适用于业务的应用控制示例基础策略
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
创建用于企业应用控制的策略时,请从现有基本策略开始,然后添加或删除规则以生成自己的自定义策略。 Windows 包含多个可以使用的示例策略。 这些示例策略“按原样”提供。 应使用安全部署方法全面测试部署的策略。
| 基本策略示例 | 描述 | 可在何处找到它 |
|---|---|---|
| DefaultWindows_*.xml | 此示例策略在审核模式和强制模式下均可用。 它包括允许 Windows、第三方硬件和软件内核驱动程序以及 Windows 应用商店应用的规则。 用作Microsoft Intune产品系列策略的基础。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | 此示例策略包括 DefaultWindows 中的规则,并将规则添加到信任由 Microsoft 产品根证书签名的应用。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | 此示例策略在创建阻止列表时很有用。 所有块策略都应包含允许运行所有其他代码的规则,然后根据组织的需求添加 DENY 规则。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | 此示例策略可用于使用应用控制启用 内存完整性 (也称为受虚拟机监控程序保护的代码完整性) 。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | 警告:将导致 Windows Server 2019 及更早版本出现启动问题。请勿在这些操作系统上使用。 仅在审核模式下部署此示例策略,以跟踪在关键系统上运行的所有二进制文件或满足法规要求。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | 使用 Configuration Manager 的客户可以使用 Configuration Manager 的内置应用控制集成来部署策略,然后使用生成的策略 XML 作为示例基础策略。 | 托管终结点上的 %OSDrive%\Windows\CCM\DeviceGuard |
| SmartAppControl.xml | 此示例策略包括基于 智能应用控制 的规则,这些规则非常适合轻型托管系统。 此策略包括企业应用控制策略不支持的规则,必须删除该规则。 有关使用此示例策略的详细信息,请参阅 使用示例基本策略创建自定义基本策略。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
| 补充策略示例 | 此示例策略演示如何使用补充策略来扩展 DefaultWindows_Audit.xml 允许单个Microsoft签名的文件。 | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Microsoft建议的阻止列表 | 此策略包括 Windows 列表和Microsoft签名的代码,Microsoft建议在使用应用控制时阻止(如果可能)。 |
Microsoft 推荐的阻止规则 %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Microsoft建议的驱动程序阻止列表 | 此策略包括用于阻止已知易受攻击或恶意内核驱动程序的规则。 |
Microsoft 推荐的驱动程序阻止规则 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Windows S 模式 | 此策略包括用于强制实施 Windows S 模式的规则。 | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | 此策略包括用于强制实施Windows 11 SE的规则,这是一种在学校中使用的 Windows 版本。 | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
注意
并非所有在 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies 中显示的可用策略都可以在所有版本的 Windows 上找到。