Создание дополнительной политики с помощью мастера
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Начиная с Windows 10 версии 1903, управление приложениями для бизнеса поддерживает создание нескольких активных политик на устройстве. Одна или несколько дополнительных политик позволяют клиентам расширить базовую политику управления приложениями , чтобы увеличить круг доверия политики. Дополнительная политика может расширить только одну базовую политику, но несколько дополнительных политик могут расширить одну и ту же базовую политику. При использовании дополнительных политик разрешено запускать приложения, разрешенные базовой или любой из ее дополнительных политик.
Необходимые сведения о элементе управления приложениями можно получить в руководстве по проектированию элемента управления приложениями. На этой странице описаны действия по созданию дополнительной политики управления приложениями, настройке параметров политики, а также правилам подписывателя и файлов.
Развертывание базовой политики
После выбора типа дополнительной политики на странице Новая политика можно использовать поля имени политики и диалогового окна файла, чтобы присвоить имя и сохранить дополнительную политику. На следующем шаге необходимо выбрать базовую политику для развертывания. Чтобы развернуть базовую политику, база должна разрешать дополнительные политики. Мастер управления приложениями проверяет, разрешена ли базовая политика дополнения, и отображает следующее подтверждение.
Если базовая политика не настроена для дополнительных политик, мастер пытается преобразовать политику в политику, которую можно дополнить. После успешного выполнения мастер отображает диалоговое окно, демонстрирующее, что добавление правила разрешить дополнительную политику завершено.
Политики, которые не могут быть дополнены, например другая дополнительная политика, обнаруживаются мастером и отображают следующую ошибку. Можно дополнить только базовую политику. Дополнительные сведения о дополнительных политиках см. в статье о нескольких политиках.
Настройка правил политики
При запуске страницы правила политики автоматически включаются или отключаются в зависимости от выбранной базовой политики с предыдущей страницы. Большинство дополнительных правил политики наследуются от базовой политики. Мастер автоматически анализирует базовую политику и задает необходимые дополнительные правила политики в соответствии с базовыми правилами политики. Унаследованные правила политики неактивны и не изменяются в пользовательском интерфейсе.
Краткое описание правила отображается в нижней части страницы, когда курсор помещается в заголовке правила.
Описание настраиваемых дополнительных правил политики
Дополнительные политики могут настраивать только три правила политики. В следующей таблице описано каждое правило политики, начиная с самого левого столбца. При выборе метки + Дополнительные параметры отображается другой столбец правил политики— расширенные правила политики.
| Правило | Описание |
|---|---|
| Авторизация графа интеллектуальной безопасности | Используйте этот параметр, чтобы автоматически разрешить приложениям с репутацией "известного качества", как определено в Microsoft Intelligent Security Graph (ISG). |
| Управляемый установщик | Используйте этот параметр для автоматического разрешения приложений, установленных решением распространения программного обеспечения, например Microsoft Configuration Manager, которое было определено как управляемый установщик. |
| Отключение защиты правил FilePath во время выполнения | Этот параметр отключает проверка среды выполнения по умолчанию, который разрешает правила FilePath только для путей, доступных только администратору. |
Создание настраиваемых правил файлов
Правила файлов в политике управления приложениями определяют уровень идентификации и доверия приложений. Правила файлов — это механизм main для определения доверия в политике управления приложениями. При выборе + Настраиваемые правила открывается панель условий пользовательского правила файлов, чтобы создать и настроить правила целевых файлов для политики. Мастер поддерживает четыре типа правил файлов:
Правила издателя
Тип правила файла Издателя использует свойства в цепочке сертификатов подписи кода с базовыми правилами файлов. После выбора файла, на основе правила, который называется файлом ссылки, используйте ползунок, чтобы указать специфику правила. В следующей таблице показана связь между размещением ползунка, соответствующим уровнем правила Управления приложениями для бизнеса и его описанием. Чем ниже расположение в таблице и ползунке пользовательского интерфейса, тем больше специфичность правила.
| Условие правила | Уровень правила управления приложением | Описание |
|---|---|---|
| Выдача ЦС | PCACertificate | Самый высокий доступный сертификат добавляется к подписывателям. Этот сертификат обычно является сертификатом PCA, на один уровень ниже корневого сертификата. Затрагивается любой файл, подписанный этим сертификатом. |
| Издатель | Издатель | Это правило представляет собой сочетание правила PCACertificate и общего имени (CN) конечного сертификата. Затрагивается любой файл, подписанный крупным ЦС, но с листом от определенной компании, например издателем драйвера устройства. |
| Версия файла | SignedVersion (Подписанная версия) | Это правило представляет собой сочетание правил PCACertificate и Publisher и номера версии. Затрагиваются все данные указанного издателя с указанной версией или выше. |
| Имя файла | FilePublisher (Издатель файла) | Наиболее конкретный. Сочетание имени файла, издателя и сертификата PCA и минимального номера версии. Затрагиваются файлы издателя с указанным именем и большим или равным указанной версии. |
Правила пути к файлу
Правила пути к файлам не предоставляют те же гарантии безопасности, что и правила явного подписывателя, так как они основаны на разрешениях на изменяемый доступ. Чтобы создать правило пути к файлам, выберите файл с помощью кнопки Обзор .
Правила атрибутов файлов
Мастер поддерживает создание правил имен файлов на основе атрибутов файла, прошедших проверку подлинности. Правила имен файлов полезны, если приложение и его зависимости (например, библиотеки DLL) могут использовать одно и то же имя продукта. Этот уровень правил позволяет пользователям легко создавать целевые политики на основе имени файла названия продукта. Чтобы выбрать атрибут файла для создания правила, переместите ползунок мастера в нужный атрибут. В следующей таблице описаны все поддерживаемые атрибуты файла, на которых создается правило.
| Уровень правила | Описание |
|---|---|
| Исходное имя файла | Указывает исходное имя файла или имя, с помощью которого был впервые создан файл двоичного файла. |
| Описание файла | Указывает описание файла, предоставленное разработчиком двоичного файла. |
| Название продукта | Указывает имя продукта, с которым поставляется двоичный файл. |
| Внутреннее имя | Задает внутреннее имя двоичного файла. |
Правила хэша файлов
Наконец, мастер поддерживает создание правил файлов с использованием хэша файла. Хотя этот уровень является специфическим, он может привести к дополнительным административным издержкам для поддержания значений хэша текущих версий продукта. При каждом обновлении двоичного файла изменяется хэш-значение, в связи с чем требуется обновление политики. По умолчанию мастер использует хэш файлов в качестве резервного варианта, если не удается создать правило файлов с использованием указанного уровня правила файла.
Удаление правил подписывания
Таблица в левой части страницы документирует правила разрешения и запрета в шаблоне, а также все настраиваемые правила, которые вы создаете. Правила можно удалить из политики, выбрав правило из таблицы списка правил. Когда правило будет выделено, нажмите кнопку удалить под таблицей. Вам снова будет предложено ввести другое подтверждение. Выберите Yes , чтобы удалить правило из политики и таблицы правил.