使用 Windows Defender 應用程式控制原則控制特定外掛程式、增益集及模組
注意
Windows Defender 應用程式控制的某些功能僅在特定 Windows 版本上可用。 深入了解 Windows Defender 應用控制功能可用性。
您可以使用 Windows Defender 應用程式控制 (WDAC) 原則來控制應用程式,也可以控制特定外掛程式、載入宏和模組是否可以從特定應用程式執行, (例如企業營運應用程式或瀏覽器) :
方法 | 指導方針 |
---|---|
您可以從只有特定應用程式才可執行的外掛程式、增益集和模組清單進行作業。 其他應用程式會被封鎖而無法執行。 | 使用 New-CIPolicyRule 與 -AppID 選項。 |
此外,您可以從您想要在特定應用程式中封鎖的外掛程式、載入宏或模組清單中運作。 其他應用程式則可正常執行。 | 使用New-CIPolicyRule 與-AppID 和-Deny 選項。 |
例如,若要將規則新增至名為 「Lamna_FullyManagedClients_Audit.xml」 的 WDAC 原則,以允許 ERP1.exe 執行 addin1.dll 和 addin2.dll,Lamna 的企業資源規劃 (ERP) 應用程式,請執行下列命令。 在第二個命令中, += 是用來將第二個規則新增至 $rule 變數:
$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin1.dll' -Level FileName -AppID '.\ERP1.exe'
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin2.dll' -Level FileName -AppID '.\ERP1.exe'
另一個範例是,若要建立 Windows Defender 應用程控原則來封鎖 addin3.dll 在 Microsoft Word 中執行,請執行下列命令。 您必須在指定的 -Deny
應用程式中包含封鎖指定載入宏的選項。 擁有您想要的所有規則之後,您可以使用 Merge-CIPolicy Cmdlet 將它們合併到現有的 WDAC 原則,如下所示:
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin3.dll' -Level FileName -Deny -AppID '.\winword.exe'
Merge-CIPolicy -OutputFilePath .\Lamna_FullyManagedClients_Audit.xml -PolicyPaths .\Lamna_FullyManagedClients_Audit.xml -Rules $rule
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應