Windows Defender应用程序控制和 AppLocker 功能可用性

注意

Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 请查看下表了解详细信息。

功能 Windows Defender 应用程序控制 AppLocker
平台支持 适用于Windows 10、Windows 11和Windows Server 2016或更高版本。 适用于 Windows 8 或更高版本。
版本可用性 适用于Windows 10、Windows 11和Windows Server 2016或更高版本。
WDAC PowerShell cmdlet 在家庭版上不可用,但策略在所有版本上都有效。
Windows 10版本 2004 及更新版本的所有版本都支持策略,5024351。

早于版本 2004 的 Windows 版本,包括 Windows Server 2019:
  • 仅企业版和服务器版本支持通过 GP 部署的策略。
  • 所有版本都支持通过 MDM 部署的策略。
管理解决方案
  • Intune 仅通过 OMA-URI (自定义策略部署)
  • 仅通过软件分发Configuration Manager (自定义策略部署)
  • 组策略
  • PowerShell
    每用户和每用户组规则 (策略是设备范围的) ,则不可用。 在 Windows 8+ 上可用。
    内核模式策略 适用于Windows 10、Windows 11和Windows Server 2016或更高版本。 不可用。
    规则选项 11 - Disabled:Script Enforcement 适用于除 1607 LTSB、Windows 11 和 Windows Server 2019 及更高版本以外的所有版本的 Windows 10。 Disabled:脚本强制Windows Server 2016Windows 10 1607 LTSB 上不受支持,不应在这些平台上使用。 这样做会导致意外的脚本强制行为。 MSI 和脚本规则集合可单独配置。
    按应用规则 适用于 Windows 10、Windows 11 和 Windows Server 2019 或更高版本。 不可用。
    托管安装程序 (MI) 适用于 Windows 10、Windows 11 和 Windows Server 2019 或更高版本。 不可用。
    基于信誉的智能 适用于 Windows 10、Windows 11 和 Windows Server 2019 或更高版本。 不可用。
    多策略支持 适用于 Windows 10、版本 1903 及更高版本、Windows 11和 Windows Server 2022。 不可用。
    基于路径的规则 适用于 Windows 10、版本 1903 及更高版本、Windows 11和 Windows Server 2022 或更高版本。 不支持排除项。 默认情况下强制实施运行时用户可写性检查。 在 Windows 8+ 上可用。 支持排除项。 没有运行时用户可写性检查。
    COM 对象允许列表 适用于 Windows 10、Windows 11 和 Windows Server 2019 或更高版本。 不可用。
    打包的应用规则 适用于 Windows 10、Windows 11 和 Windows Server 2019 或更高版本。 在 Windows 8+ 上可用。
    强制实施文件类型
    • 驱动程序文件:.sys
    • 可执行文件:.exe 和 .com
    • DLL:.dll 和 .ocx
    • Windows Installer 文件:.msi、.mst 和 .msp
    • 脚本:.ps1、.vbs 和 .js
    • 打包的应用和打包的应用安装程序:.appx
    • 可执行文件:.exe 和 .com
    • [可选]DLL:.dll、.rll 和 .ocx
    • Windows Installer 文件:.msi、.mst 和 .msp
    • 脚本:.ps1、.bat、.cmd、.vbs 和 .js
    • 打包的应用和打包的应用安装程序:.appx
    应用程序 ID (AppId) 标记 适用于 Windows 10、版本 20H1 及更高版本以及 Windows 11。 不可用。