共用方式為

Windows 版應用程式控制

注意

商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性

貴組織的數據是其最有價值的資產之一...和敵人想要它。 無論您對數據套用哪些安全性控件,都沒有可完全保護最易受攻擊目標的控件:位於鍵盤上的受信任使用者。 當使用者執行進程時,該進程會共用用戶擁有之數據的相同存取權。 因此,當使用者刻意或不執行惡意軟體時,敏感性資訊很容易傳輸、修改、刪除或加密。 而且每天建立數千個新的惡意檔案,只依賴傳統方法,例如防病毒軟體 (AV) 解決方案可讓您抵禦新攻擊的防禦不足。

應用程控會將 Windows 從所有程式代碼執行的位置變更,除非您的 AV 解決方案確信預測其狀況不良,否則會變更為只有在您的原則指出時才會執行程式代碼的位置。 您所面臨的網路威脅會快速變更,而您的防禦也需要變更。 政府和安全性組織,例如澳大利亞訊號接收者,經常將應用程控作為解決可執行檔型惡意代碼 (.exe、.dll 等威脅的最有效方式之一 ) 。 它可與您的 AV 解決方案一起運作,藉由限制使用者可以執行的應用程式,甚至是 System Core (核心) 中執行的程式代碼,來協助降低安全性威脅。

重要

雖然應用程控可以大幅強化您的計算機以抵禦惡意代碼,但無法取代防病毒軟體。 針對完善的企業安全性組合,您應該繼續維護主動式防病毒軟體解決方案與應用程控。

雖然我們將其稱為應用程控,但系統上執行的程式代碼不一定是應用程式。 應用程控延伸到應用程式以外,也涵蓋在 MSI) 、命令行批處理檔,甚至是以限制語言模式執行的 Windows PowerShell 互動式會話 (腳本和Microsoft安裝程式。

Windows 包含兩種應用程控技術,您可以根據組織的特定案例和需求來使用:

  • 商務用應用程控 (應用程控) ;和
  • AppLocker

應用程控和智慧應用程控

從 Windows 11 22H2 版開始,智慧應用程控會為取用者和具有更簡單應用程式組合的一些小型企業帶來強大的應用程控。 智慧應用程控可確保智慧型手機端式安全性服務只會執行已簽署的程式代碼,或是預測為安全的程式代碼。 當程式代碼未簽署且服務無法放心地預測它是否安全執行時,我們會加以封鎖。 經過一段時間后,程式代碼的信譽可能會隨著服務處理收到的新訊號而變更。 同時,判斷為不安全的程序代碼一律會遭到封鎖。

雖然智慧應用程控是專為取用者所設計,但我們相信它是大部分組織的理想起點。 因為我們完全根據商務用應用程控來建置它,所以您可以建立與智慧應用程控相同的安全性和相容性原則,該原則也會信任企業營運 (LOB) 您組織所需的應用程式。 Smart App Control 用來預測可安全執行之程式代碼的服務也可在商務用應用程控中使用,並稱為 Intelligent Security Graph (ISG) 。

智慧應用程控從評估模式開始,除非使用者先開啟,否則會在 48 小時內關閉企業管理裝置。 如果您想要在組織的端點上主動關閉 Smart App Control,請在 底下HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy設定 VerifiedAndReputablePolicyState (DWORD) 登錄值,如下表所示。 變更登錄值之後,您必須 執行CiTool.exe -r ,變更才會生效。

說明
0 關閉
1 施行
2 評估

重要

關閉 Smart App Control 之後,就無法在不重設或重新安裝 Windows 的情況下開啟它。

用於智慧應用程控的應用程控原則隨附於應用程控精靈原則撰寫工具,也可以在 %windir%/schemas/CodeIntegrity/ExamplePolicies/SmartAppControl.xml找到範原則。 若要使用此範例原則作為您自己原則的起點,請參閱 使用智慧型手機應用程控原則來建置您自己的基本原則。 使用智慧應用程控範例原則作為您自定義原則的基礎時,您必須移除 [ 已啟用:條件式 Windows 鎖定 原則] 選項,使其準備好做為商務用應用程控原則。

Windows 版本和授權需求

下表列出支持商務用應用程控的 Windows 版本:

Windows 專業版 Windows 企業版 Windows 專業教育版/SE Windows 教育版

應用程控授權權利由下列授權授與:

Windows 專業版/專業教育版/SE Windows 企業版 E3 Windows 企業版 E5 Windows 教育版 A3 Windows 教育版 A5

如需 Windows 授權的詳細資訊,請參閱 Windows 授權概觀