规划Windows Defender应用程序控制生命周期策略管理

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。

本文介绍建立管理和维护Windows Defender应用程序控制 (WDAC) 策略的过程时需要做出的决策。

策略 XML 生命周期管理

实现应用程序控制的第一步是考虑如何随着时间的推移管理和维护策略。 开发用于管理Windows Defender应用程序控制策略的过程有助于确保 WDAC 继续有效控制允许应用程序在组织中运行的方式。

大多数Windows Defender应用程序控制策略将随时间推移而发展，并在其生存期内经历一组可识别阶段。 通常，这些阶段包括：

1. 定义 (或优化) 策略的“信任圈” ，并生成策略 XML 的审核模式版本。 在审核模式下，会生成阻止事件，但不会阻止文件执行。
2. 将审核模式策略 部署到预期设备。
3. 监视来自预期设备的审核块事件，并根据需要添加/编辑/删除规则，以解决意外/不需要的块。
4. 重复步骤 2-3，直到剩余的块事件符合预期。
5. 生成策略的强制模式版本 。 在强制模式下，将阻止策略允许的文件运行，并生成相应的块事件。
6. 将强制模式策略部署到 预期设备。 建议在广泛部署策略之前，对强制策略使用分阶段推出来检测和响应问题。
7. 每当所需的“信任圈”发生更改时，重复步骤 1-6。

将 WDAC 策略保留在源代码管理或文档管理解决方案中

若要有效地管理Windows Defender应用程序控制策略，应将策略 XML 文档存储在中央存储库中，以便负责 WDAC 策略管理的每个人都可以访问该存储库。 我们建议使用源代码管理解决方案（如 GitHub）或文档管理解决方案（如 Office 365 SharePoint），该解决方案提供版本控制并允许指定有关 XML 文档的元数据。

为每个策略设置 PolicyName、PolicyID 和 Version 元数据

使用 Set-CIPolicyIDInfo cmdlet 为每个策略提供描述性名称并设置唯一的策略 ID。 这些唯一属性有助于在查看Windows Defender应用程序控制事件或查看策略 XML 文档时区分每个策略。 虽然可以为 PolicyId 指定字符串值，但对于使用多策略格式的策略，我们建议使用 -ResetPolicyId 开关，让系统自动生成策略的唯一 ID。

注意

PolicyID 仅适用于在运行 Windows 10、版本 1903 及更高版本或 Windows 11 的计算机上使用多个策略格式的策略。 在为 1903 年前的计算机创建的策略上运行 -ResetPolicyId 会将该策略转换为多种策略格式，并阻止它在早期版本的 Windows 10 上运行。 每个策略只能设置一次 PolicyID，并使用不同的 PolicyID 来审核每个策略的强制模式版本。

此外，建议在对策略进行更改时使用 Set-CIPolicyVersion cmdlet 来递增策略的内部版本号。 版本必须定义为由四部分构成的标准版本字符串 (例如“1.0.0.0”) 。

策略规则更新

在部署新应用或软件发布者更新现有应用时，可能需要修改策略，以确保应用正常运行。 是否需要策略规则更新将在很大程度上取决于策略包含的规则类型。 基于代码签名证书的规则在应用更改时提供最大的复原能力，而基于文件属性或哈希的规则在应用更改时最可能需要更新。 或者，如果使用 WDAC 托管安装程序 功能并通过托管安装程序一致地部署所有应用及其更新，则不太可能需要策略更新。

WDAC 事件管理

每次 WDAC 阻止进程时，事件都会写入 CodeIntegrity\Operational 或 AppLocker\MSI 和脚本 Windows 事件日志。 事件描述尝试运行的文件、该文件的属性及其签名，以及尝试运行被阻止文件的进程。

在中心位置收集这些事件有助于维护Windows Defender应用程序控制策略并排查规则配置问题。 可以使用 Azure Monitor 代理自动收集 WDAC 事件进行分析。

此外，Microsoft Defender for Endpoint收集可使用高级搜寻功能查询的 WDAC 事件。

应用程序和用户支持策略

注意事项包括：

• 为被阻止的应用程序提供哪种类型的最终用户支持？
• 如何将新规则添加到策略？
• 如何更新现有规则？
• 是否转发事件以供审阅？

技术支持支持

如果组织已建立技术支持支持部门，请在部署Windows Defender应用程序控制策略时考虑以下几点：

• 支持部门需要哪些文档来部署新策略？
• 每个业务组中的工作流和时间安排中哪些关键流程将受到应用程序控制策略的影响？它们如何影响支持部门的工作负荷？
• 谁是支持部门的联系人？
• 支持部门将如何解决最终用户与维护Windows Defender应用程序控制规则的资源之间的应用程序控制问题？

最终用户支持

由于应用程序控制Windows Defender会阻止未经批准的应用运行，因此组织必须仔细规划如何提供最终用户支持。 注意事项包括：

• 是否要使用 Intranet 站点作为对尝试运行被阻止应用的用户的支持一线？
• 你希望如何支持策略的例外？ 是否允许用户运行脚本以暂时允许访问被阻止的应用？

记录计划

确定组织将如何管理Windows Defender应用程序控制策略后，记录你的发现结果。

• 最终用户支持策略。 记录用于处理尝试运行已阻止应用的用户的呼叫的过程，并确保支持人员具有明确的升级步骤，以便管理员在必要时可以更新Windows Defender应用程序控制策略。
• 事件处理。 记录是否在名为存储的中心位置收集事件、存储的存档方式以及是否处理事件进行分析。
• 策略管理。 详细说明计划了哪些策略、如何管理这些策略，以及如何随时间推移维护规则。