部署Windows Defender应用程序控制 (WDAC) 策略
注意
Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。
现在,应准备好部署一个或多个Windows Defender应用程序控制 (WDAC) 策略。 如果尚未完成 WDAC 设计指南中所述的步骤,请立即完成,然后再继续操作。
将 WDAC 策略 XML 转换为二进制文件
在部署 WDAC 策略之前,必须先将 XML 转换为其二进制格式。 可以使用以下 PowerShell 示例执行此操作。 必须将 $WDACPolicyXMLFile 变量设置为指向 WDAC 策略 XML 文件。
## Update the path to your WDAC policy XML
$WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
[xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
{
$PolicyID = $WDACPolicy.SiPolicy.PolicyID
$PolicyBinary = $PolicyID+".cip"
}
else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
{
$PolicyBinary = "SiPolicy.p7b"
}
## Binary file will be written to your desktop
ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary
规划部署
与环境的任何重大更改一样,实现应用程序控制可能会产生意想不到的后果。 为确保成功的最佳机会,应遵循安全部署做法并仔细规划部署。 确定将使用 WDAC 管理的设备,并将其拆分为部署圈。 这样,你可以控制部署的速度和规模,并在发生任何错误时做出响应。 定义成功条件,以确定何时可以安全地继续从一个环转到下一个环。
在继续执行之前,应在审核模式下部署所有Windows Defender应用程序控制策略更改。 仔细监视已部署策略的设备的事件,以确保观察到的块事件符合预期,然后再将部署范围扩展到其他部署圈。 如果组织使用 Microsoft Defender for Endpoint,则可以使用高级搜寻功能集中监视 WDAC 相关事件。 否则,建议使用事件日志转发解决方案从托管终结点收集相关事件。
选择部署 WDAC 策略的方式
重要提示
由于已知问题,应始终在启用了内存完整性的系统上重新启动后激活新的已签名 WDAC 基本策略。 在这种情况下,建议 通过脚本进行部署 。
此问题不会影响对系统上已处于活动状态的已签名基本策略的更新、未签名策略的部署或 (已签名或未签名) 的补充策略的部署。 它还不会影响到未运行内存完整性的系统的部署。
有几个选项可用于将Windows Defender应用程序控制策略部署到托管终结点,包括:
- 使用移动设备管理 (MDM) 解决方案进行部署,例如Microsoft Intune
- 使用 Microsoft Configuration Manager 进行部署
- 通过脚本部署
- 通过组策略进行部署