Share via

在不同方案中Windows Defender应用程序控制部署:设备类型

注意

Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性

通常,Windows Defender应用程序控制 (WDAC) 部署最好分阶段进行,而不是只是“打开”的功能。阶段的选择和顺序取决于组织中各种计算机和其他设备的使用方式,以及 IT 管理这些设备的程度。 下表可帮助你开始制定在组织中部署 WDAC 的计划。 组织通常会在所述的每个类别中使用设备用例。

设备类型

设备类型 WDAC 与此类设备的关系
轻托管设备:公司拥有、但用户可以自由安装软件。
要求设备运行组织的防病毒解决方案和客户端管理工具。		 Windows Defender应用程序控制可用于帮助保护内核,以及监视 (审核) 有问题的应用程序,而不是限制可以运行的应用程序。
完全托管设备:已允许的软件受 IT 部门限制。
用户可以请求更多软件,或者从 IT 部门提供的应用程序列表中安装。
示例:锁定的、公司拥有的台式机和笔记本电脑。		 可以建立并强制实施应用程序控制策略Windows Defender初始基线。 每当 IT 部门批准更多应用程序时,它会更新 WDAC 策略,并 (目录) 未签名的 LOB 应用程序。
固定工作负载设备:每天执行相同的任务。
批准的应用程序列表很少更改。
示例:展台、销售点系统和呼叫中心计算机。		 Windows Defender应用程序控制可以完全部署,并且部署和持续管理相对简单。
Windows Defender应用程序控制部署后,只有批准的应用程序才能运行。 此规则是由于 WDAC 提供的保护。
自带设备办公:允许员工自带设备办公,还允许在不工作时使用这些设备。 在大多数情况下,Windows Defender应用程序控制不适用。 相反,可使用基于 MDM 的条件访问解决方案(如 Microsoft Intune)探索其他强化和安全功能。 但是,可以选择将审核模式策略部署到这些设备,或者仅使用阻止列表策略来防止组织认为恶意或易受攻击的特定应用或二进制文件。

Lamna Healthcare 公司简介

在下一组文章中,我们将使用名为 Lamna Healthcare Company 的虚构组织探索上述每个方案。

Lamna Healthcare Company (Lamna) 是一家大型医疗保健提供商,在美国运营。 Lamna 雇佣了数千名员工,从医生和护士到会计师、内部律师和 IT 技术人员。 他们的设备用例各不相同,包括专业工作人员的单用户工作站、医生和护士用于访问患者记录的共享展台、MRI 扫描仪等专用医疗设备等。 此外,Lamna 为许多专业员工提供宽松的自带设备策略。

Lamna 在混合模式下使用Microsoft Intune Configuration Manager和Intune。 尽管他们使用 Microsoft Intune 来部署许多应用程序,但 Lamna 始终放宽应用程序使用做法:单个团队和员工能够安装和使用他们认为在自己的工作站上扮演角色所需的任何应用程序。 Lamna 最近还开始使用Microsoft Defender for Endpoint来改进终结点检测和响应。

最近,Lamna 遇到了一个勒索软件事件,需要昂贵的恢复过程,并且可能包括未知攻击者的数据外泄。 攻击的一部分包括安装和运行恶意二进制文件,这些二进制文件逃避了 Lamna 防病毒解决方案的检测,但会受到应用程序控制策略的阻止。 作为回应,Lamna 执行董事会已授权许多新的安全 IT 响应,包括收紧应用程序使用策略和引入应用程序控制。

下一步