примеры базовых политик управления приложениями Защитник Windows
Примечание.
Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Дополнительные сведения см. в разделе доступность функций управления приложениями Защитник Windows.
При создании политик для Защитник Windows управления приложениями (WDAC) начните с существующей базовой политики, а затем добавьте или удалите правила для создания собственной настраиваемой политики. Windows содержит несколько примеров политик, которые можно использовать. Эти примеры политик предоставляются "как есть". Следует тщательно протестировать политики, которые вы развертываете, с помощью безопасных методов развертывания.
Пример базовой политики | Описание | Где его можно найти |
---|---|---|
DefaultWindows_*.xml | Этот пример политики доступен как в режиме аудита, так и в режиме принудительного применения. Она включает правила, разрешают использование windows, сторонних драйверов оборудования и программного обеспечения, а также приложений Магазина Windows. Используется в качестве основы для Microsoft Intune политик семейства продуктов. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
AllowMicrosoft.xml | Этот пример политики включает правила из DefaultWindows и добавляет правила для приложений доверия, подписанных корневым сертификатом продукта Майкрософт. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
AllowAll.xml | Этот пример политики полезен при создании списка блокировок. Все политики блоков должны включать правила, разрешающие выполнение всего другого кода, а затем добавлять правила DENY для потребностей вашей организации. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
AllowAll_EnableHVCI.xml | Этот пример политики можно использовать для включения целостности памяти (также известной как целостность кода, защищенной гипервизором) с помощью WDAC. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
DenyAllAudit.xml | Предупреждение. Вызовет проблемы с загрузкой в Windows Server 2019 и более ранних версиях. Не используйте в этих операционных системах. Разверните этот пример политики в режиме аудита только для отслеживания всех двоичных файлов, работающих в критически важных системах, или для соответствия нормативным требованиям. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
Microsoft Configuration Manager | Клиенты, использующие Configuration Manager, могут развернуть политику со встроенной интеграцией WDAC Configuration Manager, а затем использовать xml-код созданной политики в качестве примера базовой политики. | %OSDrive%\Windows\CCM\DeviceGuard в управляемой конечной точке |
SmartAppControl.xml | Этот пример политики содержит правила на основе интеллектуального управления приложениями , которые хорошо подходят для легко управляемых систем. Эта политика включает правило, которое не поддерживается для корпоративных политик WDAC и должно быть удалено. Дополнительные сведения об использовании этой политики см. в статье Создание пользовательской базовой политики с помощью примера базовой политики. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
Пример дополнительной политики | В этом примере политики показано, как использовать дополнительную политику для развертывания DefaultWindows_Audit.xml разрешить один подписанный майкрософт файл. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
Список рекомендуемых блокировок Майкрософт | Эта политика содержит список кода, подписанного Корпорацией Майкрософт, который корпорация Майкрософт рекомендует блокировать при использовании WDAC, если это возможно. | Рекомендуемые корпорацией Майкрософт правила блокировки %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
Список блокировок драйверов, рекомендуемых Корпорацией Майкрософт | Эта политика включает правила для блокировки известных уязвимых или вредоносных драйверов ядра. | Рекомендуемые корпорацией Майкрософт правила блокировки драйверов %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
S-режим Windows | Эта политика включает правила, используемые для принудительного применения S-режима Windows. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
Windows 11 SE | Эта политика включает правила, используемые для принудительного применения Windows 11 SE— версии Windows, созданной для использования в учебных заведениях. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
Примечание.
Не все политики, доступные на странице %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, можно найти во всех версиях Windows.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по