策略 CSP - ADMX_DeviceGuard
提示
此 CSP 包含 ADMX 支持的策略,这些策略需要特殊的 SyncML 格式才能启用或禁用。 必须在 SyncML 中将数据类型指定为 <Format>chr</Format>。 有关详细信息,请参阅 了解 ADMX 支持的策略。
SyncML 的有效负载必须是 XML 编码的;对于此 XML 编码,可以使用各种联机编码器。 若要避免对有效负载进行编码,可以使用 CDATA(如果 MDM 支持)。 有关详细信息,请参阅 CDATA 节。
警告
基于 组策略 部署的适用于企业的应用控制策略仅支持单策略格式的 WDAC 策略。 若要在运行 Windows 10 1903 及更高或更高版本或Windows 11的设备上使用 WDAC,我们建议使用替代策略部署方法。
ConfigCIPolicy
| 范围 | 版本 | 适用的操作系统 |
|---|---|---|
|
✅ 设备 ❌ 用户 |
✅ 专业版 ✅ 企业版 ✅ 教育版 ✅ Windows SE ✅ IoT 企业版/IoT 企业版 LTSC |
✅Windows 10版本 2004,KB5005101 [10.0.19041.1202] 及更高版本 ✅Windows 10版本 20H2,KB5005101 [10.0.19042.1202] 及更高版本 ✅Windows 10版本 21H1,KB5005101 [10.0.19043.1202] 及更高版本 ✅Windows 11版本 21H2 [10.0.22000] 及更高版本 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DeviceGuard/ConfigCIPolicy
部署适用于企业的应用控制。
此策略设置允许将代码完整性策略部署到计算机,以控制允许在该计算机上运行的内容。
如果部署代码完整性策略,Windows 将根据策略限制可在内核模式和 Windows 桌面上运行的内容。 若要启用此策略,必须重启计算机。
文件路径必须是 UNC 路径 (例如\ServerName\ShareName\SIPolicy.p7b) ,或本地有效路径 (例如 C:\FolderName\SIPolicy.p7b) 。 本地计算机帐户 (LOCAL SYSTEM) 必须具有策略文件的访问权限。
如果使用已签名且受保护的策略,则禁用此策略设置不会从计算机中删除该功能。 相反,必须:
- 首先将策略更新为非受保护的策略,然后禁用该设置,或者
- 禁用设置,然后从每台计算机中删除策略,并具有一个实际存在的用户。
描述框架属性:
| 属性名 | 属性值 |
|---|---|
| 格式 |
chr (字符串) |
| 访问类型 | 添加、删除、获取、替换 |
提示
这是 ADMX 支持的策略,需要 SyncML 格式进行配置。 有关 SyncML 格式的示例,请参阅 启用策略。
ADMX 映射:
| 名称 | 值 |
|---|---|
| 名称 | ConfigCIPolicy |
| 友好名称 | 部署适用于企业的应用控制 |
| 位置 | “计算机配置” |
| 路径 | 系统 > 设备防护 |
| 注册表项名称 | SOFTWARE\Policies\Microsoft\Windows\DeviceGuard |
| 注册表值名称 | DeployConfigCIPolicy |
| ADMX 文件名 | DeviceGuard.admx |