Развертывание политик WDAC с помощью Microsoft Configuration Manager
Примечание.
Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Вы можете использовать Microsoft Configuration Manager для настройки Защитник Windows управления приложениями (WDAC) на клиентских компьютерах.
Использование встроенных политик Configuration Manager
Configuration Manager включает встроенную поддержку WDAC, которая позволяет настраивать Windows 10 и Windows 11 клиентских компьютеров с помощью политики, которая разрешает только следующее:
- Компоненты Windows
- Приложения Microsoft Store
- Приложения, установленные Configuration Manager (Configuration Manager самостоятельно настроены в качестве управляемого установщика)
- (Необязательно) Уважаемые приложения, определенные в графе интеллектуальной безопасности (ISG)
- (Необязательно) Приложения и исполняемые файлы, уже установленные в расположениях папок, определяемых администратором, которые Configuration Manager разрешают однократную проверку во время создания политики в управляемых конечных точках.
Configuration Manager не удаляет политики после развертывания. Чтобы остановить принудительное применение, необходимо переключить политику в режим аудита, что приведет к тому же эффекту. Если вы хотите полностью отключить Защитник Windows управления приложениями (WDAC) (включая режим аудита), можно развернуть сценарий, чтобы удалить файл политики с диска, а затем запустить перезагрузку или дождаться следующей перезагрузки.
Создание политики WDAC в Configuration Manager
Выберите Asset and Compliance>Endpoint Protection>Защитник Windows Application ControlCreate Application Control Policy (Создание политики управления приложениями>)
Введите имя политики >Далее
Включение принудительного перезапуска устройств, чтобы эту политику можно было применить ко всем процессам.
Выберите режим, в который будет выполняться политика (включено принудительное применение или только аудит)
Нажмите кнопку Далее
Выберите Добавить , чтобы начать создание правил для доверенного программного обеспечения.
Выберите Файл или Папка, чтобы создать правило >обзора пути.
Выберите исполняемый файл или папку для правила > пути ОК.
Нажмите кнопку ОК , чтобы добавить правило в таблицу доверенных файлов или папки.
Нажмите кнопку Далее, чтобы перейти на страницу > сводки Закрыть.
Развертывание политики WDAC в Configuration Manager
Щелкните правой кнопкой мыши только что созданную политику >Развертывание политики управления приложениями
Выберите Обзор
Выберите ранее > созданную коллекцию устройств ОК.
Изменение расписания >ОК
Дополнительные сведения об использовании собственных политик WDAC Configuration Manager см. в разделе управление Защитник Windows управление приложениями с помощью Configuration Manager.
Скачайте весь WDAC в Configuration Manager лабораторном документе.
Развертывание пользовательских политик WDAC с помощью пакетов или программ или последовательностей задач
Использование встроенных политик Configuration Manager может быть полезной отправной точкой, но клиенты могут найти круг доверия, доступный в Configuration Manager слишком ограничивающим. Чтобы определить собственный круг доверия, можно использовать Configuration Manager для развертывания пользовательских политик WDAC с помощью развертывания на основе скриптов с помощью пакетов и программ распространения программного обеспечения или последовательностей задач развертывания операционной системы.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по