規劃 Windows Defender 應用程控生命周期原則管理

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender 應用程控 (WDAC) 的某些功能僅適用於特定 Windows 版本。 深入了解 Windows Defender 應用控制功能可用性。

本文說明建立管理及維護 Windows Defender 應用程控 (WDAC) 原則所需的決策。

原則 XML 生命週期管理

實作應用程控的第一個步驟是考慮如何在一段時間內管理和維護原則。 開發管理 Windows Defender 應用程控原則的程式，有助於確保 WDAC 持續有效控制應用程式在組織中執行的方式。

大部分 Windows Defender 應用程控原則會隨著時間演進，並在其存留期期間繼續進行一組可識別的階段。 一般而言，這些階段包括：

1. 定義 (或精簡) 原則的「信任圈」 ，並建置原則 XML 的稽核模式版本。 在稽核模式中，會產生封鎖事件，但不會防止檔案執行。
2. 將稽核模式原則部署 至預定的裝置。
3. 監視來自預期裝置的稽核封鎖事件，並視需要新增/編輯/刪除規則來解決非預期/不必要的區塊。
4. 重複步驟 2-3，直到其餘的區塊事件符合預期為止。
5. 產生原則的強制模式版本 。 在強制執行模式中，系統會防止原則不允許的檔案執行，併產生對應的區塊事件。
6. 將強制執行的模式原則部署 至預定的裝置。 建議您針對強制執行的原則使用分段推出，以在廣泛部署原則之前偵測並響應問題。
7. 每當所需的「信任圈」變更時，重複步驟 1-6。

將 WDAC 原則保留在原始檔控制或檔管理解決方案中

若要有效管理 Windows Defender 應用程控原則，您應該將原則 XML 檔儲存和維護在中央存放庫中，讓負責 WDAC 原則管理的每個人都能存取。 我們建議使用原始檔控制解決方案，例如 GitHub 或檔管理解決方案，例如 Office 365 SharePoint，以提供版本控制，並可讓您指定 XML 檔的相關元數據。

設定每個原則的 PolicyName、PolicyID 和版本元數據

使用 Set-CIPolicyIDInfo Cmdlet 為每個原則指定描述性名稱，並設定唯一的原則標識符。 這些唯一屬性可協助您在檢閱 Windows Defender 應用程控事件或檢視原則 XML 檔時，區分每個原則。 雖然您可以指定 PolicyId 的字串值，但是對於使用多個原則格式的原則，我們建議使用 -ResetPolicyId 參數讓系統自動產生原則的唯一標識符。

注意

PolicyID 僅適用於在執行 Windows 10、版本 1903 和更新版本或 Windows 11 的電腦上使用多個原則格式的原則。 在為 1903 之前的電腦建立的原則上執行 -ResetPolicyId 會將它轉換成多個原則格式，並防止在舊版 Windows 10 上執行。 每個原則只能設定一次 PolicyID，並針對每個原則的稽核和強制模式版本使用不同的 PolicyID。

此外，建議您在變更原則時，使用 Set-CIPolicyVersion Cmdlet 來遞增原則的內部版本號碼。 版本必須定義為標準的四部分版本字串 (例如 「1.0.0.0.0」) 。

原則規則更新

部署新的應用程式或軟體發行者更新現有的應用程式時，您可能需要修改原則，以確保應用程式正確執行。 是否需要更新原則規則，將取決於您原則所包含的規則類型。 以程式代碼簽署憑證為基礎的規則可針對應用程式變更提供最大的復原能力，而以檔屬性或哈希為基礎的規則最有可能在應用程式變更時需要更新。 或者，如果您使用 WDAC 受管理的安裝程式 功能，並透過受管理的安裝程式一致地部署所有應用程式及其更新，則您不太可能需要原則更新。

WDAC 事件管理

每當 WDAC 封鎖進程時，事件都會寫入 CodeIntegrity\Operational 或 AppLocker\MSI 和腳本 Windows 事件記錄檔。 事件描述嘗試執行的檔案、該檔案的屬性及其簽章，以及嘗試執行封鎖檔案的程式。

在中央位置收集這些事件，可協助您維護 Windows Defender 應用程控原則，並針對規則設定問題進行疑難解答。 您可以 使用 Azure 監視器代理程式 來自動收集 WDAC 事件以進行分析。

此外，適用於端點的 Microsoft Defender 收集可使用進階搜捕功能查詢的 WDAC 事件。

應用程式和使用者支持原則

考慮包括：

• 針對封鎖的應用程式提供何種類型的用戶支援？
• 新規則如何新增至原則？
• 如何更新現有規則？
• 是否轉送事件以供檢閱？

技術支援中心支援

如果您的組織已建立技術支援中心支援部門，請在部署 Windows Defender 應用程控原則時考慮下列幾點：

• 支持部門需要哪些檔來部署新原則？
• 在工作流程和時間中，每個商務群組中的重要程式會受到應用程控原則的影響，以及它們會如何影響支援部門的工作負載？
• 支持部門中的聯繫人是誰？
• 支持部門如何解決使用者與維護 Windows Defender 應用程控規則之資源之間的應用程控問題？

終端用戶支援

因為 Windows Defender 應用程控會防止未經核准的應用程式執行，所以組織務必仔細規劃如何提供用戶支援。 考慮包括：

• 您要使用內部網路網站作為支援第一線，以支援嘗試執行封鎖應用程式的使用者嗎？
• 您要如何支持原則的例外狀況？ 您是否允許使用者執行腳本來暫時允許存取封鎖的應用程式？

記錄您的計劃

決定貴組織如何管理 Windows Defender 應用程控原則之後，請記錄您的結果。

• 用戶支持原則。 記錄您將用來處理嘗試執行封鎖應用程式之用戶來電的程式，並確保支持人員有清楚的呈報步驟，讓系統管理員可視需要更新 Windows Defender 應用程控原則。
• 事件處理。 記錄是否要在稱為存放區的中央位置收集事件、如何封存該存放區，以及是否要處理事件以進行分析。
• 原則管理。 詳細說明計劃哪些原則、如何管理原則，以及規則在一段時間內的維護方式。