Windows Defender criteri di base di esempio di Controllo applicazioni
Nota
Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Per altre informazioni, vedere Windows Defender disponibilità delle funzionalità di Controllo applicazioni.
Quando si creano criteri per l'uso con Windows Defender controllo delle applicazioni (WDAC), iniziare da un criterio di base esistente e quindi aggiungere o rimuovere regole per creare criteri personalizzati. Windows include diversi criteri di esempio che è possibile usare. Questi criteri di esempio sono forniti "così come sono". È consigliabile testare accuratamente i criteri distribuiti usando metodi di distribuzione sicuri.
| Criteri di base di esempio | Descrizione | Dove è possibile trovarlo |
|---|---|---|
| DefaultWindows_*.xml | Questo criterio di esempio è disponibile sia in modalità di controllo che in modalità applicata. Include regole per consentire Windows, driver del kernel hardware e software di terze parti e app di Windows Store. Usato come base per i criteri della famiglia di prodotti Microsoft Intune. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Questo criterio di esempio include le regole di DefaultWindows e aggiunge regole per considerare attendibili le app firmate dal certificato radice del prodotto Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Questo criterio di esempio è utile quando si crea un blocklist. Tutti i criteri di blocco devono includere regole che consentono l'esecuzione di tutto il codice e quindi aggiungere le regole DENY per le esigenze dell'organizzazione. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Questo criterio di esempio può essere usato per abilitare l'integrità della memoria (nota anche come integrità del codice protetta da hypervisor) tramite WDAC. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Avviso: causerà problemi di avvio in Windows Server 2019 e versioni precedenti. Non usare su tali sistemi operativi. Distribuire questo criterio di esempio solo in modalità di controllo per tenere traccia di tutti i file binari in esecuzione in sistemi critici o per soddisfare i requisiti normativi. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | I clienti che usano Configuration Manager possono distribuire un criterio con l'integrazione WDAC predefinita di Configuration Manager e quindi usare il codice XML dei criteri generato come criterio di base di esempio. | %OSDrive%\Windows\CCM\DeviceGuard in un endpoint gestito |
| SmartAppControl.xml | Questo criterio di esempio include regole basate su Controllo app intelligenti che sono particolarmente adatte per sistemi gestiti in modo leggero. Questo criterio include una regola non supportata per i criteri WDAC aziendali e che deve essere rimossa. Per altre informazioni sull'uso di questo criterio di esempio, vedere Creare un criterio di base personalizzato usando un criterio di base di esempio. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
| Esempio di criteri supplementari | Questo criterio di esempio illustra come usare i criteri supplementari per espandere il DefaultWindows_Audit.xml consentire un singolo file firmato da Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Elenco di blocchi consigliato da Microsoft | Questo criterio include un elenco di codice firmato da Windows e Microsoft che Microsoft consiglia di bloccare quando si usa WDAC, se possibile. | Regole di blocco consigliate da Microsoft %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Elenco di blocchi dei driver consigliati da Microsoft | Questo criterio include regole per bloccare i driver del kernel noti vulnerabili o dannosi. | Regole di blocco driver consigliate Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Modalità Windows S | Questo criterio include le regole usate per applicare la modalità S di Windows. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Questo criterio include le regole usate per applicare Windows 11 SE, una versione di Windows creata per l'uso nelle scuole. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
Nota
Non tutti i criteri visualizzati in %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies sono disponibili in tutte le versioni di Windows.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per