Windows Defender 應用程控範例基底原則
注意
Windows Defender 應用程式控制的某些功能僅在特定 Windows 版本上可用。 如需詳細資訊,請參閱 Windows Defender 應用程控功能可用性。
當您建立與 Windows Defender 應用程控 (WDAC) 搭配使用的原則時,請從現有的基底原則開始,然後新增或移除規則以建置您自己的自定義原則。 Windows 包含數個您可以使用的範例原則。 這些範例原則會依「依目前情況」提供。 您應該使用安全的部署方法徹底測試您部署的原則。
| 基本原則範例 | 描述 | 可在何處找到 |
|---|---|---|
| DefaultWindows_*.xml | 此範例原則可在稽核和強制執行模式中使用。 它包含允許 Windows、第三方硬體和軟體核心驅動程式,以及 Windows 市集應用程式的規則。 做為 Microsoft Intune產品系列原則的基礎。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | 此範例原則包含 DefaultWindows 中的規則,並將規則新增至信任由 Microsoft 產品跟證書簽署的應用程式。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | 建立封鎖清單時,此範例原則很有用。 所有封鎖原則都應該包含允許所有其他程式碼執行的規則,然後針對組織的需求新增 DENY 規則。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | 此範例原則可用來啟用 記憶體完整性 (也稱為使用WDAC) 受 Hypervisor 保護的程式代碼完整性。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | 警告: 會導致 Windows Server 2019 和更早版本的開機問題。請勿在這些作業系統上使用 。 僅在稽核模式中部署此範例原則,以追蹤在重要系統上執行的所有二進位檔,或符合法規需求。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | 使用 Configuration Manager的客戶可以部署具有 Configuration Manager 內建 WDAC 整合的原則,然後使用產生的原則 XML 作為範例基底原則。 | 受控端點上的 %OSDrive%\Windows\CCM\DeviceGuard |
| SmartAppControl.xml | 此範例原則包含以 智慧應用程控 為基礎的規則,適用於輕量管理的系統。 此原則包含不支持企業 WDAC 原則且必須移除的規則。 如需使用此範例原則的詳細資訊,請參閱 使用範例基底原則建立自定義基底原則。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
| 補充原則範例 | 此範例原則示範如何使用補充原則來擴充 DefaultWindows_Audit.xml 允許單一 Microsoft 簽署的檔案。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Microsoft 建議的封鎖清單 | 此原則包含 Windows 和 Microsoft 簽署的程式代碼清單,如果可能的話,Microsoft 建議在使用 WDAC 時封鎖這些程式碼。 | Microsoft 建議的封鎖規則 %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Microsoft 建議的驅動程序封鎖清單 | 此原則包含可封鎖已知易受攻擊或惡意核心驅動程序的規則。 | Microsoft 建議的驅動程式封鎖規則 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Windows S 模式 | 此原則包含用來強制 執行 Windows S 模式的規則。 | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | 此原則包含用來強制執行 Windows 11 SE 的規則,這是專為學校使用而建置的 Windows 版本。 | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
注意
並非所有顯示在 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies 的原則都可在所有版本的 Windows 上找到。
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應