使用移动设备管理 (MDM) 部署 WDAC 策略

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。

可以使用移动设备管理 (MDM) 解决方案（如Microsoft Intune）在客户端计算机上配置Windows Defender应用程序控制 (WDAC) 。 Intune包括对 WDAC 的本机支持，这可能是一个有用的起点，但客户可能会发现可用的信任圈选项太有限。 若要通过Intune部署自定义策略并定义自己的信任圈，可以使用自定义 OMA-URI 配置配置文件。 如果组织使用另一个 MDM 解决方案，检查解决方案提供商了解 WDAC 策略部署步骤。

重要提示

由于已知问题，应始终在启用了内存完整性的系统上重新启动后激活新的已签名 WDAC 基本策略。 而不是移动设备管理 (MDM) ，而是通过脚本部署新的已签名 WDAC 基本策略，并在系统重启时激活策略。

此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。

使用Intune的内置策略

Intune的内置Windows Defender应用程序控制支持允许将 Windows 客户端计算机配置为仅运行：

• Windows 组件
• 第三方硬件和软件内核驱动程序
• Microsoft Store 签名的应用
• [可选]智能安全图 (ISG) 定义的信誉良好的应用

注意

Intune的内置策略使用 1903 年之前的单策略格式版本的 DefaultWindows 策略。 使用改进的 Intune WDAC 体验（目前以公共预览版提供）创建和部署多策略格式化文件。 或者，可以使用 Intune 的自定义 OMA-URI 功能部署自己的多策略格式 WDAC 策略，并利用 Windows 10 1903+ 或 Windows 11 上提供的功能，如本主题稍后所述。

注意

Intune当前使用 AppLocker CSP 部署其内置策略。 AppLocker CSP 在应用 WDAC 策略时始终请求设备重启。 使用改进的 Intune WDAC 体验（目前以公共预览版提供）部署自己的 WDAC 策略，而无需重启。 或者，可以将 Intune 的自定义 OMA-URI 功能与 ApplicationControl CSP 配合使用。

若要使用Intune的内置 WDAC 策略，请配置适用于 Windows 10 (和更高版本的 Endpoint Protection) 。

使用自定义 OMA-URI 部署 WDAC 策略

注意

通过Intune自定义 OMA-URI 部署的策略受 350,000 字节的限制。 客户应创建Windows Defender应用程序控制策略，以使用基于签名的规则、智能安全图和托管安装程序（如果可行）。 还鼓励设备运行 1903 多个 Windows 版本的客户使用 多个策略 ，以允许更精细的策略。

现在应将一个或多个 WDAC 策略转换为二进制格式。 如果没有，请按照部署Windows Defender应用程序控制 (WDAC) 策略中所述的步骤进行操作。

在 Windows 10 1903+ 上部署自定义 WDAC 策略

从 Windows 10 1903 开始，自定义 OMA-URI 策略部署可以使用 ApplicationControl CSP，该 CSP 支持多个策略和无重启策略。

注意

在使用 OMA-URI 进行部署之前，必须将自定义策略 XML 转换为二进制格式。

使用Intune的自定义 OMA-URI 功能的步骤如下：

1. 打开Microsoft Intune门户，并使用自定义设置创建配置文件。

2. 指定 “名称” 和 “说明 ”，并将以下值用于剩余的自定义 OMA-URI 设置：

   • OMA-URI： ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
   • 数据类型：Base64 (文件)
   • 证书文件：上传二进制格式策略文件。 为此，请将 {GUID}.cip 文件更改为 {GUID}.bin。 无需上传 Base64 文件，因为Intune代表你将上传的 .bin 文件转换为 Base64。

   

注意

对于 策略 GUID 值，请勿包含大括号。

删除 Windows 10 1903+ 上的 WDAC 策略

删除后，通过 applicationControl CSP 通过 Intune 部署的策略将从系统中删除，但在下次重新启动之前一直有效。 若要禁用Windows Defender应用程序控制强制实施，请先将现有策略替换为将“允许 *”的策略的新版本，如 %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml 的示例策略中的规则。 部署更新的策略后，可以从Intune门户删除策略。 此删除将防止阻止任何内容，并在下次重新启动时完全删除 WDAC 策略。

对于 1903 之前的系统

部署策略

使用 Intune 的自定义 OMA-URI 功能应用 AppLocker CSP 并将自定义 WDAC 策略部署到 1903 之前的系统的步骤如下：

1. 使用 ConvertFrom-CIPolicy cmdlet 将策略 XML 转换为二进制格式，以便进行部署。 二进制策略可以是有符号的，也可以是无符号的。

2. 打开Microsoft Intune门户，并使用自定义设置创建配置文件。

3. 指定 “名称” 和 “说明 ”，并将以下值用于剩余的自定义 OMA-URI 设置：

   • OMA-URI： ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
   • 数据类型：Base64 (文件)
   • 证书文件：上传二进制格式策略文件

   注意

   通过 AppLocker CSP 部署策略将在 OOBE 期间强制重启。

删除策略

无法通过 Intune 控制台删除通过 Intune 通过 AppLocker CSP 部署的策略。 若要禁用Windows Defender应用程序控制策略强制实施，请部署审核模式策略或使用脚本删除现有策略。