Usare gli eventi di controllo per creare regole dei criteri di controllo delle app

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

L'esecuzione di Controllo app in modalità di controllo consente di individuare applicazioni, file binari e script mancanti nei criteri di Controllo app, ma che devono essere inclusi.

Mentre un criterio di controllo app è in esecuzione in modalità di controllo, qualsiasi file binario eseguito ma che sarebbe stato negato viene registrato nel registro eventi Applicazioni e servizi\Microsoft\Windows\CodeIntegrity\Operational . Gli script e l'identità del servizio gestito vengono registrati nel registro eventi Registri applicazioni e servizi\Microsoft\Windows\AppLocker\MSI e Script . Questi eventi possono essere usati per generare un nuovo criterio di controllo delle app che può essere unito ai criteri di base originali o distribuito come criterio supplementare separato, se consentito.

Panoramica del processo di creazione dei criteri di controllo delle app per consentire alle app di usare gli eventi di controllo

Nota

Per usare questo processo, è necessario aver già distribuito un criterio della modalità di controllo del controllo app. Se non è già stato fatto, vedere Distribuzione del controllo app per le aziende.

Per acquisire familiarità con la creazione di regole di controllo delle app dagli eventi di controllo, seguire questa procedura in un dispositivo con un criterio della modalità di controllo controllo app.

  1. Installare ed eseguire un'applicazione non consentita dai criteri di Controllo app, ma che si vuole consentire.

  2. Esaminare i log eventi CodeIntegrity - Operational e AppLocker - MSI e Script per verificare che gli eventi, come quelli illustrati nella figura 1, siano generati correlati all'applicazione. Per informazioni sui tipi di eventi che dovrebbero essere visualizzati, vedere Informazioni sugli eventi di Controllo app.

    Figura 1. Eccezioni ai criteri di controllo delle app distribuiti
    Evento che mostra l'eccezione ai criteri di Controllo app.

  3. In una sessione di PowerShell con privilegi elevati eseguire i comandi seguenti per inizializzare le variabili usate da questa procedura. Questa procedura si basa sui criteri diLamna_FullyManagedClients_Audit.xml introdotti in Creare criteri di controllo app per dispositivi completamente gestiti e produrrà un nuovo criterio denominato EventsPolicy.xml.

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"

  4. Usare New-CIPolicy per generare un nuovo criterio di controllo delle app da eventi di controllo registrati. Questo esempio usa un livello di regola file FilePublisher e un livello di fallback hash . I messaggi di avviso vengono reindirizzati a un file di testo EventsPolicyWarnings.txt.

    New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings

    Nota

    Per creare criteri dagli eventi di controllo, valutare attentamente il livello delle regole dei file che si sceglie di considerare attendibile. Nell'esempio precedente viene usato il livello di regola FilePublisher con un livello di fallback hash, che può essere più specifico del desiderato. È possibile eseguire nuovamente il comando precedente usando diverse opzioni -Level e -Fallback per soddisfare le proprie esigenze. Per altre informazioni sui livelli delle regole di Controllo app, vedere Informazioni sulle regole dei criteri e sulle regole dei file di Controllo app.

  5. Trovare ed esaminare il file dei criteri di controllo delle appEventsPolicy.xml da trovare sul desktop. Assicurarsi che includa solo regole di file e firmatari per applicazioni, file binari e script che si desidera consentire. È possibile rimuovere le regole modificando manualmente il codice XML dei criteri oppure usare lo strumento Creazione guidata criteri di controllo delle app.Vedere Modifica dei criteri di controllo delle app esistenti e supplementari con la procedura guidata.

  6. Trovare ed esaminare il file di testoEventsPolicyWarnings.txt da trovare sul desktop. Questo file includerà un avviso per tutti i file per cui Controllo app non è stato in grado di creare una regola a livello di regola o di fallback specificato.

    Nota

    New-CIPolicy crea solo regole per i file che possono ancora essere trovati su disco. I file che non sono più presenti nel sistema non avranno una regola creata per consentirli. Tuttavia, il registro eventi deve disporre di informazioni sufficienti per consentire questi file modificando manualmente il codice XML dei criteri per aggiungere regole. È possibile usare una regola esistente come modello e verificare i risultati rispetto alla definizione dello schema dei criteri di controllo app disponibile in %windir%\schemas\CodeIntegrity\cipolicy.xsd.

  7. Unire EventsPolicy.xml con i criteri di base Lamna_FullyManagedClients_Audit.xml o convertirlo in un criterio supplementare.

    Per informazioni sull'unione di criteri, vedere Merge App Control for Business policies (Controllo app di merge per i criteri aziendali ) e per informazioni sui criteri supplementari vedere Use multiple App Control for Business Policies (Usare più controlli app per i criteri aziendali).

  8. Convertire i criteri di base o supplementari in file binari e distribuirli usando il metodo preferito.