Создание политики целостности кода Device Guard на основании эталонного устройства

Для реализации защиты приложений Device Guard необходимо создать политику целостности кода. Политики целостности кода определяют, какие приложения считаются благонадежными и разрешены для запуска на защищенном устройстве.

Создание политики целостности кода Device Guard на основании эталонного устройства

Для создания политики целостности кода сначала необходимо создать эталонный образ, содержащий подписанные приложения, которые требуется запускать на защищенных устройствах. Сведения о том, как подписывать приложения, см. в разделе Обеспечение запуска приложений на устройствах с защитой Device Guard.

Примечание  Перед созданием политики целостности кода убедитесь, что эталонное устройство свободно от вирусов и вредоносных программ.
 

Mt243445.wedge(ru-ru,VS.85).gifДля создания политики целостности кода на основании эталонного устройства сделайте следующее.

  1. На эталонном устройстве запустите Windows PowerShell от имени администратора.

  2. В PowerShell инициализируйте переменные путем ввода:

    $CIPolicyPath=$env:userprofile+"\Desktop\"
    $InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"
    $CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"
    
  3. Проверьте устройство на наличие установленных приложений и создайте новую политику целостности кода путем ввода:

    New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt
    

    где для <RuleLevel> можно назначить любой из следующих вариантов:

    Уровень правилаОписание

    Hash (Хэш)

    Устанавливает отдельные хэш-значения для каждого обнаруженного приложения. При каждом обновлении приложения хэш-значение изменится и нужно будет обновить политику.

    FileName (Имя файла)

    В настоящее время не поддерживается.

    SignedVersion (Подписанная версия)

    В настоящее время не поддерживается.

    Publisher (Издатель)

    Этот уровень представляет собой сочетание сертификата PCA и общего имени (CN) на некорневом сертификате. Если сертификат PCA использовался для подписания приложений от нескольких компаний (например, VeriSign), этот уровень правила обеспечивает доверие сертификату PCA, но только для компании, имя которой указано в некорневом сертификате.

    FilePublisher (Издатель файла)

    В настоящее время не поддерживается.

    LeafCertificate (Некорневой сертификат)

    Добавляет доверенных подписантов на индивидуальном уровне сертификата подписи. При обновлении приложения хэш-значение изменяется, а сертификат подписи остается без изменений. Политику необходимо будет обновить только при изменении сертификата подписи для приложения.

    Примечание  Некорневые сертификаты имеют более короткие сроки действия, чем сертификаты PCA. По истечении срока действия сертификата необходимо будет обновить политику.
     

    PcaCertificate (Сертификат PCA)

    Добавляет наивысший сертификат в предоставленную цепочку сертификатов для подписантов. Обычно это единственный сертификат под корневым сертификатом, поскольку при сканировании не проверяются объекты выше представленной подписи путем подключения к Интернету или проверки локальных корневых хранилищ.

    RootCertificate (Корневой сертификат)

    В настоящее время не поддерживается.

    WHQL

    В настоящее время не поддерживается.

    WHQLPublisher (Издатель WHQL)

    В настоящее время не поддерживается.

    WHQLFilePublisher (Издатель файла WHQL)

    В настоящее время не поддерживается.

     

  4. Введите следующее для преобразования политики целостности кода в двоичный формат:

    ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin
    

После выполнения этих действий двоичный файл политики Device Guard (DeviceGuardPolicy.bin) и первоначальный XML-файл (InitialScan.xml) будут доступны на рабочем столе.

Примечание  Рекомендуется оставить копию файла InitialScan.xml для использования в случае, если нужно объединить эту политику целостности кода с другой политикой или обновить параметры правил политики.
 

Связанные разделы

Обеспечение запуска приложений на устройствах с защитой Device Guard

 

 

Показ: