Используйте политику управления приложениями в Защитнике Windows для управления определенными модулями, надстройками и модулями.

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Примечание

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Начиная с Windows 10 версии 1703 политику WDAC можно использовать не только для управления приложениями, но и для управления возможностью запуска конкретных подключаемых модулей, надстроек и модулей в определенных приложениях (например, в бизнес-приложении или браузере).

Метод (начиная с Windows 10 версии 1703) Рекомендации
Вы можете работать в списке подключаемых модулей, надстроек и модулей, которые будет запускать только определенное приложение. Другие приложения не смогут их запускать. Используйте New-CIPolicyRule с параметром -AppID.
Кроме того, можно работать в списке подключаемых модулей, надстроек и модулей, которые должны быть заблокированы в определенном приложении. Другие приложения смогут их запускать. Используйте New-CIPolicyRule с параметрами -AppID и -Deny.

Для работы с этими вариантами типичным методом является создание политики, которая затрагивает только подключаемых модулей, надстройки и модули, а затем объединить ее в политику "мастер" (объединение описано в следующем разделе).

Например, чтобы создать политику WDAC, позволяющуюaddin1.dll** ** и addin2.dll запускать в ERP1.exe, приложение планирования корпоративных ресурсов организации (ERP), запустите следующие команды. Обратите внимание, что во второй команде += используется для добавления второго правила в переменную $rule:

$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin1.dll' -Level FileName -AppID '.\ERP1.exe'
$rule += New-CIPolicyRule -DriverFilePath '.\temp\addin2.dll' -Level FileName -AppID '.\ERP1.exe'
New-CIPolicy -Rules $rule -FilePath ".\AllowERPAddins.xml" -UserPEs

Еще один пример: чтобы создать политику WDAC, которая блокирует запуск addin3.dll в Microsoft Word, выполните следующую команду. Необходимо включить возможность -Deny блокировки указанных надстройок в указанном приложении:

$rule = New-CIPolicyRule -DriverFilePath '.\temp\addin3.dll' -Level FileName -Deny -AppID '.\winword.exe'
New-CIPolicy -Rules $rule -FilePath ".\BlockAddins.xml" -UserPEs