Windows 版應用程式控制
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
每天建立數千個新的惡意檔案,使用像是防病毒軟體解決方案簽章型偵測等傳統方法來對抗惡意代碼,為抵禦新攻擊提供了不足的防禦措施。
在大部分的組織中,資訊是最有價值的資產,確保只有核准的使用者才能存取該資訊是必要的。 不過,在使用者執行處理程序時,該處理程序與使用者使用相同的資料存取層級。 因此,敏感資訊可能由於使用者有意或無意執行惡意軟體而輕易刪除或從組織傳出。
應用程控可限制允許使用者執行的應用程式,以及在 System Core 中執行的程式代碼 (核心) ,以協助減輕這些類型的安全性威脅。 應用程控原則也可以封鎖未簽署的腳本和 MSI,並限制 Windows PowerShell 在限制語言模式下執行。
應用程控是保護現今威脅環境之企業的重要防禦措施,而且其具有超越傳統防病毒軟體解決方案的固有優勢。 具體而言,應用程控會從所有應用程式都假設為可信任的應用程式信任模型,移至應用程式必須獲得信任才能執行的模型。 許多組織,例如澳洲訊號接收者,都了解應用程控的重要性,並經常將應用程控作為解決可執行檔型惡意代碼 (.exe、.dll 等威脅的最有效方法之一 ) 。
注意
雖然應用程控可以大幅強化計算機以防範惡意代碼,但建議您繼續維護企業防病毒軟體解決方案,以獲得完善的企業安全性組合。
Windows 10 和 Windows 11 包含兩種技術,可根據您組織的特定案例和需求來用於應用程控:
- 商務用應用程控;和
- AppLocker
應用程控和智慧應用程控
從 Windows 11 22H2 版開始,Smart App Control 會為取用者提供應用程控。 智慧型手機應用程控是以應用程控為基礎。 應用程控可讓企業客戶建立與智慧應用程控相同的安全性和相容性原則,並能夠自定義原則以執行企業營運 (LOB) 應用程式。 為了更容易實作原則,我們提供了範 例原則 。 此範例原則包含 App Control 企業原則不支援 的條件式 Windows 鎖定 原則選項。 您必須先移除此規則,才能使用範例原則。 若要使用此範例原則作為建立您自己原則的起點,請參閱 使用範例應用程控基底原則建立自定義基底原則。
智慧應用程控僅適用於 Windows 11 22H2 版或更新版本的全新安裝,並以評估模式啟動。 除非使用者先開啟智慧應用程控,否則會自動關閉企業管理裝置的智慧應用程控。 若要關閉整個組織端點的智慧應用程控,您可以在 底下HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy
設定 VerifiedAndReputablePolicyState (DWORD) 登錄值,如下表所示。 變更登錄值之後,您必須使用 CiTool.exe -r ,變更才會生效。
值 | 說明 |
---|---|
0 | 關閉 |
1 | 施行 |
2 | 評估 |
重要
關閉 Smart App Control 之後,就無法在不重設或重新安裝 Windows 的情況下開啟它。
Windows 版本和授權需求
下表列出支持商務用應用程控的 Windows 版本:
Windows 專業版 | Windows 企業版 | Windows 專業教育版/SE | Windows 教育版 |
---|---|---|---|
是 | 是 | 是 | 是 |
應用程控授權權利由下列授權授與:
Windows 專業版/專業教育版/SE | Windows 企業版 E3 | Windows 企業版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
---|---|---|---|---|
是 | 是 | 是 | 是 | 是 |
如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀。