使用 Configuration Manager Windows Defender 应用程序控制管理

  • 项目

适用于: Configuration Manager(current branch)

Windows Defender应用程序控制旨在保护设备免受恶意软件和其他不受信任的软件的侵害。 它通过确保只能运行已批准的代码(你知道)来防止恶意代码运行。

应用程序控制是基于软件的安全层,它强制实施允许在电脑上运行的软件的显式列表。 应用程序控制本身没有任何硬件或固件先决条件。 使用 Configuration Manager部署的应用程序控制策略在目标集合中满足本文所述的最低 Windows 版本和 SKU 要求的设备上启用策略。 (可选)可以通过组策略在支持的硬件上启用通过 Configuration Manager 部署的应用程序控制策略的基于虚拟机监控程序的保护。

有关详细信息,请参阅Windows Defender应用程序控制部署指南

注意

此功能以前称为 可配置代码完整性Device Guard

将应用程序控制与Configuration Manager配合使用

可以使用 Configuration Manager 部署应用程序控制策略。 此策略允许配置应用程序控制在集合中的设备上运行的模式。

可以配置以下模式之一:

  1. 已启用强制 - 仅允许受信任的可执行文件运行。
  2. 仅审核 - 允许所有可执行文件运行,但记录在本地客户端事件日志中运行的不受信任的可执行文件。

部署应用程序控制策略时可以运行哪些内容?

应用程序控制允许你强有力地控制可在你管理的设备上运行的内容。 此功能对于高安全性部门的设备非常有用,在这些部门中,不需要的软件不能运行至关重要。

部署策略时,通常可以运行以下可执行文件:

  • Windows OS 组件
  • 具有 Windows 硬件质量实验室签名的硬件开发人员中心驱动程序
  • Windows 应用商店应用
  • Configuration Manager客户端
  • 设备在处理应用程序控制策略后通过Configuration Manager部署的所有软件
  • 从汇报到内置 Windows 组件:
    • Windows 更新
    • 适用于企业的 Windows 更新
    • Windows Server Update Services
    • 配置管理器
    • (可选)具有良好信誉的软件(由 Microsoft Intelligent Security Graph (ISG) 确定)。 ISG 包括Windows Defender SmartScreen 和其他Microsoft服务。 设备必须运行 Windows Defender SmartScreen 和 Windows 10 版本 1709 或更高版本,才能信任此软件。

重要

这些项目不包括 Windows 中未内置的任何软件,这些软件会自动从 Internet 或第三方软件更新进行更新。 无论它们是由任何列出的更新机制安装还是从 Internet 安装,此限制都适用。 应用程序控制仅允许通过 Configuration Manager 客户端部署的软件更改。

支持的操作系统

若要将应用程序控制与Configuration Manager一起使用,设备必须运行受支持的版本:

  • Windows 11 或更高版本的企业版
  • Windows 10 或更高版本,企业版
  • Windows Server 2019 或更高版本

提示

使用 Configuration Manager 版本 2006 或更低版本创建的现有应用程序控制策略不适用于 Windows Server。 若要支持 Windows Server,请创建新的应用程序控制策略。

准备工作

  • 在设备上成功处理策略后,Configuration Manager将配置为该客户端上的托管安装程序。 策略处理完成后,将自动信任Configuration Manager部署的软件。 在设备处理应用程序控制策略之前,由 Configuration Manager 安装的软件不会自动受信任。

    注意

    例如,不能在 OS 部署期间使用任务序列中的 “安装应用程序 ”步骤来安装应用程序。 有关详细信息,请参阅 任务序列步骤 - 安装应用程序

  • 应用程序控制策略的默认合规性评估计划是每天。 此计划可在策略部署期间配置。 如果发现策略处理中出现问题,请将合规性评估计划配置为更频繁。 例如,每小时一次。 此计划规定客户端在发生故障时重新尝试处理应用程序控制策略的频率。

  • 无论选择哪种强制模式,在部署应用程序控制策略时,设备都无法运行文件扩展名为的 .hta HTML 应用程序。

创建应用程序控制策略

  1. 在 Configuration Manager 控制台中,转到“资产和合规性”工作区。

  2. 展开“终结点保护”,然后选择“Windows Defender应用程序控制”节点。

  3. 在功能区的“ 开始 ”选项卡上的“ 创建 ”组中,选择“ 创建应用程序控制策略”。

  4. “创建应用程序控制策略向导”的“常规”页上,指定以下设置:

    • 名称:输入此应用程序控制策略的唯一名称。

    • 说明:(可选)输入策略的说明,以帮助你在Configuration Manager控制台中识别它。

    • 强制重启设备,以便对所有进程强制实施此策略:设备处理策略后,根据“计算机重启客户端设置”在客户端上计划重启。 设备上当前运行的应用程序在重启之前不会应用新的应用程序控制策略。 但是,在策略应用后启动的应用程序将遵循新策略。

    • 强制模式:选择以下强制方法之一:

      • 强制启用:仅允许受信任的应用程序运行。

      • 仅审核:允许所有应用程序运行,但记录运行不受信任的程序。 审核消息位于本地客户端事件日志中。

  5. “创建应用程序控制策略向导”的“包含”选项卡上,选择是否要授权智能安全图信任的软件

  6. 如果要为设备上的特定文件或文件夹添加信任,请选择“ 添加”。 在 “添加受信任的文件或文件夹 ”对话框中,可以指定要信任的本地文件或文件夹路径。 还可以在有权连接的远程设备上指定文件或文件夹路径。 为应用程序控制策略中的特定文件或文件夹添加信任时,可以:

    • 克服托管安装程序行为问题。

    • 信任无法使用 Configuration Manager 部署的业务线应用。

    • 信任 OS 部署映像中包含的应用。

  7. 完成该向导。

部署应用程序控制策略

  1. 在 Configuration Manager 控制台中,转到“资产和合规性”工作区。

  2. 展开“终结点保护”,然后选择“Windows Defender应用程序控制”节点。

  3. 从策略列表中,选择要部署的策略。 在功能区的“ 主页 ”选项卡上的“ 部署 ”组中,选择“ 部署应用程序控制策略”。

  4. 在“ 部署应用程序控制策略 ”对话框中,选择要将策略部署到的集合。 然后为客户端评估策略的时间配置计划。 最后,选择客户端是否可以在任何配置的维护时段外评估策略。

  5. 完成后,选择“ 确定” 以部署策略。

监视应用程序控制策略

通常,请使用 监视符合性设置 一文中的信息。 此信息可帮助你监视已部署的策略是否已正确应用于所有设备。

若要监视应用程序控制策略的处理,请在设备上使用以下日志文件:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

若要验证特定软件是否被阻止或审核,请参阅以下本地客户端事件日志:

  • 若要阻止和审核可执行文件,请使用应用程序和服务日志>Microsoft>Windows>代码完整性>操作

  • 若要阻止和审核 Windows Installer 和脚本文件,请使用应用程序和服务日志>Microsoft>Windows>AppLocker>MSI 和脚本

安全和隐私信息

  • “仅审核 ”或 “启用强制” 模式下部署了策略但尚未重启以强制实施策略的设备容易受到安装不受信任的软件的侵害。 在这种情况下,即使设备重启,软件仍可能继续运行,或在 “启用强制” 模式下接收策略。

  • 为了提高应用程序控制策略的有效性,请先在实验室环境中准备设备。 部署 “启用强制” 策略,然后重启设备。 验证应用是否正常工作后,将设备提供给用户。

  • 不要部署 启用了强制 的策略,之后再将 仅审核 的策略部署到同一设备。 此配置可能会导致不受信任的软件被允许运行。

  • 使用 Configuration Manager 在设备上启用应用程序控制时,该策略不会阻止具有本地管理员权限的用户绕过应用程序控制策略或以其他方式运行不受信任的软件。

  • 防止具有本地管理员权限的用户禁用应用程序控制的唯一方法是部署已签名的二进制策略。 此部署可以通过组策略进行,但目前在 Configuration Manager 中不受支持。

  • 将Configuration Manager设置为设备上的托管安装程序使用 Windows AppLocker 策略。 AppLocker 仅用于标识托管安装程序。 所有强制措施都通过应用程序控制进行。

后续步骤

管理反恶意软件策略和防火墙设置