基于参考设备创建设备保护代码完整性策略
若要实现设备保护应用保护,你将需要创建代码完整性策略。 代码完整性策略确定将哪些应用视为值得信赖的应用并允许其在受保护的设备上运行。
基于引用设备创建 Device Guard 代码完整性策略
若要创建代码完整性策略,你首先需要创建包含要在受保护设备上运行的已签名应用程序的引用映像。 有关如何对应用程序进行签名的信息,请参阅使应用在受“设备保护”保护的设备上运行。
注意 在创建代码完整性策略之前,请确保你的参考设备中没有病毒和恶意软件。
.gif "Mt243445.wedge(zh-cn,VS.85).gif")
基于参考设备创建代码完整性策略
在参考设备上,以管理员身份启动 Windows PowerShell。
在 PowerShell 中,通过键入以下内容来初始化变量:
$CIPolicyPath=$env:userprofile+"\Desktop\" $InitialCIPolicy=$CIPolicyPath+"InitialScan.xml" $CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"扫描你的设备,查找已安装的应用程序,并通过键入以下内容来创建新的代码完整性策略:
New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt其中,<RuleLevel> 可以被设置为以下任一选项:
规则级别 说明 Hash
为每个已发现的应用指定各个哈希值。 应用每次更新时,哈希值都将更改,而你将需要更新你的策略。
FileName
当前不支持。
SignedVersion
当前不支持。
Publisher
此级别是 PCA 证书和分支证书上的公用名 (CN) 的结合。 当使用 PCA 证书对多个公司(如 VeriSign)的应用进行签名时,此规则级别允许你信任该 PCA 证书,但仅限于分支证书上包含其名称的公司。
FilePublisher
当前不支持。
LeafCertificate
在各个签名证书级别上添加信任的签署程序。 更新应用时,将修改哈希值,但签名证书保持不变。 如果应用的签名证书发生更改,你将仅需要更新你的策略。
注意 分支证书的有效期比 PCA 证书短得多。 如果证书过期,你将需要更新你的策略。PcaCertificate
将提供的证书链中的最高级别的证书添加到签署程序中。 这通常是根证书下面的一个证书,因为扫描不会通过联机或检查本地根存储来验证位于已显示签名上方的任何内容。
RootCertificate
当前不支持。
WHQL
当前不支持。
WHQLPublisher
当前不支持。
WHQLFilePublisher
当前不支持。
键入以下命令,将代码完整性策略转换为二进制格式:
ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin
完成这些步骤后,设备保护策略二进制文件 (DeviceGuardPolicy.bin) 和原始 xml 文件 (InitialScan.xml) 将出现在你的桌面上。
注意 我们建议你保留一份 InitialScan.xml 的副本,以在需要将此代码完整性策略与另一策略合并时,或更新策略规则选项时使用。