Utilizar vários Controlos de Aplicações para Políticas empresariais

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

A partir de Windows 10 versão 1903 e Windows Server 2022, pode implementar várias políticas do Controlo de Aplicações para Empresas lado a lado num dispositivo. Para permitir mais de 32 políticas ativas, instale a atualização de segurança do Windows disponibilizada em ou depois de 9 de abril de 2024 e, em seguida, reinicie o dispositivo. Com estas atualizações, não existe um limite para o número de políticas que pode implementar de uma só vez num determinado dispositivo. Até instalar a atualização de segurança do Windows lançada em ou depois de 9 de abril de 2024, o seu dispositivo está limitado a 32 políticas ativas e não deve exceder esse número.

Observação

O limite da política não foi removido no Windows 11 21H2 e permanecerá limitado a 32 políticas.

Eis alguns cenários comuns em que várias políticas lado a lado são úteis:

  1. Impor e Auditar Lado a Lado
    • Para validar as alterações de política antes de implementar no modo de imposição, os utilizadores podem agora implementar uma política base de modo de auditoria lado a lado com uma política base de modo de imposição existente
  2. Múltiplas Políticas De Base
    • Os utilizadores podem impor duas ou mais políticas de base em simultâneo para permitir uma filtragem de políticas mais simples para políticas com âmbito/intenção diferentes
    • Se existirem duas políticas base num dispositivo, uma aplicação tem de transmitir ambas as políticas para que seja executada
  3. Políticas Suplementares
    • Os utilizadores podem implementar uma ou mais políticas suplementares para expandir uma política base
    • Uma política suplementar expande uma única política base e várias políticas suplementares podem expandir a mesma política base
    • Para políticas suplementares, as aplicações permitidas pela política base ou pela política/política suplementar são executadas

Observação

Os sistemas anteriores a 1903 não suportam a utilização de políticas de Controlo de Aplicações de Formato de Política Múltipla.

Interação de política base e suplementar

  • Várias políticas de base: interseção
    • Apenas as aplicações permitidas por ambas as políticas são executadas sem gerar eventos de bloco
  • Base + política suplementar: união
    • Ficheiros permitidos pela política base ou pela execução da política suplementar

Criar políticas de Controlo de Aplicações no Formato de Política Múltipla

Para permitir que várias políticas existam e entrem em vigor num único sistema, as políticas têm de ser criadas com o novo Formato de Política Múltipla. O comutador "MultiplePolicyFormat" em New-CIPolicy resulta em 1) valores exclusivos gerados para o ID da política e 2) o tipo de política definido como uma política Base. O exemplo abaixo descreve o processo de criação de uma nova política no formato de várias políticas.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

Opcionalmente, pode optar por fazer com que a nova política base permita políticas suplementares.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Para políticas de base assinadas para permitir políticas suplementares, certifique-se de que os signatários suplementares estão definidos. Utilize o comutador Suplementar em Add-SignerRule para fornecer signatários suplementares.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Criação de política suplementar

Para criar uma política suplementar, comece por criar uma nova política no Formato de Política Múltipla, conforme mostrado anteriormente. A partir daí, utilize Set-CIPolicyIdInfo para convertê-la numa política suplementar e especificar a política de base que expande. Pode utilizar SupplementsBasePolicyID ou BasePolicyToSupplementPath para especificar a política base.

  • "SupplementsBasePolicyID": GUID da política base à qual a política suplementar se aplica
  • "BasePolicyToSupplementPath": caminho para o ficheiro de política de base ao qual a política suplementar se aplica
Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Intercalar políticas

Quando estiver a intercalar políticas, é utilizado o tipo de política e o ID da política mais à esquerda/primeira especificada. Se o mais à esquerda for uma política de base com O ID<>, independentemente dos GUIDs e tipos para quaisquer políticas subsequentes, a política intercalada é uma política base com ID <ID>.

Implementar várias políticas

Para implementar várias políticas do Controlo de Aplicações para Empresas, tem de implementá-las localmente ao copiar os ficheiros de *.cip política para a pasta adequada ou ao utilizar o CSP ApplicationControl.

Implementar várias políticas localmente

Para implementar políticas localmente com o novo formato de política múltipla, siga estes passos:

  1. Certifique-se de que os ficheiros de política binária têm o formato de nomenclatura correto de {PolicyGUID}.cip.
    • Confirme que o nome do ficheiro de política binária é exatamente o mesmo que o GUID do PolicyID na política
    • Por exemplo, se o XML da política tivesse o ID como <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, o nome correto para o ficheiro de política binária seria {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
  2. Copie as políticas binárias para C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
  3. Reinicie o sistema.

Implementar várias políticas através do CSP applicationControl

Várias políticas de Controlo de Aplicações para Empresas podem ser geridas a partir de um servidor MDM através do fornecedor de serviços de configuração ApplicationControl (CSP). O CSP também fornece suporte para a implementação de políticas sem reinício.

No entanto, quando as políticas são anular a inscrição de um servidor MDM, o CSP tenta remover todas as políticas não implementadas ativamente e não apenas as políticas adicionadas pelo CSP. Este comportamento acontece porque o sistema não sabe que métodos de implementação foram utilizados para aplicar políticas individuais.

Para obter mais informações sobre como implementar múltiplas políticas, opcionalmente através da capacidade OMA-URI personalizada do Microsoft Intune, veja ApplicationControl CSP( CSP do ApplicationControl).

Observação

Atualmente, o WMI e o GP não suportam várias políticas. Em vez disso, os clientes que não conseguem aceder diretamente à pilha MDM devem utilizar o CSP ApplicationControl através do Fornecedor WMI de Bridge mdm para gerir políticas de Controlo de Aplicações de Formato de Política Múltipla para Empresas.