Windows Defender应用程序控制和 AppLocker 概述

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解 WDAC 功能可用性。

Windows 10和Windows 11包括两种可用于应用程序控制的技术，具体取决于组织的特定方案和要求：Windows Defender应用程序控制 (WDAC) 和 AppLocker。

Windows Defender 应用程序控制

WDAC 随 Windows 10 一起引入，使组织能够控制允许哪些驱动程序和应用程序在其 Windows 客户端上运行。 它设计为根据 Microsoft 安全响应中心 (MSRC) 定义的 服务条件的安全功能。

WDAC 策略作为一个整体应用于托管计算机，并影响设备的所有用户。 WDAC 规则可以基于以下内容定义：

• 用于对应用及其二进制文件进行签名的代码签名证书 () 的属性
• 来自文件的已签名元数据的应用二进制文件的属性，例如原始文件名和版本或文件的哈希
• Microsoft 智能安全图确定的应用信誉
• 启动安装应用及其二进制文件的进程标识 (托管安装程序)
• 从Windows 10版本 1903 开始启动应用或文件的路径 ()
• 启动应用或二进制文件的进程

注意

WDAC 最初作为 Device Guard 的一部分发布，称为可配置代码完整性。 除了通过组策略查找部署 WDAC 策略的位置外，不再使用 Device Guard 和可配置的代码完整性。

WDAC 系统要求

WDAC 策略可以在Windows 10或Windows 11的任何客户端版本上创建和应用，也可以在Windows Server 2016及更高版本上创建和应用。 可以通过移动设备管理 (MDM) 解决方案部署 WDAC 策略，例如，Intune、管理接口（如 Configuration Manager）或脚本主机（如 PowerShell）。 组策略还可用于部署 WDAC 策略，但仅限于适用于 Windows Server 2016 和 2019 的单策略格式策略。

有关特定 WDAC 版本中可用的单个 WDAC 功能的详细信息，请参阅 WDAC 功能可用性。

AppLocker

AppLocker 随 Windows 7 一起引入，它允许组织控制允许哪些应用程序在其 Windows 客户端上运行。 AppLocker 有助于防止最终用户在其计算机上运行未经批准的软件，但不符合作为安全功能的服务条件。

AppLocker 策略可以应用于计算机上的所有用户，也可以应用于单个用户和组。 AppLocker 规则可以基于以下项定义：

• 代码签名证书的属性 (用于对应用及其二进制文件进行签名的) 。
• 来自文件的已签名元数据的应用二进制文件的属性，例如原始文件名和版本或文件的哈希。
• 从中启动应用或文件的路径。

WDAC 的某些功能也使用 AppLocker，包括 托管安装程序 和 智能安全图。

AppLocker 系统要求

AppLocker 策略只能在 Windows 操作系统的受支持版本上运行的设备进行配置并应用于这些策略。 有关详细信息，请参阅 AppLocker 的使用要求。 可以使用 组策略 或 MDM 部署 AppLocker 策略。

选择何时使用 WDAC 或 AppLocker

通常，能够使用 WDAC（而不是 AppLocker）实现应用程序控制的客户应这样做。 WDAC 正在不断改进，并正在从 Microsoft 管理平台获得更多支持。 尽管 AppLocker 继续收到安全修补程序，但它并没有获得新功能改进。

但是，在某些情况下，AppLocker 可能是更适合组织的技术。 在以下情况下，AppLocker 是最佳选择：

• 你有一个混合的 Windows 操作系统 (操作系统) 环境，需要将相同的策略控制应用于Windows 10和早期版本的操作系统。
• 你需要为共享计算机上的不同用户或组应用不同的策略。
• 你不希望对应用程序文件（如 DLL 或驱动程序）强制实施应用程序控制。

AppLocker 还可以部署为 WDAC 的补充，以便为共享设备方案添加特定于用户或组的规则，其中防止某些用户运行特定应用非常重要。 最佳做法是，应在组织尽可能限制性最严格的级别强制实施 WDAC，然后使用 AppLocker 进一步微调限制。