Distribuire i criteri di Windows Defender Application Control usando Criteri di gruppo

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender Application Control (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Windows Defender Application Control.

Importante

A causa di un problema noto, è consigliabile attivare sempre i nuovi criteri di base WDAC firmaticon un riavvio nei sistemi con l'integrità della memoria abilitata. Anziché Criteri di gruppo, distribuire nuovi criteri di base WDAC firmati tramite script e attivare i criteri con un riavvio del sistema.

Questo problema non influisce sugli aggiornamenti dei criteri di base firmati già attivi nel sistema, sulla distribuzione di criteri non firmati o sulla distribuzione di criteri supplementari (firmati o non firmati). Inoltre, non influisce sulle distribuzioni in sistemi che non eseguono l'integrità della memoria.

È possibile distribuire e gestire facilmente i criteri di controllo delle applicazioni di Windows Defender in formato singolo (schema dei criteri precedente alla 1903) con Criteri di gruppo.

Importante

La distribuzione basata su Criteri di gruppo dei criteri di Windows Defender Application Control supporta solo i criteri WDAC in formato di criteri singoli. Per usare WDAC nei dispositivi che eseguono Windows 10 1903 e versioni successive o Windows 11, è consigliabile usare un metodo alternativo per la distribuzione dei criteri.

È ora necessario convertire un criterio WDAC in formato binario. In caso contrario, seguire la procedura descritta in Distribuzione dei criteri di Windows Defender Application Control (WDAC).

La procedura seguente illustra come distribuire un criterio WDAC denominato SiPolicy.p7b in un'unità organizzativa di test denominata PC abilitati per WDAC usando un oggetto Criteri di gruppo denominato Contoso GPO Test.

Per distribuire e gestire criteri di Controllo applicazioni di Windows Defender con Criteri di gruppo:

1. In un computer client in cui è installato RSAT, aprire La console Gestione Criteri di gruppo eseguendo GPMC.MSC

2. Creare un nuovo oggetto Criteri di gruppo: fare clic con il pulsante destro del mouse su un'unità organizzativa, quindi selezionare Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.

   Nota

   È possibile usare qualsiasi nome di unità organizzativa. Inoltre, il filtro dei gruppi di sicurezza è un'opzione quando si considerano diversi modi per combinare i criteri WDAC (o mantenerli separati), come illustrato in Pianificare la gestione dei criteri del ciclo di vita di Windows Defender Application Control.

   

3. Assegna un nome al nuovo oggetto Criteri di gruppo. Puoi sceglierne uno qualsiasi.

4. Aprire l'Editor Gestione Criteri di gruppo: fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e quindi scegliere Modifica.

5. Nell'oggetto Criteri di gruppo selezionato passare a Configurazione computer\Modelli amministrativi\Sistema\Device Guard. Fare clic con il pulsante destro del mouse su Deploy Windows Defender Application Control (Distribuisci controllo applicazione Windows Defender) e quindi scegliere Edit (Modifica).

   

6. Nella finestra di dialogo Distribuisci controllo applicazione Windows Defender selezionare l'opzione Abilitato e quindi specificare il percorso di distribuzione dei criteri WDAC.

   In questa impostazione di criterio si specifica il percorso locale in cui saranno presenti i criteri in ogni computer client o un percorso UNC (Universal Naming Convention) che i computer client cercheranno per recuperare la versione più recente del criterio. Ad esempio, il percorso di SiPolicy.p7b usando i passaggi descritti in Distribuzione dei criteri di Windows Defender Application Control (WDAC) è %USERPROFILE%\Desktop\SiPolicy.p7b.

   Nota

   Questo file di criteri non deve essere copiato in ogni computer. Puoi invece copiare i criteri WDAC in una condivisione file accessibile a tutti gli account computer. Tutti i criteri selezionati qui verranno rinominati in SIPolicy.p7b quando verranno distribuiti nei singoli computer.

   

   Nota

   È possibile che si sia notato che l'impostazione dell'oggetto Criteri di gruppo fa riferimento a un file con estensione p7b, ma l'estensione e il nome del file binario dei criteri non sono importanti. Indipendentemente dal nome binario dei criteri, vengono tutti convertiti in SIPolicy.p7b quando vengono applicati ai computer client che eseguono Windows 10. Se si distribuiscono criteri WDAC diversi in diversi set di dispositivi, è possibile assegnare a ognuno dei criteri WDAC un nome descrittivo e consentire al sistema di convertire i nomi dei criteri per assicurarsi che i criteri siano facilmente distinguibili se visualizzati in una condivisione o in qualsiasi altro repository centrale.

7. Chiudere Editor Gestione Criteri di gruppo e quindi riavviare il computer di test di Windows. Riavviando il computer, il criterio WDAC viene aggiornato.