Table of contents
TOC
折叠目录
展开目录

将未签名的应用添加到代码完整性策略

Trudy Hakala|上次更新日期: 2016/12/27
|
1 参与者

适用于

  • Windows 10
  • Windows 10 移动版

在你想要将未签名的应用添加到代码完整性策略时,需要从引用设备创建的代码完整性策略开始。 然后,针对未签名的应用创建目录文件、签署目录文件,然后将包括签名证书的默认策略与现有代码完整性策略合并。

本节内容

基于引用设备创建代码完整性策略

若要将未签名的应用添加到代码完整性策略,必须从金色映像计算机创建你的代码完整性策略。 有关详细信息,请参阅基于参考设备创建设备保护代码完整性策略

针对未签名的应用创建目录文件

创建目录文件即开始将未签名的应用添加到代码完整性策略的过程。

在开始之前,请务必查看这些最佳做法和要求:

要求

  • 在此过程中,你将使用程序包检查器。

  • 仅在代码完整性策略运行在审核模式下的情况中执行此过程。 不应在运行强制 Device Guard 策略的系统上执行此过程。

最佳做法

  • 命名约定 -- 使用命名约定可以更容易查找部署的目录文件。 在本主题中,我们使用 *-Contoso.cat 作为命名约定。 有关详细信息,请参阅 Device Guard 部署指南中的“使用配置管理器将目录文件加入清单”部分。

  • 在哪里部署代码完整性策略 -- 所创建的代码完整性策略应部署到运行程序包检查器的系统上。 这将确保代码完整性策略二进制文件受到信任。

将每个步骤的命令复制到提升的 Windows PowerShell 会话。 你将使用程序包检查器查找和信任应用中的所有二进制文件。

针对未签名的应用创建目录文件

  1. 启动程序包检查器扫描驱动器 C。

    PackageInspector.exe Start C:

  2. 将安装媒体复制到驱动器 C。

    将安装媒体复制到驱动器 C 可确保程序包检查器找到并编录安装程序。 如果你跳过此步骤,代码完整性策略可能信任应用程序运行,但不信任安装。

  3. 安装并启动应用。

    在程序包检查器运行时使用的所有二进制文件都将成为目录文件的一部分。 安装后启动应用,并确保已安装所有产品更新并已在扫描期间找到所有可下载内容。 然后关闭并重启应用,以确保扫描找到了所有二进制文件。

  4. 停止扫描,然后创建定义和目录文件。

    完成应用安装后,停止程序包检查器扫描,并在桌面上创建目录和定义文件。

    $ExamplePath=$env:userprofile+"\Desktop"

    $CatFileName=$ExamplePath+"\LOBApp-Contoso.cat"

    $CatDefName=$ExamplePath+"\LOBApp.cdf"

    PackageInspector.exe Stop C: -Name $CatFileName -cdfpath $CatDefName

程序包检查器扫描为找到的每个二进制文件编录哈希值。 如果更新已扫描的应用,请再次执行此过程以信任新的二进制文件哈希值。

完成后,文件将保存到你的桌面。 你仍需要为目录文件签名,以便它会在代码完整性策略中受到信任。

带有 Device Guard 签名门户的目录签名

若要使用 Device Guard 签名门户为目录文件签名,你需要注册适用于企业的 Windows 应用商店。 有关详细信息,请参阅注册适用于企业的 Windows 应用商店

目录签名是将未签名的应用添加到代码完整性策略的重要一步。

使用 Device Guard 签名门户为目录文件签名

  1. 登录适用于企业的应用商店

  2. 单击“设置”,然后选择“Device Guard 签名”。

  3. 单击“上载” 以上载未签名的目录文件。 这些是你之前在 针对未签名的应用创建目录文件中创建的目录文件。

  4. 文件上载后,单击“登录” 对目录文件进行签名。

  5. 单击“下载”以下载每一项:

    • 已签名的目录文件

    • 默认策略

    • 组织的的根证书

    当使用 Device Guard 签名门户为目录文件签名时,签名证书将添加到默认策略。 在下载已签名的目录文件时,还应下载默认策略,并将此代码完整性策略与现有代码完整性策略合并以保护运行目录文件的计算机。 你需要执行此步骤来信任和运行目录文件。 有关详细信息,请参阅 Device Guard 部署指南中的“合并代码完整性策略”。

  6. 打开下载的根证书,并遵循“证书导入向导”中的步骤在计算机证书存储中安装证书。

  7. 将已签名的目录部署到托管设备。 有关详细信息,请参阅 Device Guard 部署指南中的“使用组策略部署目录文件”或“使用 System Center Configuration Manager 部署目录文件”。

© 2017 Microsoft