Microsoft EDP(enterprise database protection)配置策略中的三种Rule template
搭建Microsoft EDP环境:
Microsoft 10 insider preview,Microsoft Intune,ie10(要安装插件silverlight)
这里暂时只说在进行配置策略时,添加application到app list中的一小部分。
如标题Rule template
1. Store app:Universal Windows Platform (UWP) app
2. Desktop app:Classic Windows app
3. Applocker policy file
添加application到app list中关键区别在Rule template的选择
添加一个application到app list中步骤
Title:建议用软件的通用的名字
Mode:allow 和 exempt
Template:如上三种
publisher 和 product name
查找application的publisher 和 product name方法
Store app(eg:OneNote)
未安装的,查找application的publisher 和 product name 在Windows Store for Business中用applockerdata查
Desktop app(eg: iexplore)
填publisher 和 binary name
查publisher可通过Get-AppLockerFileInformation -Path "<path of the exe>"指令,在PowerShell里查
这里小结下Store app 和 Desktop app:大致认为系统自带的application定位为Desktop app,需要自己安装的定位为Store app; 如果以后发现理解错了再进行修改
Applocker policy file
1.用Applocker工具创建一个app规则和xml文件
运行secpol.msc,打开local security policy
在左边的面板中找到application control policies,并展开
找到applocker,继续展开
找到package application rule,这个在win8.1以下的系统似乎没有
选中package application rule, 右击,选择create new rule
然后wizard就出来了,next
选allow,next
在publisher界面中,选择select
选择你要选的application
填上publisher,product name 和 version
选择create
等一会儿,对自己刚刚创建的rule进行确认
右键applocker,选择export policy,选择xml格式,命名并保存
2.将创建的xml文件导入到Intune里
步骤和Store app一样,只是现在不在输入publisher 和 product name,而是导入xml文件
这里应该总结一下Applocker policy file与上面两种规则的区别,目前没有深入了解applocker policy file这种规则,有机会再说它
我现在尽量用Store app 和 Desktop app。