部署 Windows Defender 應用程控 (WDAC) 原則

注意

Windows Defender 應用程式控制的某些功能僅在特定 Windows 版本上可用。 深入了解 Windows Defender 應用控制功能可用性

您現在應該已準備好部署一或多個 Windows Defender 應用程控 (WDAC) 原則。 如果您尚未完成 WDAC 設計指南中所述的步驟,請立即完成,再繼續進行。

將您的 WDAC 原則 XML 轉換成二進位

在部署 WDAC 原則之前,您必須先將 XML 轉換成其二進位形式。 您可以使用下列 PowerShell 範例來執行此動作。 您必須將$WDACPolicyXMLFile變數設定為指向您的 WDAC 原則 XML 檔案。

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

規劃部署

如同環境的任何重大變更,實作應用程控可能會產生非預期的後果。 若要確保成功的最佳機會,您應該遵循安全的部署做法,並仔細規劃部署。 識別您將使用 WDAC 管理的裝置,並將其分割成部署更新步調。 如此一來,您可以控制部署的速度和規模,並在發生任何錯誤時回應。 定義成功準則,以判斷何時可以安全地從一個通道繼續進行到下一個通道。

所有 Windows Defender 應用程控原則變更都應該在稽核模式中部署,再繼續強制執行。 從已部署原則的裝置仔細監視事件,以確保您觀察到的封鎖事件符合預期,然後再將部署擴大至其他部署更新步調。 如果您的組織使用 適用於端點的 Microsoft Defender,您可以使用進階搜捕功能來集中監視 WDAC 相關事件。 否則,我們建議使用事件記錄轉送解決方案,從受控端點收集相關事件。

選擇如何部署 WDAC 原則

重要

由於已知問題,您應該一律啟用新的 已簽署 WDAC 基底原則,並在已啟用 記憶體完整性的 系統上重新啟動。 在此情況下 ,建議您透過腳本進行部署

此問題不會影響系統上已啟用之已簽署基底原則的更新、未簽署原則的部署,或 (已簽署或未簽署) 的補充原則部署。 它也不會影響未執行記憶體完整性的系統部署。

有數個選項可將 Windows Defender 應用程控原則部署至受控端點,包括: