Развертывание политик управления приложениями Защитник Windows с помощью групповая политика

• Применяется к:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Примечание.

Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Важно.

Из-за известной проблемы следует всегда активировать новые подписанные базовые политики WDAC с перезагрузкой в системах с включенной целостностью памяти . Вместо групповая политика разверните новые подписанные базовые политики WDAC с помощью скрипта и активируйте политику с помощью перезапуска системы.

Эта проблема не влияет на обновления подписанных базовых политик, которые уже активны в системе, развертывание неподписанных политик или развертывание дополнительных политик (подписанных или неподписанных). Это также не влияет на развертывания в системах, в которых не выполняется целостность памяти.

Формат одной политики Защитник Windows политики управления приложениями (схема политики до 1903 года) можно легко развертывать и управлять ими с помощью групповая политика.

Важно.

групповая политика развертывание политик управления приложениями Защитник Windows поддерживает только политики WDAC в формате одной политики. Чтобы использовать WDAC на устройствах с Windows 10 1903 и более поздней версии или Windows 11, рекомендуется использовать альтернативный метод развертывания политики.

Теперь у вас должна быть политика WDAC, преобразованная в двоичную форму. Если нет, выполните действия, описанные в разделе Развертывание политик управления приложениями Защитник Windows (WDAC).

В следующей процедуре описано, как развернуть политику WDAC с именем SiPolicy.p7b на тестовых компьютерах с поддержкой WDAC с помощью объекта групповой политики Contoso GPO Test.

Чтобы развернуть политику управления приложениями Защитник Windows и управлять ею с помощью групповая политика, выполните следующие действия:

1. На клиентском компьютере, на котором установлен RSAT, откройте GPMC, запустив GPMC.MSC.

2. Создание объекта групповой политики: щелкните правой кнопкой мыши подразделение, а затем выберите Создать объект групповой политики в этом домене и связать его здесь.

   Примечание.

   Можно использовать любое имя подразделения. Кроме того, фильтрация групп безопасности является вариантом при рассмотрении различных способов объединения политик WDAC (или их разделения), как описано в разделе Планирование управления жизненным циклом управления приложениями Защитник Windows.

   

3. Введите имя нового объекта групповой политики. Вы можете выбрать любое имя.

4. Откройте Редактор управления групповая политика: щелкните правой кнопкой мыши новый объект групповой политики и выберите изменить.

5. В выбранном объекте групповой политики перейдите в раздел Конфигурация компьютера\Административные шаблоны\System\Device Guard. Щелкните правой кнопкой мыши развернуть Защитник Windows управление приложениями и выберите изменить.

   

6. В диалоговом окне Развертывание управления приложениями Защитник Windows выберите параметр Включено, а затем укажите путь к развертыванию политики WDAC.

   В этом параметре политики укажите локальный путь, по которому будет существовать политика на каждом клиентском компьютере, или UNC-путь, по которому клиентские компьютеры будут искать для получения последней версии политики. Например, путь к SiPolicy.p7b, описанный в разделе Развертывание политик управления Защитник Windows приложениями (WDAC), будет иметь значение %USERPROFILE%\Desktop\SiPolicy.p7b.

   Примечание.

   Этот файл политики не требуется копировать на каждый компьютер. Вместо этого вы можете скопировать политики WDAC в общую папку, которая доступна всем компьютерам. Любая выбранная на данном этапе политика преобразовывается в SIPolicy.p7b при развертывании на отдельных клиентских компьютерах.

   

   Примечание.

   Возможно, вы заметили, что параметр GPO ссылается на P7B-файл, но расширение файла и имя двоичного файла политики не имеют значения. Независимо от того, как называется двоичный файл политики, все они преобразуются в SIPolicy.p7b при применении к клиентским компьютерам, на которых выполняется Windows 10. Если вы развертываете разные политики WDAC на разных наборах устройств, вам может потребоваться присвоить каждой из политик WDAC понятное имя и разрешить системе преобразовать имена политик, чтобы убедиться, что политики легко различимы при просмотре в общей папке или любом другом центральном репозитории.

7. Закройте Редактор управления групповая политика, а затем перезапустите тестовый компьютер Windows. При перезагрузке клиентского компьютера происходит обновление политики WDAC.