使用 组策略 部署Windows Defender应用程序控制策略

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。

重要提示

由于已知问题，应始终在启用了内存完整性的系统上重新启动后激活新的已签名 WDAC 基本策略。 无需组策略，而是通过脚本部署新的已签名 WDAC 基本策略，并在系统重启时激活策略。

此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。

单策略格式Windows Defender应用程序控制策略 (1903 年之前的策略架构) 可以使用组策略轻松部署和管理。

重要提示

基于组策略部署Windows Defender应用程序控制策略仅支持单策略格式 WDAC 策略。 若要在运行 Windows 10 1903 及更高或Windows 11的设备上使用 WDAC，我们建议使用替代方法进行策略部署。

现在应将 WDAC 策略转换为二进制格式。 如果没有，请按照部署Windows Defender应用程序控制 (WDAC) 策略中所述的步骤进行操作。

以下过程将引导你了解如何使用名为 Contoso GPO Test 的 GPO 将名为 SiPolicy.p7b 的 WDAC 策略部署到名为“已启用 WDAC 的电脑”的测试 OU。

若要使用组策略部署和管理Windows Defender应用程序控制策略，请执行以下操作：

1. 在安装了 RSAT 的客户端计算机上，通过运行 GPMC.MSC 打开 GPMC

2. 创建新的 GPO：右键单击某个 OU，然后选择“ 在此域中创建 GPO”，并将其链接到此处。

   注意

   可以使用任何 OU 名称。 此外，在考虑将 WDAC 策略组合 (或将它们分开) 的不同方法时，安全组筛选也是一个选项，如规划Windows Defender应用程序控制生命周期策略管理中所述。

   

3. 为新 GPO 命名。 可以选择任何名称。

4. 打开组策略管理编辑器：右键单击新 GPO，然后选择“编辑”。

5. 在所选 GPO 中，导航到“计算机配置\管理模板\System\Device Guard”。 右键单击“部署Windows Defender应用程序控制”，然后选择“编辑”。

   

6. 在“部署Windows Defender应用程序控制”对话框中，选择“已启用”选项，然后指定 WDAC 策略部署路径。

   在此策略设置中，可以指定策略将存在于每台客户端计算机上的本地路径，或者指定通用命名约定 (UNC) 路径，客户端计算机将查找该路径来检索策略的最新版本。 例如，使用部署Windows Defender应用程序控制 (WDAC) 策略中所述步骤的 SiPolicy.p7b 的路径将是 %USERPROFILE%\Desktop\SiPolicy.p7b。

   注意

   无需将此策略文件复制到每台计算机。 相反，可以将 WDAC 策略复制到所有计算机帐户都有权访问的文件共享中。 你在此处选择的所有策略都将转换为 SIPolicy.p7b，前提是它已部署到个别客户端计算机。

   

   注意

   你可能已注意到 GPO 设置引用 .p7b 文件，但文件扩展名和策略二进制文件的名称并不重要。 无论策略二进制文件的名称如何，在应用于运行Windows 10的客户端计算机时，它们都会转换为 SIPolicy.p7b。 如果要将不同的 WDAC 策略部署到不同的设备集，你可能希望为每个 WDAC 策略指定一个友好名称，并允许系统为你转换策略名称，以确保在共享或任何其他中央存储库中查看时可以轻松区分策略。

7. 关闭组策略管理编辑器，然后重启 Windows 测试计算机。 重启计算机将更新 WDAC 策略。