Создание политик тегов AppId элемента управления приложениями

Применяется к: ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Создание политики с помощью мастера управления приложениями

Вы можете использовать мастер управления приложениями для бизнеса и команды PowerShell, чтобы создать политику управления приложениями и преобразовать ее в политику AppIdTagging. Мастер управления приложениями доступен для скачивания на сайте установщика мастера управления приложениями. Эти команды PowerShell доступны только на поддерживаемых платформах, перечисленных в руководстве по маркировке AppId.

Создайте новую базовую политику с помощью шаблонов:

Начните с задачи "Создатель политики" и выберите Несколько форматов политики и Базовая политика. Выберите базовый шаблон, который будет использоваться для политики. В следующем примере показано, как начать с шаблона Режим Windows по умолчанию и построить на основе этих правил.

Примечание.

Если политика маркировки AppId не выполняет сборку на основе базовых шаблонов или не разрешает встроенные процессы Windows, вы заметите значительное снижение производительности, особенно во время загрузки. По этой причине настоятельно рекомендуется создавать на основе базовых шаблонов. Дополнительные сведения о проблеме см. в статье Известный вопрос с тегами AppId.
Задайте следующие параметры правила с помощью переключателя мастера:
Создание пользовательских правил:

При нажатии кнопки + Custom Rules открывается панель Настраиваемые правила. Мастер поддерживает пять типов правил файлов:
- Правила издателя. Создайте правило на основе иерархии сертификатов подписи. Кроме того, исходное имя файла и версия могут быть объединены с сертификатом подписи для дополнительной безопасности.
- Правила пути. Создайте правило на основе пути к файлу или родительской папке. Правила пути поддерживают подстановочные знаки.
- Правила атрибутов файлов. Создайте правило на основе неизменяемых свойств файла, таких как исходное имя файла, описание файла, название продукта или внутреннее имя.
- Правила имен приложений пакета. Создайте правило на основе имени семейства пакетов appx/msix.
- Хэш-правила. Создайте правило на основе хэша PE Authenticode файла.
Дополнительные сведения о создании правил файлов политики см. в рекомендациях, приведенных в разделе Создание правил файла политики.
Преобразовать в политику тегов AppId:

После того как мастер создаст файл политики, откройте файл в текстовом редакторе и удалите весь текстовый блок "Value=131" SigningScenario. Единственным оставшимся сценарием подписывания должен быть "Value=12", который является разделом приложения в пользовательском режиме. Затем откройте PowerShell в командной строке с повышенными привилегиями и выполните следующую команду. Замените пару AppIdTagging Key-Value для вашего сценария:
```
Set-CIPolicyIdInfo -ResetPolicyID -FilePath .\AppIdPolicy.xml -AppIdTaggingPolicy -AppIdTaggingKey "MyKey" -AppIdTaggingValue "MyValue"
```
Идентификатор GUID policyID возвращается командой PowerShell в случае успешного выполнения.

Создание политики с помощью PowerShell

С помощью этого метода вы создаете политику тегов AppId непосредственно с помощью команд PowerShell управления приложениями. Эти команды PowerShell доступны только на поддерживаемых платформах, перечисленных в руководстве по маркировке AppId. В экземпляре PowerShell с повышенными привилегиями:

Создайте правило AppId для политики на основе сочетания цепочки сертификатов подписи и версии приложения. В приведенном ниже примере для уровня задано значение SignedVersion. В правилах AppId можно использовать любой из уровней правил файлов управления приложениями :
```
$rule = New-CiPolicyRule -Level SignedVersion -DriverFilePath <path_to_application>
```
Создайте политику тегов AppId. Замените пару AppIdTagging Key-Value для вашего сценария:
```
New-CIPolicy -rules $rule -FilePath .\AppIdPolicy.xml -AppIdTaggingPolicy -AppIdTaggingKey "MyKey" -AppIdTaggingValue "MyValue"
```
Задайте параметры правила для политики:
```
Set-RuleOption -Option 0 .\AppIdPolicy.xml  # Usermode Code Integrity (UMCI)
Set-RuleOption -Option 16 .\AppIdPolicy.xml # Refresh Policy no Reboot
Set-RuleOption -Option 18 .\AppIdPolicy.xml # (Optional) Disable FilePath Rule Protection
```
Если вы используете правила пути к файлам, может потребоваться задать параметр 18. В противном случае нет необходимости.
Задайте имя и идентификатор в политике, что полезно для отладки в будущем:
```
Set-CIPolicyIdInfo -ResetPolicyId -PolicyName "MyPolicyName" -PolicyId "MyPolicyId" -AppIdTaggingPolicy -FilePath ".\AppIdPolicy.xml"
```
Идентификатор GUID policyID возвращается командой PowerShell в случае успешного выполнения.

Развертывание для локального тестирования

После создания политики тегов AppId на описанных выше шагах вы можете развернуть политику на локальном компьютере для тестирования, прежде чем широко развертывать политику в конечных точках:

В зависимости от метода развертывания преобразуйте xml в двоичный файл:
```
Convertfrom-CIPolicy .\policy.xml ".\{PolicyIDGUID}.cip"
```
При необходимости разверните его для локального тестирования:
```
copy ".\{Policy ID}.cip" c:\windows\system32\codeintegrity\CiPolicies\Active\
./RefreshPolicy.exe
```
RefreshPolicy.exe можно скачать в Центре загрузки Майкрософт.

Дальнейшие действия

Дополнительные сведения об отладке и широком развертывании политики тегов AppId см. в разделах Отладка политик AppId и Развертывание политик AppId.

Обратная связь

Были ли сведения на этой странице полезными?

Last updated on 2024-10-01