Windows 版應用程式控制

注意

Windows Defender 應用程式控制的某些功能僅在特定 Windows 版本上可用。 深入了解 Windows Defender 應用控制功能可用性

每天建立數千個新的惡意檔案,使用像是防病毒軟體解決方案簽章型偵測等傳統方法來對抗惡意代碼,為抵禦新攻擊提供了不足的防禦措施。

在大部分的組織中,資訊是最有價值的資產,確保只有核准的使用者才能存取該資訊是必要的。 不過,在使用者執行處理程序時,該處理程序與使用者使用相同的資料存取層級。 因此,敏感資訊可能由於使用者有意或無意執行惡意軟體而輕易刪除或從組織傳出。

應用程控可限制允許使用者執行的應用程式,以及在 System Core 中執行的程式代碼 (核心) ,以協助減輕這些類型的安全性威脅。 應用程控原則也可以封鎖未簽署的腳本和 MSI,並限制 Windows PowerShell 在限制語言模式下執行

應用程控是保護現今威脅環境之企業的重要防禦措施,而且其具有超越傳統防病毒軟體解決方案的固有優勢。 具體而言,應用程控會從所有應用程式都假設為可信任的應用程式信任模型,移至應用程式必須獲得信任才能執行的模型。 許多組織,例如澳洲訊號接收者,都了解應用程控的重要性,並經常將應用程控作為解決可執行檔型惡意代碼 (.exe、.dll 等威脅的最有效方法之一 ) 。

注意

雖然應用程控可以大幅強化計算機以防範惡意代碼,但建議您繼續維護企業防病毒軟體解決方案,以獲得完善的企業安全性組合。

Windows 10 和 Windows 11 包含兩種技術,可根據您組織的特定案例和需求來用於應用程控:

  • Windows Defender 應用程控 (WDAC) ; 和
  • AppLocker

WDAC 和智慧應用程控

從 Windows 11 22H2 版開始,Smart App Control 會為取用者提供應用程控。 智慧應用程控是以 WDAC 為基礎,可讓企業客戶建立一個原則,以提供相同的安全性和相容性,以自定義該原則以執行企業營運 (LOB) 應用程式。 為了更輕鬆地實作此原則,提供範 例原則 。 此範例原則包含 WDAC 企業原則不支援 的條件式 Windows 鎖定 原則選項。 您必須先移除此規則,才能使用範例原則。 若要使用此範例原則作為建立您自己原則的起點,請參閱 使用範例 WDAC 基底原則建立自定義基底原則

智慧應用程控僅適用於 Windows 11 22H2 版或更新版本的全新安裝,並以評估模式啟動。 除非使用者先開啟智慧應用程控,否則會自動關閉企業管理裝置的智慧應用程控。 若要關閉整個組織端點的智慧應用程控,您可以在 底下HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy設定 VerifiedAndReputablePolicyState (DWORD) 登錄值,如下表所示。 變更登錄值之後,您必須重新啟動裝置,或使用 CiTool.exe -r ,變更才會生效。

說明
0 關閉
1 執行
2 評估

重要

關閉 Smart App Control 之後,就無法在不重設或重新安裝 Windows 的情況下開啟它。

智慧型應用程控強制區塊

智慧應用程控會強制執行 Microsoft 建議的驅動程式封鎖規則Microsoft 建議的封鎖規則,但相容性考慮有一些例外狀況。 智慧應用程控不會封鎖下列專案:

  • Infdefaultinstall.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Wslhost.dll

Windows 版本和授權需求

下表列出支援 Windows Defender 應用程控 (WDAC) 的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

Windows Defender 應用程控 (下列授權會授與 WDAC) 授權權利:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀