Используйте политику управления приложениями в Защитнике Windows для управления определенными модулями, надстройками и модулями.

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Политики Защитник Windows управления приложениями (WDAC) можно использовать для управления приложениями, а также для управления тем, могут ли определенные подключаемые модули, надстройки и модули выполняться из определенных приложений (например, бизнес-приложения или браузера):

Подход Рекомендации
Вы можете работать в списке подключаемых модулей, надстроек и модулей, которые будет запускать только определенное приложение. Другие приложения не смогут их запускать. Используйте New-CIPolicyRule с параметром -AppID.
Кроме того, вы можете работать со списком подключаемых модулей, надстроек или модулей, которые необходимо заблокировать в определенном приложении. Другие приложения смогут их запускать. Используйте New-CIPolicyRule с параметрами -AppID и -Deny.

Например, чтобы добавить правила в политику WDAC с именем "Lamna_FullyManagedClients_Audit.xml", которые позволяют addin1.dll и addin2.dll запускаться ERP1.exeприложением корпоративного планирования ресурсов (ERP) Lamna, выполните следующие команды. Во второй команде += используется для добавления второго правила в переменную $rule :

$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin1.dll' -Level FileName -AppID '.\ERP1.exe'
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin2.dll' -Level FileName -AppID '.\ERP1.exe'

В качестве другого примера, чтобы создать политику управления приложениями Защитник Windows, которая блокирует запускaddin3.dll в Microsoft Word, выполните следующую команду. Необходимо включить -Deny параметр для блокировки указанных надстроек в указанном приложении. Получив все нужные правила, их можно объединить в существующую политику WDAC с помощью командлета Merge-CIPolicy, как показано ниже:

$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin3.dll' -Level FileName -Deny -AppID '.\winword.exe'
Merge-CIPolicy -OutputFilePath .\Lamna_FullyManagedClients_Audit.xml -PolicyPaths .\Lamna_FullyManagedClients_Audit.xml -Rules $rule