Distribuire i criteri WDAC tramite Microsoft Endpoint Configuration Manager (MEMCM)

Si applica a:

  • Windows 10
  • Windows 11
  • Windows Server 2016 e successive

Nota

Alcune funzionalità di Windows Defender Application Control sono disponibili solo in versioni Windows specifiche. Ulteriori informazioni sulla disponibilità della funzionalità Controllo applicazioni.

È possibile utilizzare Microsoft Endpoint Configuration Manager (MEMCM) per configurare Windows Defender Application Control (WDAC) nei computer client.

Usare i criteri predefiniti di MEMCM

MEMCM include il supporto nativo per WDAC, che consente di configurare Windows 10 e Windows 11 computer client con un criterio che consentirà solo:

  • Componenti Windows
  • App di Microsoft Store
  • App installate da MEMCM (MEMCM autoconfigurato come programma di installazione gestito)
  • [Facoltativo] App affidabili come definite dall'Intelligent Security Graph (ISG)
  • [Facoltativo] App ed eseguibili già installati in percorsi di cartelle definibili dall'amministratore che MEMCM consentirà tramite un'analisi una sola volta durante la creazione dei criteri negli endpoint gestiti.

Si noti che MEMCM non rimuove i criteri una volta distribuiti. Per arrestare l'imposizione, devi impostare il criterio sulla modalità di controllo, che produrrà lo stesso effetto. Se si desidera disabilitare completamente WDAC (inclusa la modalità di controllo), è possibile distribuire uno script per eliminare il file di criteri dal disco e attivare un riavvio o attendere il riavvio successivo.

Per ulteriori informazioni sull'utilizzo dei criteri WDAC nativi di MEMCM, Windows Defender gestione del controllo delle applicazioni con Configuration Manager.

Distribuire criteri WDAC personalizzati con pacchetti/programmi o sequenze di attività

L'utilizzo dei criteri incorporati di MEMCM può essere un utile punto di partenza, ma i clienti potrebbero trovare le opzioni di circonferenza di attendibilità disponibili in MEMCM troppo limitanti. Per definire un proprio cerchio di attendibilità, puoi usare MEMCM per distribuire criteri WDAC personalizzati tramite la distribuzione basata su script tramite pacchetti e programmi di distribuzione software o sequenze di attività di distribuzione del sistema operativo.