Поделиться через

Развертывание политик управления приложениями в Защитнике Windows с помощью групповой политики

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Важно.

Из-за известной проблемы следует всегда активировать новые подписанные базовые политики WDAC с перезагрузкой в системах с включенной целостностью памяти . Вместо групповой политики разверните новые подписанные базовые политики WDAC с помощью скрипта и активируйте политику с помощью перезапуска системы.

Эта проблема не влияет на обновления подписанных базовых политик, которые уже активны в системе, развертывание неподписанных политик или развертывание дополнительных политик (подписанных или неподписанных). Это также не влияет на развертывания в системах, в которых не выполняется целостность памяти.

Политики управления приложениями в Защитнике Windows (схема политики до 1903 года) можно легко развертывать и управлять ими с помощью групповой политики.

Важно.

Развертывание политик управления приложениями в Защитнике Windows на основе групповой политики поддерживает только политики WDAC в формате одной политики. Чтобы использовать WDAC на устройствах под управлением Windows 10 1903 и более поздней версии или Windows 11, рекомендуется использовать альтернативный метод развертывания политики.

Теперь у вас должна быть политика WDAC, преобразованная в двоичную форму. Если нет, выполните действия, описанные в разделе Развертывание политик управления приложениями в Защитнике Windows (WDAC).

В следующей процедуре описано, как развернуть политику WDAC с именем SiPolicy.p7b на тестовых компьютерах с поддержкой WDAC с помощью объекта групповой политики Contoso GPO Test.

Чтобы развернуть политику управления приложениями в Защитнике Windows и управлять ею с помощью групповой политики, выполните следующие действия:

  1. На клиентском компьютере, на котором установлен RSAT, откройте GPMC, запустив GPMC.MSC.

  2. Создание объекта групповой политики: щелкните правой кнопкой мыши подразделение, а затем выберите Создать объект групповой политики в этом домене и связать его здесь.

    Примечание.

    Можно использовать любое имя подразделения. Кроме того, фильтрация групп безопасности является вариантом, если вы рассматриваете различные способы объединения политик WDAC (или их разделения), как описано в статье Планирование управления жизненным циклом управления приложениями в Защитнике Windows.

    Управление групповыми политиками, создайте объект групповой политики.

  3. Введите имя нового объекта групповой политики. Вы можете выбрать любое имя.

  4. Откройте редактор управления групповыми политиками: щелкните правой кнопкой мыши новый объект групповой политики и выберите изменить.

  5. В выбранном объекте групповой политики перейдите в раздел Конфигурация компьютера\Административные шаблоны\System\Device Guard. Щелкните правой кнопкой мыши Элемент управления приложениями в Защитнике Windows и выберите изменить.

    Измените групповую политику для управления приложениями в Защитнике Windows.

  6. В диалоговом окне Развертывание управления приложениями в Защитнике Windows выберите параметр Включено , а затем укажите путь развертывания политики WDAC.

    В этом параметре политики укажите локальный путь, по которому будет существовать политика на каждом клиентском компьютере, или UNC-путь, по которому клиентские компьютеры будут искать для получения последней версии политики. Например, путь к SiPolicy.p7b с помощью действий, описанных в разделе Развертывание политик управления приложениями в Защитнике Windows (WDAC), будет иметь значение %USERPROFILE%\Desktop\SiPolicy.p7b.

    Примечание.

    Этот файл политики не требуется копировать на каждый компьютер. Вместо этого вы можете скопировать политики WDAC в общую папку, которая доступна всем компьютерам. Любая выбранная на данном этапе политика преобразовывается в SIPolicy.p7b при развертывании на отдельных клиентских компьютерах.

    Групповая политика с именем Развертывание управления приложениями в Защитнике Windows.

    Примечание.

    Возможно, вы заметили, что параметр GPO ссылается на P7B-файл, но расширение файла и имя двоичного файла политики не имеют значения. Независимо от того, как вы называете двоичный файл политики, все они преобразуются в SIPolicy.p7b при применении к клиентским компьютерам под управлением Windows 10. Если вы развертываете разные политики WDAC на разных наборах устройств, вам может потребоваться присвоить каждой из политик WDAC понятное имя и разрешить системе преобразовать имена политик, чтобы убедиться, что политики легко различимы при просмотре в общей папке или любом другом центральном репозитории.

  7. Закройте редактор управления групповыми политиками и перезапустите тестовый компьютер Windows. При перезагрузке клиентского компьютера происходит обновление политики WDAC.