使用 Configuration Manager 的 Windows Defender 應用程控管理
適用於:Configuration Manager (目前的分支)
Windows Defender 應用程控的設計目的是要保護裝置免於遭受惡意代碼和其他不受信任的軟體攻擊。 它可確保只能執行您知道的已核准程序代碼,以防止惡意代碼執行。
應用程控是以軟體為基礎的安全性層級,會強制執行允許在計算機上執行的明確軟體清單。 應用程控本身沒有任何硬體或韌體必要條件。 使用 Configuration Manager 部署的應用程控原則會在目標集合中的裝置上啟用原則,以符合本文中所述的最低 Windows 版本和 SKU 需求。 或者,您可以透過支持硬體上的組策略,啟用透過 Configuration Manager 部署之應用程控原則的 Hypervisor 型保護。
如需詳細資訊,請參閱 Windows Defender 應用程控部署指南。
注意事項
這項功能先前稱為 可設定的程式代碼完整性和Device Guard。
搭配使用應用程控與 Configuration Manager
您可以使用 Configuration Manager 來部署應用程控原則。 此原則可讓您設定在集合中的裝置上執行應用程控的模式。
您可以設定下列其中一種模式:
- 已啟用強制 執行 - 只允許執行信任的可執行檔。
- 僅稽 核 - 允許執行所有可執行檔,但記錄在本機用戶端事件記錄檔中執行的不受信任可執行檔。
當您部署應用程控原則時,可以執行哪些專案?
應用程控可讓您強力控制可在您管理的裝置上執行哪些專案。 這項功能對於高安全性部門中的裝置很有用,其中垃圾軟體必須無法執行。
當您部署原則時,通常可以執行下列可執行檔:
- Windows OS 元件
- 具有 Windows 硬體質量實驗室簽章的硬體開發人員中心驅動程式
- Microsoft Store apps
- Configuration Manager用戶端
- 所有透過裝置在處理應用程控原則後安裝 Configuration Manager 部署的軟體
- 從下列專案 匯報 內建 Windows 元件:
- Windows Update
- 商務用 Windows Update
- Windows Server Update Services
- Configuration Manager
- 或者,Microsoft Intelligent Security Graph (ISG) 決定具有良好信譽的軟體。 ISG 包含 Windows Defender SmartScreen 和其他Microsoft服務。 裝置必須執行 Windows Defender SmartScreen,Windows 10 1709 版或更新版本,才能信任此軟體。
重要事項
這些專案不包含任何未內建於 Windows 的軟體,這些軟體會自動從因特網或第三方軟體更新進行更新。 此限制適用於任何列出的更新機制或從因特網安裝它們。 應用程控只允許透過 Configuration Manager 用戶端部署的軟體變更。
支援的作業系統
若要搭配 Configuration Manager 使用應用程控,裝置必須執行支援的版本:
- Windows 11 或更新版本,企業版
- Windows 10 或更新版本,企業版
- Windows Server 2019 或更新版本
提示
使用 Configuration Manager 2006 版或更早版本建立的現有應用程控原則將無法與 Windows Server 搭配使用。 若要支援 Windows Server,請建立新的應用程控原則。
開始之前
在裝置上成功處理原則之後,Configuration Manager 會設定為該用戶端上的受管理安裝程式。 原則處理之後,Configuration Manager 部署的軟體會自動受到信任。 在裝置處理應用程控原則之前,Configuration Manager 安裝的軟體不會自動受到信任。
注意事項
例如,您無法在作業系統部署期間,使用工作順序中的 [ 安裝 應用程式] 步驟來安裝應用程式。 如需詳細資訊,請 參閱工作順序步驟 - 安裝應用程式。
應用程控原則的預設合規性評估排程是每天。 此排程可在原則部署期間設定。 如果您發現原則處理發生問題,請將合規性評估排程設定為更頻繁。 例如,每小時。 此排程會指定客戶端在發生失敗時,重新嘗試處理應用程控原則的頻率。
不論您選取的強制模式為何,當您部署應用程控原則時,裝置都無法執行擴展名為的
.hta
HTML 應用程式。
建立應用程控原則
在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。
展開 [Endpoint Protection],然後選取 [Windows Defender 應用程控] 節點。
在功能區的 [ 常用] 索引標籤上,選取 [ 建立 ] 群組中的 [ 建立應用程控原則]。
在 [建立應用程控原則精靈] 的 [一般] 頁面上,指定下列設定:
名稱:輸入此應用程控原則的唯一名稱。
描述:選擇性地輸入原則的描述,以協助您在 Configuration Manager 控制台中識別該原則。
強制重新啟動裝置,以便對所有進程強制執行此原則:在裝置處理原則之後,會根據計算機重新啟動的客戶端設定,在用戶端上排程重新啟動。 目前在裝置上執行的應用程式在重新啟動之前,將不會套用新的應用程控原則。 不過,在套用原則之後啟動的應用程式將會接受新的原則。
強制模式:選擇下列其中一個強制方法:
已啟用強制執行:只允許執行信任的應用程式。
僅稽核:允許所有應用程式執行,但記錄執行的不受信任程式。 稽核訊息位於本機用戶端事件記錄檔中。
在 [建立應用程控原則精靈] 的 [包含] 索引卷標上,選擇您是否要授權 Intelligent Security Graph 信任的軟體。
如果您想要在裝置上新增特定檔案或資料夾的信任,請選取 [ 新增]。 在 [ 新增信任的檔案或資料夾 ] 對話方塊中,您可以指定要信任的本機檔案或資料夾路徑。 您也可以在具有連線許可權的遠端裝置上指定檔案或資料夾路徑。 當您在應用程控原則中新增特定檔案或資料夾的信任時,您可以.
克服 Managed 安裝程式行為的問題。
信任您無法使用 Configuration Manager 部署的企業營運應用程式。
信任包含在 OS 部署映像中的應用程式。
完成精靈。
部署應用程控原則
在 Configuration Manager 主控台中,移至 [資產與合規性] 工作區。
展開 [Endpoint Protection],然後選取 [Windows Defender 應用程控] 節點。
從原則清單中,選取您要部署的原則。 在功能區的 [ 常用] 索引標籤上,選取 [ 部署 ] 群組中的 [ 部署應用程控原則]。
在 [ 部署應用程控原則 ] 對話框中,選取您要部署原則的集合。 然後設定客戶端評估原則時的排程。 最後,選取用戶端是否可以在任何已設定的維護期間之外評估原則。
當您完成時,請選取 [確定 ] 以部署原則。
監視應用程控原則
一般而言,請使用 監視合規性設定 一文中的資訊。 此資訊可協助您監視已部署的原則是否已正確套用至所有裝置。
若要監視應用程控原則的處理,請在裝置上使用下列記錄檔:
%WINDIR%\CCM\Logs\DeviceGuardHandler.log
若要確認特定軟體遭到封鎖或稽核,請參閱下列本機用戶端事件記錄檔:
若要封鎖和稽核可執行檔,請使用 應用程式和服務記錄>Microsoft>Windows>程式代碼完整性>作業。
若要封鎖和稽核 Windows Installer 和腳本檔案,請使用 應用程式和服務記錄>Microsoft>Windows>AppLocker>MSI 和腳本。
安全性和隱私權資訊
在 [ 僅 稽核] 或 [強制 啟用 ] 模式中部署原則,但尚未重新啟動以強制執行原則的裝置,容易受到安裝不受信任軟體的影響。 在此情況下,即使裝置重新啟動或收到強制 啟用 模式的原則,軟體仍可能會繼續執行。
若要協助應用程控原則的有效性,請先在實驗室環境中準備裝置。 部署 [ 已啟用強制執行] 原則,然後重新啟動裝置。 確認應用程式正常運作後,請將裝置提供給使用者。
請勿部署 已啟用強制 執行的原則,然後稍後將 具有僅稽核 的原則部署到相同的裝置。 此設定可能會導致允許執行不受信任的軟體。
當您使用 Configuration Manager 在裝置上啟用應用程控時,原則不會防止具有本機系統管理員許可權的使用者規避應用程控原則,或以其他方式執行不受信任的軟體。
防止具有本機系統管理員許可權的使用者停用應用程控的唯一方法是部署已簽署的二進位原則。 此部署可透過組策略進行,但目前不支援 Configuration Manager。
在裝置上將 Configuration Manager 設定為受管理的安裝程式,會使用 Windows AppLocker 原則。 AppLocker 僅用來識別受管理的安裝程式。 所有強制執行都會在應用程控中執行。