Distribuire Windows Defender criteri di controllo delle applicazioni usando Criteri di gruppo

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Importante

A causa di un problema noto, è consigliabile attivare sempre i nuovi criteri di base WDAC firmaticon un riavvio nei sistemi con l'integrità della memoria abilitata. Anziché Criteri di gruppo, distribuire nuovi criteri di base WDAC firmati tramite script e attivare i criteri con un riavvio del sistema.

Questo problema non influisce sugli aggiornamenti dei criteri di base firmati già attivi nel sistema, sulla distribuzione di criteri non firmati o sulla distribuzione di criteri supplementari (firmati o non firmati). Inoltre, non influisce sulle distribuzioni in sistemi che non eseguono l'integrità della memoria.

Il formato con criteri singoli Windows Defender i criteri di controllo delle applicazioni (schema dei criteri precedente al 1903) può essere distribuito e gestito facilmente con Criteri di gruppo.

Importante

Criteri di gruppo distribuzione basata su Windows Defender i criteri di controllo delle applicazioni supportano solo i criteri WDAC in formato di criteri singoli. Per usare WDAC nei dispositivi che eseguono Windows 10 1903 e versioni successive o Windows 11, è consigliabile usare un metodo alternativo per la distribuzione dei criteri.

È ora necessario convertire un criterio WDAC in formato binario. In caso contrario, seguire la procedura descritta in Distribuzione di criteri WDAC (Application Control) Windows Defender.

La procedura seguente illustra come distribuire un criterio WDAC denominato SiPolicy.p7b in un'unità organizzativa di test denominata PC abilitati per WDAC usando un oggetto Criteri di gruppo denominato Contoso GPO Test.

Per distribuire e gestire un criterio di controllo delle applicazioni Windows Defender con Criteri di gruppo:

1. In un computer client in cui è installato RSAT, aprire La console Gestione Criteri di gruppo eseguendo GPMC.MSC

2. Creare un nuovo oggetto Criteri di gruppo: fare clic con il pulsante destro del mouse su un'unità organizzativa, quindi selezionare Crea un oggetto Criteri di gruppo in questo dominio e collegarlo qui.

   Nota

   È possibile usare qualsiasi nome di unità organizzativa. Inoltre, il filtro dei gruppi di sicurezza è un'opzione quando si considerano diversi modi per combinare i criteri WDAC (o mantenerli separati), come illustrato in Pianificare Windows Defender gestione dei criteri del ciclo di vita di Controllo delle applicazioni.

   

3. Assegna un nome al nuovo oggetto Criteri di gruppo. Puoi sceglierne uno qualsiasi.

4. Aprire il Editor gestione Criteri di gruppo: fare clic con il pulsante destro del mouse sul nuovo oggetto Criteri di gruppo e quindi scegliere Modifica.

5. Nell'oggetto Criteri di gruppo selezionato passare a Configurazione computer\Modelli amministrativi\Sistema\Device Guard. Fare clic con il pulsante destro del mouse su Distribuisci Windows Defender controllo applicazione e quindi scegliere Modifica.

   

6. Nella finestra di dialogo Distribuisci Windows Defender controllo applicazione selezionare l'opzione Abilitato e quindi specificare il percorso di distribuzione dei criteri WDAC.

   In questa impostazione di criterio si specifica il percorso locale in cui saranno presenti i criteri in ogni computer client o un percorso UNC (Universal Naming Convention) che i computer client cercheranno per recuperare la versione più recente del criterio. Ad esempio, il percorso di SiPolicy.p7b usando la procedura descritta in Distribuzione di criteri WDAC (Application Control) Windows Defender è %USERPROFILE%\Desktop\SiPolicy.p7b.

   Nota

   Questo file di criteri non deve essere copiato in ogni computer. Puoi invece copiare i criteri WDAC in una condivisione file accessibile a tutti gli account computer. Tutti i criteri selezionati qui verranno rinominati in SIPolicy.p7b quando verranno distribuiti nei singoli computer.

   

   Nota

   È possibile che si sia notato che l'impostazione dell'oggetto Criteri di gruppo fa riferimento a un file con estensione p7b, ma l'estensione e il nome del file binario dei criteri non sono importanti. Indipendentemente dal nome binario dei criteri, vengono tutti convertiti in SIPolicy.p7b quando vengono applicati ai computer client che eseguono Windows 10. Se si distribuiscono criteri WDAC diversi in diversi set di dispositivi, è possibile assegnare a ognuno dei criteri WDAC un nome descrittivo e consentire al sistema di convertire i nomi dei criteri per assicurarsi che i criteri siano facilmente distinguibili se visualizzati in una condivisione o in qualsiasi altro repository centrale.

7. Chiudere Criteri di gruppo Management Editor e quindi riavviare il computer di test di Windows. Riavviando il computer, il criterio WDAC viene aggiornato.