Windows Defender應用程式控制管理與Configuration Manager
適用於:Configuration Manager (目前的分支)
Windows Defender應用程式控制是設計來保護裝置免于遭受惡意程式碼和其他不受信任的軟體。 它可確保只能執行您知道的已核准程式碼,以防止惡意程式碼執行。
應用程式控制是以軟體為基礎的安全性層級,會強制執行允許在電腦上執行的明確軟體清單。 應用程式控制本身沒有任何硬體或韌體必要條件。 使用 Configuration Manager 部署的應用程式控制原則會在目標集合中的裝置上啟用原則,以符合本文中所述的最低 Windows 版本和 SKU 需求。 或者,您可以透過支援硬體上的群組原則,啟用透過Configuration Manager部署之應用程式控制原則的 Hypervisor 型保護。
如需詳細資訊,請參閱 Windows Defender 應用程式控制部署指南。
注意事項
這項功能先前稱為 可設定的程式碼完整性和Device Guard。
搭配使用應用程式控制與Configuration Manager
您可以使用Configuration Manager來部署應用程式控制原則。 此原則可讓您設定在集合中的裝置上執行應用程式控制的模式。
您可以設定下列其中一種模式:
- 已啟用強制 執行 - 只允許執行信任的可執行檔。
- 僅稽 核 - 允許執行所有可執行檔,但記錄在本機用戶端事件記錄檔中執行的不受信任可執行檔。
當您部署應用程式控制原則時,可以執行哪些專案?
應用程式控制可讓您強力控制可在您管理的裝置上執行哪些專案。 這項功能對於高安全性部門中的裝置很有用,其中垃圾軟體必須無法執行。
當您部署原則時,通常可以執行下列可執行檔:
- Windows OS 元件
- 具有 Windows 硬體品質實驗室簽章的硬體開發人員中心驅動程式
- Microsoft Store apps
- Configuration Manager用戶端
- 所有透過裝置在處理應用程式控制原則後安裝Configuration Manager部署的軟體
- 從下列專案更新內建 Windows 元件:
- Windows Update
- 商務用 Windows Update
- Windows Server Update Services
- Configuration Manager
- 或者,具有良好信譽的軟體,由 Microsoft Intelligent Security Graph (ISG) 所決定。 ISG 包含 Windows Defender SmartScreen 和其他Microsoft服務。 裝置必須Windows Defender SmartScreen 執行,Windows 10 1709 版或更新版本,才能信任此軟體。
重要事項
這些專案不包含任何未內建于 Windows 的軟體,這些軟體會自動從網際網路或協力廠商軟體更新進行更新。 此限制適用于任何列出的更新機制或從網際網路安裝它們。 應用程式控制僅允許透過Configuration Manager用戶端部署的軟體變更。
支援的作業系統
若要搭配Configuration Manager使用應用程式控制,裝置必須執行支援的版本:
- Windows 11或更新版本,企業版
- Windows 10或更新版本,企業版
- Windows Server 2019 或更新版本
提示
使用 Configuration Manager 2006 版或更早版本建立的現有應用程式控制原則將無法與 Windows Server 搭配使用。 若要支援 Windows Server,請建立新的應用程式控制原則。
開始之前
在裝置上成功處理原則之後,Configuration Manager會設定為該用戶端上的受管理安裝程式。 原則處理之後,Configuration Manager部署的軟體會自動受到信任。 在裝置處理應用程式控制原則之前,Configuration Manager安裝的軟體不會自動受到信任。
注意事項
例如,您無法在作業系統部署期間,使用工作順序中的 [ 安裝 應用程式] 步驟來安裝應用程式。 如需詳細資訊,請 參閱工作順序步驟 - 安裝應用程式。
應用程式控制原則的預設合規性評估排程是每天。 此排程可在原則部署期間設定。 如果您發現原則處理發生問題,請將合規性評估排程設定為更頻繁。 例如,每小時。 此排程會指定用戶端在發生失敗時,重新嘗試處理應用程式控制原則的頻率。
不論您選取的強制模式為何,當您部署應用程式控制原則時,裝置都無法執行副檔名為 的
.htaHTML 應用程式。
建立應用程式控制原則
在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。
展開[Endpoint Protection],然後選取 [Windows Defender應用程式控制] 節點。
在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立應用程式控制原則]。
在 [建立應用程式控制原則精靈] 的 [一般] 頁面上,指定下列設定:
名稱:輸入此應用程式控制原則的唯一名稱。
描述:選擇性地輸入原則的描述,以協助您在Configuration Manager主控台中識別該原則。
強制重新開機裝置,以便對所有進程強制執行此原則:在裝置處理原則之後,會根據電腦重新開機的用戶端設定,在用戶端上排程重新開機。 目前在裝置上執行的應用程式在重新開機之前,將不會套用新的應用程式控制原則。 不過,在套用原則之後啟動的應用程式將會接受新的原則。
強制模式:選擇下列其中一個強制方法:
已啟用強制執行:只允許執行信任的應用程式。
僅稽核:允許所有應用程式執行,但記錄執行的不受信任程式。 稽核訊息位於本機用戶端事件記錄檔中。
在 [建立應用程式控制原則精靈] 的 [包含] 索引標籤上,選擇您是否要授權 Intelligent Security Graph 信任的軟體。
如果您想要在裝置上新增特定檔案或資料夾的信任,請選取 [ 新增]。 在 [ 新增信任的檔案或資料夾 ] 對話方塊中,您可以指定要信任的本機檔案或資料夾路徑。 您也可以在具有連線許可權的遠端裝置上指定檔案或資料夾路徑。 當您在應用程式控制原則中新增特定檔案或資料夾的信任時,您可以.
克服 Managed 安裝程式列為的問題。
信任您無法使用 Configuration Manager 部署的企業營運應用程式。
信任包含在 OS 部署映射中的應用程式。
完成精靈。
部署應用程式控制原則
在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。
展開[Endpoint Protection],然後選取 [Windows Defender應用程式控制] 節點。
從原則清單中,選取您要部署的原則。 在功能區的 [ 常用] 索引標籤上,選取 [ 部署 ] 群組中的 [ 部署應用程式控制原則]。
在 [ 部署應用程式控制原則 ] 對話方塊中,選取您要部署原則的集合。 然後設定用戶端評估原則時的排程。 最後,選取用戶端是否可以在任何已設定的維護期間之外評估原則。
當您完成時,請選取 [確定 ] 以部署原則。
監視應用程式控制原則
一般而言,請使用 監視合規性設定 一文中的資訊。 此資訊可協助您監視已部署的原則是否已正確套用至所有裝置。
若要監視應用程式控制原則的處理,請在裝置上使用下列記錄檔:
%WINDIR%\CCM\Logs\DeviceGuardHandler.log
若要確認特定軟體遭到封鎖或稽核,請參閱下列本機用戶端事件記錄檔:
若要封鎖和稽核可執行檔,請使用應用程式和服務記錄>Microsoft>Windows>程式碼完整性>作業。
若要封鎖和稽核 Windows Installer 和腳本檔案,請使用應用程式和服務記錄>Microsoft>Windows>AppLocker>MSI 和腳本。
安全性和隱私權資訊
在 [ 僅 稽核] 或 [強制 啟用 ] 模式中部署原則,但尚未重新開機以強制執行原則的裝置,容易受到安裝不受信任軟體的影響。 在此情況下,即使裝置重新開機或收到強制 啟用 模式的原則,軟體仍可能會繼續執行。
若要協助應用程式控制原則的有效性,請先在實驗室環境中準備裝置。 部署 [ 已啟用強制執行] 原則,然後重新開機裝置。 確認應用程式正常運作後,請將裝置提供給使用者。
請勿部署 已啟用強制 執行的原則,然後稍後將 具有僅稽核 的原則部署到相同的裝置。 此設定可能會導致允許執行不受信任的軟體。
當您使用Configuration Manager在裝置上啟用應用程式控制時,原則不會防止具有本機系統管理員許可權的使用者規避應用程式控制原則,或以其他方式執行不受信任的軟體。
防止具有本機系統管理員許可權的使用者停用應用程式控制的唯一方法是部署已簽署的二進位原則。 此部署可透過群組原則進行,但目前不支援Configuration Manager。
在裝置上將Configuration Manager設定為受控安裝程式會使用 Windows AppLocker 原則。 AppLocker 僅用來識別受管理的安裝程式。 所有強制執行都會在應用程式控制中執行。
後續步驟
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: