Referência técnica ciTool

O CiTool facilita a gestão de políticas do Controlo de Aplicações para Empresas para os administradores de TI. Pode utilizar esta ferramenta para gerir políticas de Controlo de Aplicações para Empresas e tokens de CI. Este artigo descreve como utilizar o CiTool para atualizar e gerir políticas. Atualmente, está incluída como parte da imagem do Windows no Windows 11, versão 22H2.

Comandos de política

Comando Descrição Alias
--update-policy </Path/To/Policy/File> Adicionar ou atualizar uma política no sistema atual. -up
--remove-policy <PolicyGUID> Remova uma política indicada pelo PolicyGUID do sistema. -rp
--list-policies Informações de informação sobre todas as políticas no sistema, quer estejam ativas ou não. -lp

Comandos de token

Comando Descrição Alias
--add-token <Path/To/Token/File> <--token-id ID> Implemente um token no sistema atual, com um ID específico opcional. -at
--remove-token <ID> Remova um token indicado pelo ID do sistema. -rt
--list-tokens Informações de captura sobre todos os tokens no sistema. -lt

Observação

Relativamente --add-tokena , se <ID> for especificado, não deve existir um token pré-existente com <ID> .

Comandos diversos

Comando Descrição Alias
--device-id Capturar o ID do dispositivo de integridade do código. -id
--refresh Tente atualizar as políticas de Controlo de Aplicações. -r
--help Apresentar o menu de ajuda da ferramenta. -h

Atributos e descrições de saída

Listar políticas (--list-policies)

Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Base Policy ID: d2bda982-ccf6-4344-ac5b-0b44427b6816
Friendly Name: Microsoft Windows Driver Policy
Version: 2814751463178240
Platform Policy: true
Policy is Signed: true
Has File on Disk: false
Is Currently Enforced: true
Is Authorized: true
Status: 0
Atributo Descrição Valor de exemplo
ID da Política Listas o ID da política. d2bda982-ccf6-4344-ac5b-0b44427b6816
ID da Política Base Listas o ID da política de base. d2bda982-ccf6-4344-ac5b-0b44427b6816
Nome Amigável Valor listado em <Setting Provider="PolicyInfo" Key="Information" ValueName="Name"> Microsoft Windows Driver Policy
Versão Versão da política listada em <VersionEx> 2814751463178240
Política de Plataforma Indica se a política é fornecida pela Microsoft, por exemplo, na política de bloqueio de controladores vulneráveis. true
A política está assinada Indica se a política tem uma assinatura válida. true
Tem Ficheiro no Disco Indica se o ficheiro de política está atualmente no disco. false
Está atualmente Imposto Indica se o ficheiro de política está ativo. true
Está Autorizado Se a política exigir a ativação de um token, este valor é o estado de autorização do token. Se a política não exigir um token, este valor corresponde ao valor da propriedade Is Currently Enforced . true

Exemplos

Implementar uma política de Controlo de Aplicações

CiTool --update-policy "\Windows\Temp\{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}.cip"

Atualizar as políticas de Controlo de Aplicações no sistema

CiTool --refresh

Remover uma política de Controlo de Aplicações específica pelo respetivo ID de política

CiTool --remove-policy "{BF61FE40-8929-4FDF-9EC2-F7A767717F0B}"

Listar as políticas de Controlo de Aplicações impostas ativamente no sistema

# Check each policy's IsEnforced state and return only the enforced policies
(CiTool -lp -json | ConvertFrom-Json).Policies | Where-Object {$_.IsEnforced -eq "True"} |
Select-Object -Property PolicyID,FriendlyName | Format-List

Apresentar o menu de ajuda

CiTool -h

----------------------------- Policy Commands ---------------------------------
  --update-policy /Path/To/Policy/File
    Add or update a policy on the current system
    aliases: -up
  --remove-policy PolicyGUID
    Remove a policy indicated by PolicyGUID from the system
    aliases: -rp
  --list-policies
    Dump information about all policies on the system, whether they be active or not
    aliases: -lp
----------------------------- Token Commands ---------------------------------
  --add-token Path/To/Token/File <--token-id ID>
    Deploy a token onto the current system, with an optional specific ID
    If <ID> is specified, a pre-existing token with <ID> should not exist.
    aliases:-at
  --remove-token ID
    Remove a Token indicated by ID from the system.
    aliases: -rt
  --list-tokens
    Dump information about all tokens on the system
    aliases: -lt
----------------------------- Misc Commands ---------------------------------
  --device-id
    Dump the Code Integrity Device Id
    aliases: -id
  --refresh
    Attempt to Refresh CI Policies
    aliases: -r
  --help
    Display this message
    aliases: -h