使用 Windows Defender 应用程序控制策略控制特定插件、外接程序和模块
注意
Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。
可以使用Windows Defender应用程序控制 (WDAC) 策略来控制应用程序,还可以控制特定插件、加载项和模块是否可以从特定应用 (运行,例如业务线应用程序或浏览器) :
| 方法 | 指南 |
|---|---|
| 你可以使用只允许一个特定应用程序运行的插件、加载项或模块的列表。 将阻止其他的应用程序运行这些插件、加载项或模块。 | 将 New-CIPolicyRule 与 -AppID 选项一起使用。 |
| 此外,还可以使用要在特定应用程序中阻止的插件、加载项或模块列表。 将允许其他的应用程序运行这些插件、加载项或模块。 | 将 New-CIPolicyRule 和 -AppID 及 -Deny 选项一起使用。 |
例如,若要将规则添加到名为“Lamna_FullyManagedClients_Audit.xml”的 WDAC 策略,以允许 ERP1.exe 运行addin1.dll和 addin2.dll,Lamna 的企业资源规划 (ERP) 应用程序,请运行以下命令。 在第二个命令中, += 用于将第二个规则添加到 $rule 变量:
$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin1.dll' -Level FileName -AppID '.\ERP1.exe'
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin2.dll' -Level FileName -AppID '.\ERP1.exe'
另一个示例是,若要创建阻止 addin3.dll 在 Microsoft Word 中运行的Windows Defender应用程序控制策略,请运行以下命令。 必须包含 选项以 -Deny 阻止指定应用程序中的指定加载项。 拥有所需的所有规则后,可以使用 Merge-CIPolicy cmdlet 将它们合并到现有 WDAC 策略中,如下所示:
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin3.dll' -Level FileName -Deny -AppID '.\winword.exe'
Merge-CIPolicy -OutputFilePath .\Lamna_FullyManagedClients_Audit.xml -PolicyPaths .\Lamna_FullyManagedClients_Audit.xml -Rules $rule
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈