使用多个Windows Defender应用程序控制策略

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。

从 Windows 10 版本 1903 和 Windows Server 2022 开始，可以在设备上并行部署多个Windows Defender应用程序控制 (WDAC) 策略。 若要允许超过 32 个活动策略，请安装 2024 年 4 月 9 日或之后发布的 Windows 安全更新，然后重启设备。 通过这些更新，可以一次性部署到给定设备的策略数量没有限制。 在安装 2024 年 4 月 9 日或之后发布的 Windows 安全更新之前，你的设备限制为 32 个活动策略，并且不能超过该数量。

注意

策略限制未在 21H2 Windows 11 删除，并且仍限制为 32 个策略。

下面是多个并行策略非常有用的一些常见方案：

1. 并行强制实施和审核
   • 若要在强制模式下部署之前验证策略更改，用户现在可以与现有强制模式基本策略并排部署审核模式基本策略
2. 多个基本策略
   • 用户可以同时强制实施两个或多个基本策略，以便对具有不同范围/意向的策略进行更简单的策略目标
   • 如果设备上存在两个基本策略，则应用程序必须传递这两个策略才能运行
3. 补充策略
   • 用户可以部署一个或多个补充策略来扩展基本策略
   • 补充策略扩展单个基本策略，多个补充策略可以扩展同一基本策略
   • 对于补充策略，基本策略或其补充策略允许的应用程序将运行

注意

1903 之前的系统不支持使用多策略格式 WDAC 策略。

基础策略和补充策略交互

• 多个基本策略：交集
  • 仅这两个策略允许的应用程序运行而不生成块事件
• 基本 + 补充策略：联合
  • 基本策略或补充策略运行允许的文件

以多个策略格式创建 WDAC 策略

为了允许多个策略在单个系统上存在并生效，必须使用新的多策略格式创建策略。 New-CIPolicy 中的“MultiplePolicyFormat”开关为策略 ID 生成 1) 唯一值，) 设置为基本策略的策略类型生成 2 个唯一值。 以下示例介绍了以多个策略格式创建新策略的过程。

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

（可选）可以选择使新的基本策略允许补充策略。

Set-RuleOption -FilePath ".\policy.xml" -Option 17

对于允许补充策略的已签名基本策略，请确保定义了补充签名者。 使用 Add-SignerRule 中的补充开关提供补充签名者。

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

补充策略创建

若要创建补充策略，请首先以多策略格式创建新策略，如前所述。 在此处，使用 Set-CIPolicyIdInfo 将其转换为补充策略，并指定它扩展的基策略。 可以使用 SupplementsBasePolicyID 或 BasePolicyToSupplementPath 指定基本策略。

• “SupplementsBasePolicyID”：补充策略应用于的基本策略的 GUID
• “BasePolicyToSupplementPath”：适用于补充策略的基本策略文件的路径

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

合并策略

合并策略时，将使用最左侧/第一个指定的策略的策略类型和 ID。 如果最左侧是具有 ID <ID> 的基本策略，则无论任何后续策略的 GUID 和类型是什么，合并的策略都是具有 ID <ID> 的基础策略。

部署多个策略

若要部署多个Windows Defender应用程序控制策略，必须通过将策略文件复制到*.cip适当的文件夹或使用 ApplicationControl CSP 在本地部署这些策略。

在本地部署多个策略

若要使用新的多策略格式在本地部署策略，请执行以下步骤：

1. 确保二进制策略文件具有正确的命名格式 {PolicyGUID}.cip。
   • 确保二进制策略文件的名称与策略中的 PolicyID GUID 完全相同
   • 例如，如果策略 XML 的 ID 为 <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>，则二进制策略文件的正确名称为 {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip。
2. 将二进制策略复制到 C:\Windows\System32\CodeIntegrity\CiPolicies\Active。
3. 重新启动系统。

通过 ApplicationControl CSP 部署多个策略

可以通过 ApplicationControl 配置服务提供程序从 MDM 服务器管理多个Windows Defender应用程序控制策略， (CSP) 。 CSP 还提供对无重启策略部署的支持。

但是，从 MDM 服务器取消注册策略时，CSP 会尝试删除未主动部署的每个策略，而不仅仅是 CSP 添加的策略。 发生此行为的原因是系统不知道使用哪些部署方法来应用单个策略。

有关部署多个策略（可选）使用Microsoft Intune的自定义 OMA-URI 功能的详细信息，请参阅 ApplicationControl CSP。

注意

WMI 和 GP 当前不支持多个策略。 相反，无法直接访问 MDM 堆栈的客户应通过 MDM 桥 WMI 提供程序使用 ApplicationControl CSP 来管理多个策略格式Windows Defender应用程序控制策略。