Развертывание политик WDAC с помощью Microsoft Endpoint Configuration Manager (MEMCM)

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Примечание

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции Управления приложениями.

Вы можете использовать Microsoft Endpoint Configuration Manager (MEMCM) для настройки Защитник Windows управления приложениями (WDAC) на клиентских машинах.

Использование встроенных политик MEMCM

MEMCM включает поддержку WDAC, которая позволяет настраивать 11 Windows 10 и Windows 11 клиентских компьютеров с помощью политики, которая позволяет только:

  • Компоненты Windows
  • Приложения Microsoft Store
  • Приложения, установленные MEMCM (самоконфигурируемые как управляемый установщик)
  • [Необязательный] Надежные приложения, определенные интеллектуальным Graph безопасности (ISG)
  • [Необязательный] Приложения и исполняемые приложения, уже установленные в расположениях папок с вызовом администратора, которые MEMCM позволит выполнять однократное сканирование при создании политики на управляемых конечных точках.

Обратите внимание, что MEMCM не удаляет политики после развертывания. Чтобы остановить правоприменение, необходимо переключить политику на режим аудита, что даст тот же эффект. Если требуется полностью отключить WDAC (включая режим аудита), можно развернуть скрипт для удаления файла политики с диска и вызвать перезагрузку или дождаться следующей перезагрузки.

Дополнительные сведения об использовании родных политик WDAC MEMCM см. в Защитник Windows управления приложениями с помощью Configuration Manager.

Развертывание настраиваемой политики WDAC с помощью пакетов/программ или последовательностей задач

Использование встроенных политик MEMCM может быть полезной отправной точкой, но клиенты могут найти параметры доверия, доступные в MEMCM, слишком ограничивающие. Чтобы определить собственный круг доверия, можно использовать MEMCM для развертывания настраиваемой политики WDAC с помощью развертывания на основе скриптов с помощью пакетов и программ и программ программного обеспечения или последовательностей задач развертывания операционной системы.