Microsoft EDP(enterprise database protection)配置策略中的三种Rule template

时间:2024-09-21 12:36:20

搭建Microsoft EDP环境:
  Microsoft 10 insider preview,Microsoft Intune,ie10(要安装插件silverlight)

这里暂时只说在进行配置策略时,添加application到app list中的一小部分。
如标题Rule template
1. Store app:Universal Windows Platform (UWP) app
2. Desktop app:Classic Windows app
3. Applocker policy file

添加application到app list中关键区别在Rule template的选择

添加一个application到app list中步骤
  Title:建议用软件的通用的名字
  Mode:allow 和 exempt
  Template:如上三种

publisher 和 product name
查找application的publisher 和 product name方法

  Store app(eg:OneNote)
  未安装的,查找application的publisher 和 product name 在Windows Store for Business中用applockerdata查

  Desktop app(eg: iexplore)
  填publisher 和 binary name
  查publisher可通过Get-AppLockerFileInformation -Path "<path of the exe>"指令,在PowerShell里查
  这里小结下Store app 和 Desktop app:大致认为系统自带的application定位为Desktop app,需要自己安装的定位为Store app; 如果以后发现理解错了再进行修改

  Applocker policy file
  1.用Applocker工具创建一个app规则和xml文件
    运行secpol.msc,打开local security policy
    在左边的面板中找到application control policies,并展开
    找到applocker,继续展开
    找到package application rule,这个在win8.1以下的系统似乎没有
    选中package application rule, 右击,选择create new rule
    然后wizard就出来了,next
    选allow,next
    在publisher界面中,选择select
    选择你要选的application
    填上publisher,product name 和 version
    选择create
    等一会儿,对自己刚刚创建的rule进行确认
    右键applocker,选择export policy,选择xml格式,命名并保存
  2.将创建的xml文件导入到Intune里
    步骤和Store app一样,只是现在不在输入publisher 和 product name,而是导入xml文件
  这里应该总结一下Applocker policy file与上面两种规则的区别,目前没有深入了解applocker policy file这种规则,有机会再说它

我现在尽量用Store app 和 Desktop app。