使用多個 Windows Defender 應用程控原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender 應用程控 (WDAC) 的某些功能僅適用於特定 Windows 版本。 深入了解 Windows Defender 應用控制功能可用性。

從 Windows 10 版本 1903 和 Windows Server 2022 開始，您可以在裝置上並存部署多個 Windows Defender 應用程控 (WDAC) 原則。 若要允許超過 32 個使用中的原則，請安裝在 2024 年 4 月 9 日或之後發行的 Windows 安全性更新，然後重新啟動裝置。 透過這些更新，您可以一次部署到指定裝置的原則數目沒有任何限制。 在您安裝 2024 年 4 月 9 日或之後發行的 Windows 安全性更新之前，您的裝置限制為 32 個作用中原則，且不得超過該數目。

注意

Windows 11 21H2 上並未移除原則限制，且將維持為 32 個原則。

以下是一些常見的案例，其中有多個並存原則很有用：

1. 並行強制執行和稽核
   • 若要在強制模式中部署之前驗證原則變更，用戶現在可以與現有的強制模式基底原則並存部署稽核模式基底原則
2. 多個基底原則
   • 用戶可以同時強制執行兩個或多個基底原則，以便針對具有不同範圍/意圖的原則允許更簡單的原則目標
   • 如果裝置上有兩個基底原則，應用程式必須傳遞這兩個原則才能執行
3. 補充原則
   • 用戶可以部署一或多個補充原則來擴充基本原則
   • 補充原則會擴充單一基底原則，而多個補充原則可以擴充相同的基底原則
   • 針對補充原則，基底原則或其補充原則/原則所允許的應用程式會執行

注意

1903 之前系統不支援使用多重原則格式 WDAC 原則。

基本和補充原則互動

• 多個基底原則：交集
  • 只有這兩個原則允許的應用程式會執行而不產生區塊事件
• 基底 + 補充原則：聯集
  • 基底原則或補充原則執行所允許的檔案

以多原則格式建立 WDAC 原則

若要允許多個原則存在並在單一系統上生效，必須使用新的多重原則格式來建立原則。 New-CIPolicy 中的 “MultiplePolicyFormat” 參數會產生 1) 為原則標識符產生的唯一值，而 2) 設定為基底原則的原則類型。 下列範例描述以多個原則格式建立新原則的程式。

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

或者，您可以選擇讓新的基底原則允許補充原則。

Set-RuleOption -FilePath ".\policy.xml" -Option 17

對於允許補充原則的已簽署基底原則，請確定已定義補充簽署者。 使用 Add-SignerRule 中的補充參數來提供補充簽署者。

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

補充原則建立

若要建立補充原則，請先以多個原則格式建立新的原則，如先前所示。 從該處使用 Set-CIPolicyIdInfo，將它轉換成補充原則，並指定其擴充的基底原則。 您可以使用 SupplementsBasePolicyID 或 BasePolicyToSupplementPath 來指定基底原則。

• “SupplementsBasePolicyID”：補充原則套用至的基底原則 GUID
• “BasePolicyToSupplementPath”：補充原則套用至的基底原則檔案路徑

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

合併原則

當您合併原則時，會使用指定最左邊/第一個原則的原則類型和標識符。 如果最左邊是具有標識<>符的基底原則，則不論任何後續原則的 GUID 和類型為何，合併的原則都是具有標識<符的基底原則>。

部署多個原則

若要部署多個 Windows Defender 應用程控原則，您必須在本機部署這些原則，方法是將原則檔案複製 *.cip 到適當的資料夾，或使用 ApplicationControl CSP。

在本機部署多個原則

若要使用新的多重原則格式在本機部署原則，請遵循下列步驟：

1. 請確定二進位原則檔案的命名格式 {PolicyGUID}.cip正確。
   • 確定二進位原則檔案的名稱與原則中的 PolicyID GUID 完全相同
   • 例如，如果原則 XML 的識別碼為 <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>，則二進位原則檔案的正確名稱會是 {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip。
2. 將二進位原則複製到 C:\Windows\System32\CodeIntegrity\CiPolicies\Active。
3. 重新啟動系統。

透過 ApplicationControl CSP 部署多個原則

您可以透過ApplicationControl 設定服務提供者 (CSP) ，從 MDM 伺服器管理多個 Windows Defender 應用程控原則。 CSP 也提供無重新啟動原則部署的支援。

不過，當原則從 MDM 伺服器取消註冊時，CSP 會嘗試移除未主動部署的每個原則，而不只是 CSP 新增的原則。 之所以會發生此行為，是因為系統不知道使用哪些部署方法來套用個別原則。

如需部署多個原則的詳細資訊，選擇性地使用 Microsoft Intune 的自定義 OMA-URI 功能，請參閱 ApplicationControl CSP。

注意

WMI 和 GP 目前不支援多個原則。 相反地，無法直接存取 MDM 堆棧的客戶應該透過 MDM 網橋 WMI 提供者使用 ApplicationControl CSP 來管理多重原則格式 Windows Defender 應用程控原則。