使用 群組原則部署 Windows Defender 應用程控原則

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender 應用程控 (WDAC) 的某些功能僅適用於特定 Windows 版本。 深入了解 Windows Defender 應用控制功能可用性。

重要

由於已知問題，您應該一律啟用新的已簽署 WDAC 基底原則，並在已啟用記憶體完整性的系統上重新啟動。 不要 群組原則，而是透過腳本部署新的已簽署 WDAC 基底原則，並透過系統重新啟動來啟用原則。

此問題不會影響系統上已啟用之已簽署基底原則的更新、未簽署原則的部署，或 (已簽署或未簽署) 的補充原則部署。 它也不會影響未執行記憶體完整性的系統部署。

單一原則格式 Windows Defender 應用程控原則 (1903 之前的原則架構) 可以使用 群組原則 輕鬆地部署和管理。

重要

Windows Defender 應用程控原則的 群組原則 型部署僅支援單一原則格式 WDAC 原則。 若要在執行 Windows 10 1903 或更新版本或 Windows 11 的裝置上使用 WDAC，建議您使用替代方法進行原則部署。

您現在應該已將 WDAC 原則轉換成二進位形式。 如果沒有，請遵循部署應用程控 Windows Defender (WDAC) 原則中所述的步驟。

下列程式會逐步引導您使用名為 Contoso GPO Test 的 GPO，將名為 SiPolicy.p7b 的 WDAC 原則部署至名為 WDAC Enabled 計算機的測試 OU。

若要使用下 群組原則 部署和管理 Windows Defender 應用程控原則：

1. 在安裝 RSAT 的用戶端電腦上，執行 GPMC.MSC 來開啟 GPMC

2. 建立新的 GPO：以滑鼠右鍵按兩下 OU，然後選取 [ 在此網域中建立 GPO]，然後將它連結到這裡。

   注意

   您可以使用任何 OU 名稱。 此外，當您考慮將 WDAC 原則結合 (或將它們分開) 的不同方式時，安全組篩選是一個選項，如規劃 Windows Defender 應用程控生命周期原則管理中所述。

   

3. 命名新的 GPO。 您可以選擇任何名稱。

4. 開啟 [群組原則 管理] 編輯器：以滑鼠右鍵按兩下新的 GPO，然後選取 [編輯]。

5. 在選取的 GPO 中，流覽至 [計算機設定]\[系統管理範本]\[系統\Device Guard]。 以滑鼠右鍵按兩下 [部署 Windows Defender 控件]，然後選取 [編輯]。

   

6. 在 [部署 Windows Defender 應用程控] 對話框中，選取 [啟用] 選項，然後指定 WDAC 原則部署路徑。

   在此原則設定中，您可以指定原則將存在於每部用戶端電腦上的本機路徑，或指定通用命名約定 (UNC) 用戶端電腦將尋找以擷取最新版原則的路徑。 例如，使用部署 Windows Defender 應用程控 (WDAC) 原則中所述步驟的 SiPolicy.p7b 路徑會是 %USERPROFILE%\Desktop\SiPolicy.p7b。

   注意

   此原則檔案不需要複製到每部計算機。 您可以改為將 WDAC 原則複製到所有電腦帳戶可存取的檔案共用。 您在此處選取的任何原則在部署到個別的用戶端電腦時，都會轉換為 SIPolicy.p7b。

   

   注意

   您可能已經注意到 GPO 設定會參考 .p7b 檔案，但原則二進位檔的擴展名和名稱並不重要。 無論您將原則二進位檔命名為什麼，它們都會在套用至執行 Windows 10 的用戶端計算機時轉換成 SIPolicy.p7b。 如果您要將不同的 WDAC 原則部署到不同的裝置集合，您可能想要為每個 WDAC 原則提供易記名稱，並允許系統為您轉換原則名稱，以確保在共用或其他任何中央存放庫中檢視原則時，可以輕鬆地區分原則。

7. 關閉 群組原則 管理 編輯器，然後重新啟動 Windows 測試電腦。 重新啟動電腦會更新 WDAC 原則。