criteri di base di esempio WDAC (Windows Defender Application Control)

Si applica a:

  • Windows 10
  • Windows 11
  • Windows Server 2016 e successive

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni Windows specifiche. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Quando si creano criteri per l'uso con Windows Defender controllo delle applicazioni (WDAC), iniziare da un criterio di base esistente e quindi aggiungere o rimuovere regole per creare criteri personalizzati. Windows include diversi criteri di esempio che è possibile usare oppure le organizzazioni che usano il servizio di firma di Device Guard possono scaricare un criterio iniziale da tale servizio.

Criteri di base di esempio

Criteri di base di esempio Descrizione Dove è possibile trovarlo
DefaultWindows.xml Questo criterio di esempio è disponibile sia in modalità di controllo che in modalità applicata. Include regole per consentire Windows, driver del kernel hardware e software di terze parti e Windows app dello Store. Usato come base per tutti i criteri di Microsoft Endpoint Manager. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies
AllowMicrosoft.xml Questo criterio di esempio è disponibile in modalità di controllo. Include le regole di DefaultWindows e aggiunge regole per considerare attendibili le app firmate dal certificato radice del prodotto Microsoft. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies
AllowAll.xml Questo criterio di esempio è utile quando si crea un blocklist. Tutti i criteri di blocco devono includere regole che consentono l'esecuzione di tutto il codice e quindi aggiungere le regole DENY per le esigenze dell'organizzazione. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies
AllowAll_EnableHVCI.xml Questo criterio di esempio può essere usato per abilitare l'integrità della memoria (nota anche come integrità del codice protetta da hypervisor) usando Windows Defender controllo applicazione. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies
DenyAllAudit.xml Avviso: può causare tempi di avvio lunghi in Windows Server 2019. Distribuire questo criterio di esempio solo in modalità di controllo per tenere traccia di tutti i file binari in esecuzione in sistemi critici o per soddisfare i requisiti normativi. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies
Device Guard Signing Service (DGSS) DefaultPolicy.xml Questo criterio di esempio è disponibile in modalità di controllo. Include le regole di DefaultWindows e aggiunge regole per considerare attendibili le app firmate con i certificati specifici dell'organizzazione emessi dal DGSS.It includes the rules from DefaultWindows and adds rules to trust apps signed with your organization-specific certificates issued by the DGSS. Pacchetto di NuGet del servizio di firma di Device Guard
CONFIGURATION MANAGER MEM I clienti che usano Configuration Manager possono distribuire un criterio con l'integrazione WDAC predefinita di Configuration Manager e quindi usare il codice XML dei criteri generato come criterio di base di esempio. %OSDrive%\Windows\CCM\DeviceGuard in un endpoint gestito