Windows Defender应用程序控制和 AppLocker 概述

  • 项目

适用于:

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更高版本

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性

Windows 10和Windows 11包括两种可用于应用程序控制的技术,具体取决于组织的特定方案和要求:Windows Defender应用程序控制 (WDAC) 和 AppLocker。

Windows Defender 应用程序控制

Windows Defender应用程序控制随 Windows 10 一起引入,使组织能够控制允许哪些驱动程序和应用程序在其 Windows 客户端上运行。 它设计为服务条件下的安全功能,由 Microsoft 安全响应中心 (MSRC) 定义。

Windows Defender应用程序控制策略作为一个整体应用于托管计算机,并影响设备的所有用户。 WDAC 规则可以基于以下内容定义:

  • 用于对应用及其二进制文件进行签名的代码签名证书 () 的属性
  • 来自文件的已签名元数据的应用二进制文件的属性,例如原始文件名和版本或文件的哈希
  • 应用的信誉(由 Microsoft 的 Intelligent Security Graph 确定)
  • 启动安装应用及其二进制文件的进程标识 (托管安装程序)
  • 从Windows 10版本 1903 开始启动应用或文件的路径 ()
  • 启动应用或二进制文件的进程

在 Windows 10 版本 1709 之前,Windows Defender应用程序控制称为可配置代码完整性 (CCI) 。 WDAC 也是构成现已失效的术语“Device Guard”的功能之一。

WDAC 系统要求

Windows Defender应用程序控制 (WDAC) 策略可以在任何客户端版本的 Windows 10 内部版本 1903+、Windows 11或 Windows Server 2016 及更高版本上创建。

WDAC 策略可以通过移动设备管理 (MDM) 解决方案(例如,Intune、管理界面等)将 WDAC 策略应用于运行任何版本的 Windows 10、Windows 11 或 Configuration Manager Windows Server 2016 及更高版本的设备;或脚本主机,例如 PowerShell。 组策略还可用于将 WDAC 策略部署到Windows 10和Windows 11 企业版版本,或Windows Server 2016及更高版本,但不能将策略部署到运行 Windows 10 的非企业 SKU 的设备。

有关特定 WDAC 版本中可用的单个 WDAC 功能的详细信息,请参阅 WDAC 功能可用性

AppLocker

AppLocker 随 Windows 7 一起引入,它允许组织控制允许哪些应用程序在其 Windows 客户端上运行。 AppLocker 有助于防止最终用户在其计算机上运行未经批准的软件,但不符合作为安全功能的服务条件。

AppLocker 策略可以应用于计算机上的所有用户,也可以应用于单个用户和组。 AppLocker 规则可以基于以下项定义:

  • 用于对应用及其二进制文件进行签名的代码签名证书 () 的属性
  • 来自文件的已签名元数据的应用二进制文件的属性,例如原始文件名和版本或文件的哈希
  • 从中启动应用或文件的路径

AppLocker 系统要求

AppLocker 策略只能在 Windows 操作系统的受支持版本上运行的设备进行配置并应用于这些策略。 有关详细信息,请参阅 AppLocker 的使用要求。 可以使用 组策略 或 MDM 部署 AppLocker 策略。

选择何时使用 WDAC 或 AppLocker

通常,建议能够使用Windows Defender应用程序控制(而不是 AppLocker)实现应用程序控制的客户这样做。 WDAC 正在不断改进,并将从Microsoft管理平台获得额外的支持。 尽管 AppLocker 将继续接收安全修补程序,但它不会进行新功能改进。

但是,在某些情况下,AppLocker 可能是更适合你的组织的技术。 在以下情况下,AppLocker 是最佳选择:

  • 你有一个混合的 Windows 操作系统 (操作系统) 环境,需要将相同的策略控制应用于Windows 10和早期版本的操作系统。
  • 你需要为共享计算机上的不同用户或组应用不同的策略。
  • 你不希望对应用程序文件(如 DLL 或驱动程序)强制实施应用程序控制。

还可以部署 AppLocker 作为Windows Defender应用程序控制 (WDAC) 的补充,以便为共享设备方案添加特定于用户或组的规则,其中必须防止某些用户运行特定应用。 最佳做法是,应在组织尽可能限制性最严格的级别强制实施 WDAC,然后使用 AppLocker 进一步微调限制。