使用稽核事件建立應用程控原則規則

在稽核模式中執行應用程控可讓您探索應用程式、二進制檔和腳本，這些應用程式、二進位檔和腳本在應用程控原則中遺失，但應包含在內。

當應用程控原則在稽核模式中執行時，任何執行但遭到拒絕的二進位檔都會記錄在 應用程式和服務記錄檔\Microsoft\Windows\CodeIntegrity\Operational 事件記錄檔中。 腳本和 MSI 會記錄在 應用程式和服務記錄檔\Microsoft\Windows\AppLocker\MSI 和腳本 事件記錄檔中。 如果允許，這些事件可用來產生新的應用程控原則，該原則可以與原始的基底原則合併，或部署為個別的補充原則。

建立應用程控原則以允許應用程式使用稽核事件的程式概觀

若要熟悉如何從稽核事件建立應用程控規則，請在具有應用程控審核模式原則的裝置上遵循下列步驟。

1. 安裝和執行應用程控原則不允許但您想要允許的應用程式。

2. 檢閱 CodeIntegrity - Operational 和 AppLocker - MSI 和腳本 事件記錄檔，以確認與應用程式相關的事件，如圖 1 所示。 如需您應該看到的事件類型相關信息，請參閱 瞭解應用程控事件。

   圖 1。 已部署應用程控原則的例外狀況
   

3. 在提升許可權的 PowerShell 工作階段中，執行下列命令來初始化此程式所使用的變數。 此程式是以為完全受控裝置建立應用程控原則中所導入的 Lamna_FullyManagedClients_Audit.xml 原則為基礎，並會產生名為 EventsPolicy.xml的新原則。

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
   

4. 使用 New-CIPolicy 從記錄的稽核事件產生新的應用程控原則。 此範例使用 FilePublisher 檔案規則層級和 哈希 後援層級。 警告訊息會重新導向至文本檔 EventsPolicyWarnings.txt。

   New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
   

   注意

   當您從稽核事件建立原則時，應謹慎考慮您選擇要信任的檔案規則層級。 上述範例使用 FilePublisher 規則層級與 哈希的後援層級，這可能比預期更明確。 您可以使用不同的 -Level 和 -Fallback 選項來重新執行上述命令，以符合您的需求。 如需應用程控規則層級的詳細資訊，請 參閱瞭解應用程控原則規則和檔案規則。

5. 尋找並檢閱應該在桌面上找到的應用程控原則檔案 EventsPolicy.xml 。 請確定它只包含您想要允許之應用程式、二進位檔和腳本的檔案和簽署者規則。 您可以手動編輯原則 XML 或使用應用程控原則精靈工具來移除規則 (請參閱使用精靈) 編輯現有的基底和補充應用程控 原則。

6. 尋找並檢閱應該在桌面上找到的文本檔 EventsPolicyWarnings.txt 。 此檔案會包含應用程式控制項無法在指定的規則層級或後援規則層級建立規則的任何檔案警告。

   注意

   New-CIPolicy 只會針對仍可在磁碟上找到的檔案建立規則。 系統上不再存在的檔案將不會建立規則來允許它們。 不過，事件記錄檔應該有足夠的資訊，以手動編輯原則 XML 以新增規則來允許這些檔案。 您可以使用現有的規則作為範本，並根據 在 %windir%\schemas\CodeIntegrity\cipolicy.xsd 找到的應用程控原則架構定義來驗證結果。

7. 將 EventsPolicy.xml 與基底 原則合併Lamna_FullyManagedClients_Audit.xml 或將其轉換為補充原則。

   如需合併原則的資訊，請參閱 商務用合併應用程控原則 ，如需補充原則的資訊，請 參閱使用多個商務用應用程控原則。

8. 將基底或補充原則轉換為二進位，並使用您慣用的方法進行部署。