Развертывание политик управления приложениями для бизнеса
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Теперь у вас должна быть одна или несколько политик управления приложениями для бизнеса, готовых к развертыванию. Если вы еще не выполнили действия, описанные в руководстве по проектированию элемента управления приложениями, сделайте это сейчас, прежде чем продолжить.
Преобразование XML-кода политики элемента управления приложениями в двоичный файл
Перед развертыванием политик управления приложениями необходимо сначала преобразовать XML-файл в его двоичную форму. Это можно сделать с помощью следующего примера PowerShell. Необходимо задать переменную $AppControlPolicyXMLFile, чтобы она указывала на XML-файл политики управления приложениями.
## Update the path to your App Control policy XML
$AppControlPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyAppControlPolicy.xml"
[xml]$AppControlPolicy = Get-Content -Path $AppControlPolicyXMLFile
if (($AppControlPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
$PolicyID = $AppControlPolicy.SiPolicy.PolicyID
$PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
$PolicyBinary = "SiPolicy.p7b"
}
## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $AppControlPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary
Планирование развертывания
Как и в случае с любым значительным изменением в вашей среде, реализация управления приложениями может иметь непредвиденные последствия. Чтобы обеспечить наилучшие шансы на успех, следует следовать рекомендациям безопасного развертывания и тщательно планировать развертывание. Определите устройства, которыми вы будете управлять с помощью управления приложениями, и разделите их на круги развертывания. Таким образом, вы можете контролировать скорость и масштаб развертывания и реагировать, если что-то пойдет не так. Определите критерии успешности, которые определяют, когда безопасно переходить от одного круга к другому.
Все изменения политики управления приложениями для бизнеса должны быть развернуты в режиме аудита, прежде чем приступить к принудительному применению. Тщательно отслеживайте события с устройств, на которых развернута политика, чтобы убедиться, что наблюдаемые события блоков соответствуют ожиданиям, прежде чем расширять развертывание до других кругов развертывания. Если ваша организация использует Microsoft Defender для конечной точки, вы можете использовать функцию Расширенной охоты для централизованного мониторинга событий, связанных с элементом управления приложениями. В противном случае мы рекомендуем использовать решение для пересылки журналов событий для сбора соответствующих событий из управляемых конечных точек.
Выбор способа развертывания политик управления приложениями
Важно.
Из-за известной проблемы следует всегда активировать новые подписанные базовые политики управления приложениями с перезагрузкой в системах с включенной целостностью памяти . В этом случае рекомендуется развертывать с помощью скрипта .
Эта проблема не влияет на обновления подписанных базовых политик, которые уже активны в системе, развертывание неподписанных политик или развертывание дополнительных политик (подписанных или неподписанных). Это также не влияет на развертывания в системах, в которых не выполняется целостность памяти.
Существует несколько вариантов развертывания политик управления приложениями для бизнеса в управляемых конечных точках, в том числе: