Развертывание политик управления приложениями Защитник Windows с помощью групповая политика
Примечание.
Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.
Важно.
Из-за известной проблемы следует всегда активировать новые подписанные базовые политики WDAC с перезагрузкой в системах с включенной целостностью памяти . Вместо групповая политика разверните новые подписанные базовые политики WDAC с помощью скрипта и активируйте политику с помощью перезапуска системы.
Эта проблема не влияет на обновления подписанных базовых политик, которые уже активны в системе, развертывание неподписанных политик или развертывание дополнительных политик (подписанных или неподписанных). Это также не влияет на развертывания в системах, в которых не выполняется целостность памяти.
Формат одной политики Защитник Windows политики управления приложениями (схема политики до 1903 года) можно легко развертывать и управлять ими с помощью групповая политика.
Важно.
групповая политика развертывание политик управления приложениями Защитник Windows поддерживает только политики WDAC в формате одной политики. Чтобы использовать WDAC на устройствах с Windows 10 1903 и более поздней версии или Windows 11, рекомендуется использовать альтернативный метод развертывания политики.
Теперь у вас должна быть политика WDAC, преобразованная в двоичную форму. Если нет, выполните действия, описанные в разделе Развертывание политик управления приложениями Защитник Windows (WDAC).
В следующей процедуре описано, как развернуть политику WDAC с именем SiPolicy.p7b на тестовых компьютерах с поддержкой WDAC с помощью объекта групповой политики Contoso GPO Test.
Чтобы развернуть политику управления приложениями Защитник Windows и управлять ею с помощью групповая политика, выполните следующие действия:
На клиентском компьютере, на котором установлен RSAT, откройте GPMC, запустив GPMC.MSC.
Создание объекта групповой политики: щелкните правой кнопкой мыши подразделение, а затем выберите Создать объект групповой политики в этом домене и связать его здесь.
Примечание.
Можно использовать любое имя подразделения. Кроме того, фильтрация групп безопасности является вариантом при рассмотрении различных способов объединения политик WDAC (или их разделения), как описано в разделе Планирование управления жизненным циклом управления приложениями Защитник Windows.
Введите имя нового объекта групповой политики. Вы можете выбрать любое имя.
Откройте Редактор управления групповая политика: щелкните правой кнопкой мыши новый объект групповой политики и выберите изменить.
В выбранном объекте групповой политики перейдите в раздел Конфигурация компьютера\Административные шаблоны\System\Device Guard. Щелкните правой кнопкой мыши развернуть Защитник Windows управление приложениями и выберите изменить.
В диалоговом окне Развертывание управления приложениями Защитник Windows выберите параметр Включено, а затем укажите путь к развертыванию политики WDAC.
В этом параметре политики укажите локальный путь, по которому будет существовать политика на каждом клиентском компьютере, или UNC-путь, по которому клиентские компьютеры будут искать для получения последней версии политики. Например, путь к SiPolicy.p7b, описанный в разделе Развертывание политик управления Защитник Windows приложениями (WDAC), будет иметь значение %USERPROFILE%\Desktop\SiPolicy.p7b.
Примечание.
Этот файл политики не требуется копировать на каждый компьютер. Вместо этого вы можете скопировать политики WDAC в общую папку, которая доступна всем компьютерам. Любая выбранная на данном этапе политика преобразовывается в SIPolicy.p7b при развертывании на отдельных клиентских компьютерах.
Примечание.
Возможно, вы заметили, что параметр GPO ссылается на P7B-файл, но расширение файла и имя двоичного файла политики не имеют значения. Независимо от того, как называется двоичный файл политики, все они преобразуются в SIPolicy.p7b при применении к клиентским компьютерам, на которых выполняется Windows 10. Если вы развертываете разные политики WDAC на разных наборах устройств, вам может потребоваться присвоить каждой из политик WDAC понятное имя и разрешить системе преобразовать имена политик, чтобы убедиться, что политики легко различимы при просмотре в общей папке или любом другом центральном репозитории.
Закройте Редактор управления групповая политика, а затем перезапустите тестовый компьютер Windows. При перезагрузке клиентского компьютера происходит обновление политики WDAC.
Обратная связь
https://aka.ms/ContentUserFeedback.
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделеОтправить и просмотреть отзыв по