部署Windows Defender应用程序控制 (WDAC) 策略

注意

Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性

现在,应准备好部署一个或多个Windows Defender应用程序控制 (WDAC) 策略。 如果尚未完成 WDAC 设计指南中所述的步骤,请立即完成,然后再继续操作。

将 WDAC 策略 XML 转换为二进制文件

在部署 WDAC 策略之前,必须先将 XML 转换为其二进制格式。 可以使用以下 PowerShell 示例执行此操作。 必须将 $WDACPolicyXMLFile 变量设置为指向 WDAC 策略 XML 文件。

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

规划部署

与环境的任何重大更改一样,实现应用程序控制可能会产生意想不到的后果。 为确保成功的最佳机会,应遵循安全部署做法并仔细规划部署。 确定将使用 WDAC 管理的设备,并将其拆分为部署圈。 这样,你可以控制部署的速度和规模,并在发生任何错误时做出响应。 定义成功条件,以确定何时可以安全地继续从一个环转到下一个环。

在继续执行之前,应在审核模式下部署所有Windows Defender应用程序控制策略更改。 仔细监视已部署策略的设备的事件,以确保观察到的块事件符合预期,然后再将部署范围扩展到其他部署圈。 如果组织使用 Microsoft Defender for Endpoint,则可以使用高级搜寻功能集中监视 WDAC 相关事件。 否则,建议使用事件日志转发解决方案从托管终结点收集相关事件。

选择部署 WDAC 策略的方式

重要提示

由于已知问题,应始终在启用了内存完整性的系统上重新启动后激活新的已签名 WDAC 基本策略。 在这种情况下,建议 通过脚本进行部署

此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。

有几个选项可用于将Windows Defender应用程序控制策略部署到托管终结点,包括: