Windows Defender políticas de base de exemplo do Controle de Aplicativo
Observação
Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Para obter mais informações, consulte Windows Defender disponibilidade de recursos do Controle de Aplicativo.
Quando você cria políticas para uso com Windows Defender WDAC (Controle de Aplicativo), comece a partir de uma política base existente e adicione ou remova regras para criar sua própria política personalizada. O Windows inclui várias políticas de exemplo que você pode usar. Essas políticas de exemplo são fornecidas "como está". Você deve testar minuciosamente as políticas implantadas usando métodos de implantação seguros.
| Política base de exemplo | Descrição | Onde ele pode ser encontrado |
|---|---|---|
| DefaultWindows_*.xml | Esta política de exemplo está disponível no modo de auditoria e imposto. Ele inclui regras para permitir o Windows, drivers de kernel de hardware e software de terceiros e aplicativos da Windows Store. Usado como base para as políticas da família de produtos Microsoft Intune. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Esta política de exemplo inclui as regras de DefaultWindows e adiciona regras a aplicativos de confiança assinados pelo certificado raiz do produto da Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Esta política de exemplo é útil ao criar uma lista de bloqueios. Todas as políticas de bloco devem incluir regras que permitem que todos os outros códigos sejam executados e, em seguida, adicionar as regras DENY para as necessidades da sua organização. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Esta política de exemplo pode ser usada para habilitar a integridade da memória (também conhecida como integridade de código protegida por hipervisor) usando o WDAC. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Aviso: causará problemas de inicialização no Windows Server 2019 e anterior. Não use esses sistemas operacionais. Implante apenas essa política de exemplo no modo de auditoria para acompanhar todos os binários em execução em sistemas críticos ou para atender aos requisitos regulatórios. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Os clientes que usam Configuration Manager podem implantar uma política com a integração interna do WDAC do Configuration Manager e, em seguida, usar a política gerada XML como uma política base de exemplo. | %OSDrive%\Windows\CCM\DeviceGuard em um ponto de extremidade gerenciado |
| SmartAppControl.xml | Esta política de exemplo inclui regras baseadas no Controle de Aplicativo Inteligente que são adequadas para sistemas levemente gerenciados. Essa política inclui uma regra que não tem suporte para políticas do WDAC empresarial e deve ser removida. Para obter mais informações sobre como usar essa política de exemplo, consulte Criar uma política base personalizada usando uma política base de exemplo. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
| Exemplo de política suplementar | Esta política de exemplo mostra como usar a política suplementar para expandir o DefaultWindows_Audit.xml permitir um único arquivo assinado pela Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Lista de blocos recomendada pela Microsoft | Essa política inclui uma lista de códigos assinados pelo Windows e pela Microsoft que a Microsoft recomenda bloquear ao usar o WDAC, se possível. | Regras de bloqueio recomendadas pela Microsoft %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Lista de bloqueio de driver recomendada pela Microsoft | Essa política inclui regras para bloquear drivers de kernel vulneráveis ou mal-intencionados conhecidos. | Regras de bloqueio de driver recomendadas pela Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Modo S do Windows | Essa política inclui as regras usadas para impor o modo S do Windows. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Essa política inclui as regras usadas para impor Windows 11 SE, uma versão do Windows criada para uso nas escolas. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
Observação
Nem todas as políticas mostradas disponíveis em %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies podem ser encontradas em todas as versões do Windows.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de