Windows 应用程序控制

适用于:

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更高版本

备注

Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性

由于每天会创建数千个新的恶意文件,因此使用防病毒解决方案之类的传统方法(基于签名的检测抵御恶意软件)不足以防御新的攻击。

在大多数组织中,信息是最有价值的资产,必须确保只有已批准的用户才能访问该信息。 然而,当用户运行某个进程时,该进程的访问级别等同于用户具有的数据访问级别。 因此,如果用户有意或无意运行恶意软件时,敏感信息可能被轻松删除或发送。

应用程序控制可以通过限制允许用户运行的应用程序以及 System Core (内核) 中运行的代码来帮助缓解这些类型的安全威胁。 应用程序控制策略还可以阻止未签名的脚本和 MSI,并限制Windows PowerShell在约束语言模式下运行。

鉴于当今的威胁形势,应用程序控制是保护企业的重要防线,与传统防病毒解决方案相比较,应用程序控制具有固有的优势。 具体而言,应用程序控制从假定所有应用程序都可信的应用程序信任模型转向应用程序必须赢得信任才能运行的应用程序信任模型。 许多组织(如澳大利亚信号局)了解应用程序控制的重要性,并经常将应用程序控制作为解决基于可执行文件的恶意软件 (.exe、.dll 等威胁的最有效方法之一,) 。

备注

尽管应用程序控制可以显著强化计算机免受恶意代码的侵害,但我们建议你继续维护企业防病毒解决方案,以全面实现企业安全组合。

Windows 10和Windows 11包括两种技术,这些技术可用于应用程序控制,具体取决于组织的特定方案和要求:

  • **Windows Defender应用程序控制 (WDAC) **;和
  • AppLocker

WDAC 和智能应用控制

从 Windows 11 版本 22H2 开始,智能应用控制为使用者提供应用程序控制。 智能应用控制基于 WDAC,允许企业客户创建一个策略,该策略提供与自定义功能相同的安全性和兼容性,以运行业务线 (LOB) 应用。 为了更轻松地实现此策略,提供了一个 示例策略 。 示例策略包括 WDAC 企业策略不支持的 Enabled:Conditional Windows 锁定 策略规则。 在使用示例策略之前,必须删除此规则。 若要将此示例策略用作创建自己的策略的起点,请参阅 使用 WDAC 基本策略示例创建自定义基本策略

智能应用控制仅适用于全新安装 Windows 11 版本 22H2 或更高版本,并在评估模式下启动。 智能应用控制将自动关闭企业托管设备,除非用户已先将其打开。 若要跨组织的终结点打开或关闭智能应用控制,可以将“DWORD) 注册表HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy”下的 VerifiedAndReputablePolicyState (设置为下面列出的值之一。 更改注册表值后,必须重启设备或运行 RefreshPolicy.exe 才能使更改生效。

描述
0 关闭
1 执行
2 评估

重要

关闭智能应用控制后,如果不重置或重新安装 Windows,则无法将其打开。

智能应用控制强制实施块

智能应用控制强制实施 Microsoft 建议的驱动程序阻止规则Microsoft 建议的阻止规则,但兼容性注意事项有一些例外。 智能应用控件不会阻止以下内容:

  • Infdefaultinstall.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Wslhost.dll

相关文章