使用 Microsoft Configuration Manager 部署 WDAC 策略
注意
Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解 应用程序控制功能可用性。
可以使用 Microsoft Configuration Manager 在客户端计算机上配置Windows Defender应用程序控制 (WDAC) 。
使用 Configuration Manager 的内置策略
Configuration Manager包括对 WDAC 的本机支持,它允许使用仅允许以下策略配置Windows 10和Windows 11客户端计算机:
- Windows 组件
- Microsoft Store 应用
- Configuration Manager (Configuration Manager自行配置为托管安装程序的应用)
- (智能安全图 (ISG) 定义的可选) 信誉良好应用
- (可选) 应用和可执行文件已安装在管理员可定义的文件夹位置,Configuration Manager允许在托管终结点上创建策略期间进行一次性扫描。
Configuration Manager部署后不会删除策略。 若要停止强制实施,应将策略切换到审核模式,这将产生相同的效果。 如果要禁用Windows Defender应用程序控制 (WDAC) (包括审核模式) ,则可以部署脚本以从磁盘中删除策略文件,并触发重新启动或等待下次重新启动。
在 Configuration Manager 中创建 WDAC 策略
选择“资产和符合性>终结点保护>Windows Defender应用程序控制>创建应用程序控制策略
输入策略>的名称“下一步”
启用 “强制重启设备”,以便对所有进程强制实施此策略
选择希望策略运行 (已启用强制/仅审核)
选择“ 下一步”
选择“ 添加” ,开始为受信任的软件创建规则
选择“文件”或“文件夹”以创建路径规则>“浏览”
选择路径规则>“确定”的可执行文件或文件夹
选择 “确定” ,将规则添加到受信任文件或文件夹的表中
选择“下一步”导航到摘要页>“关闭”
在 Configuration Manager 中部署 WDAC 策略
右键单击新创建的策略>“部署应用程序控制策略”
选择“浏览”
选择之前>创建的“确定”设备集合
更改计划 >确定
有关使用 Configuration Manager 的本机 WDAC 策略的详细信息,请参阅使用 Configuration Manager Windows Defender 应用程序控制管理。
下载Configuration Manager实验室论文中的整个 WDAC。
使用包/程序或任务序列部署自定义 WDAC 策略
使用Configuration Manager的内置策略可能是一个有用的起点,但客户可能会发现信任圈选项在Configuration Manager过于限制。 若要定义自己的信任圈,可以使用 Configuration Manager 通过软件分发包和程序或操作系统部署任务序列使用基于脚本的部署部署自定义 WDAC 策略。
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈