XML befindet.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Erstellen von Kopien aller erforderlichen ergänzenden Richtlinien für die Verwendung mit der erzwungenen Basisrichtlinie

Da der erzwungenen Richtlinie im vorherigen Verfahren eine eindeutige PolicyID zugewiesen wurde, müssen Sie alle erforderlichen zusätzlichen Richtlinien duplizieren, um sie mit der erzwungenen Richtlinie zu verwenden. Ergänzende Richtlinien erben immer den Überwachungs- oder Erzwingungsmodus von der Basisrichtlinie, die sie ändern. Wenn Sie die PolicyID der Erzwingungsbasisrichtlinie nicht zurückgesetzt haben, können Sie dieses Verfahren überspringen.

  1. Initialisieren Sie die variablen, die verwendet werden, und erstellen Sie eine Kopie der aktuellen ergänzenden Richtlinie. Einige Variablen und Dateien aus der vorherigen Prozedur werden ebenfalls verwendet.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Verwenden Sie Set-CIPolicyIdInfo , um der neuen ergänzenden Richtlinie eine eindeutige ID und einen beschreibenden Namen zu geben und zu ändern, welche Basisrichtlinie ergänzt werden soll.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Hinweis

    Wenn Set-CIPolicyIdInfo den neuen PolicyID-Wert für Ihre Windows 10 Version nicht ausgibt, müssen Sie den PolicyId-Wert direkt aus dem XML abrufen.

  3. Verwenden Sie ConvertFrom-CIPolicy , um die neue ergänzende App Control for Business-Richtlinie in binär zu konvertieren:

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Wiederholen Sie die obigen Schritte, wenn Sie weitere zusätzliche Richtlinien aktualisieren müssen.

Bereitstellen Ihrer erzwungenen Richtlinie und ergänzender Richtlinien

Da sich Ihre Basisrichtlinie nun im erzwungenen Modus befindet, können Sie mit der Bereitstellung für Ihre verwalteten Endpunkte beginnen. Informationen zum Bereitstellen von Richtlinien finden Sie unter Bereitstellen von App Control for Business-Richtlinien.