使用 组策略 部署适用于企业的应用控制策略

注意

适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性

重要提示

由于已知问题,应始终在启用了内存完整性的系统上重新启动后激活新签名的应用控制基础策略。 无需组策略,而是通过脚本部署新的已签名应用控制基础策略,并在系统重启时激活策略。

此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。

可以使用 组策略 轻松部署和管理 1903 年之前的 1903 年策略架构) (单策略格式的业务应用控制策略。

重要提示

基于 组策略 部署的适用于企业的应用控制策略仅支持单策略格式的应用控制策略。 若要在运行 Windows 10 1903 及更高或Windows 11的设备上使用应用控制,我们建议使用替代策略部署方法。

现在应将应用控制策略转换为二进制格式。 如果没有,请按照 部署适用于企业的应用控制策略中所述的步骤进行操作。

以下过程指导你如何使用名为 Contoso GPO Test 的 GPO 将名为 SiPolicy.p7b 的应用控制策略部署到名为“已启用应用控制”的电脑的测试 OU。

若要使用 组策略 部署和管理适用于企业的应用控制策略,请执行以下操作:

  1. 在安装了 RSAT 的客户端计算机上,通过运行 GPMC.MSC 打开 GPMC

  2. 创建新的 GPO:右键单击某个 OU,然后选择“ 在此域中创建 GPO”,并将其链接到此处

    注意

    可以使用任何 OU 名称。 此外,在考虑将应用控制策略组合 (或将它们分开) 的不同方法时,安全组筛选是一个选项,如规划 企业应用控制生命周期策略管理中所述。

    组策略管理,创建 GPO。

  3. 为新 GPO 命名。 可以选择任何名称。

  4. 打开组策略管理编辑器:右键单击新 GPO,然后选择“编辑”。

  5. 在所选 GPO 中,导航到“计算机配置\管理模板\System\Device Guard”。 右键单击“ 为企业部署应用控件 ”,然后选择“ 编辑”。

    编辑适用于企业的 App Control 的组策略。

  6. 在“ 为企业部署应用控件 ”对话框中,选择“ 已启用” 选项,然后指定“应用控制”策略部署路径。

    在此策略设置中,可以指定策略将存在于每台客户端计算机上的本地路径,或者指定通用命名约定 (UNC) 路径,客户端计算机将查找该路径来检索策略的最新版本。 例如,使用 部署企业应用控制策略 中所述步骤的 SiPolicy.p7b 的路径将是 %USERPROFILE%\Desktop\SiPolicy.p7b。

    注意

    无需将此策略文件复制到每台计算机。 可以改为将应用控制策略复制到所有计算机帐户都有权访问的文件共享。 你在此处选择的所有策略都将转换为 SIPolicy.p7b,前提是它已部署到个别客户端计算机。

    组策略名为 Deploy App Control for Business。

    注意

    你可能已注意到 GPO 设置引用 .p7b 文件,但文件扩展名和策略二进制文件的名称并不重要。 无论策略二进制文件的名称如何,在应用于运行Windows 10的客户端计算机时,它们都会转换为 SIPolicy.p7b。 如果要将不同的应用控制策略部署到不同的设备集,你可能希望为每个应用控制策略指定一个友好名称,并允许系统为你转换策略名称,以确保在共享或任何其他中央存储库中查看时,这些策略易于区分。

  7. 关闭组策略管理编辑器,然后重启 Windows 测试计算机。 重新启动计算机会更新应用控制策略。