Windows Defender应用程序控制和 AppLocker 概述

适用于:

  • Windows 10
  • Windows 11
  • Windows Server 2016 和更高版本

备注

应用程序控制Windows Defender仅在特定版本上Windows可用。 详细了解应用程序控制Windows Defender可用性

Windows 10 和 Windows 11 包括两种可用于应用程序控制的技术,具体取决于组织的特定方案和要求:Windows Defender 应用程序控制 (WDAC) 和 AppLocker。

Windows Defender 应用程序控制

WDAC 与 Windows 10引入,并允许组织控制允许哪些驱动程序和应用程序在 Windows 客户端上运行。 它根据服务条件(由 Microsoft安全响应中心与 MSRC (定义)) 。

WDAC 策略作为一个整体应用于托管计算机,并影响设备的所有用户。 WDAC 规则可以基于:

  • 代码签名证书 (用于) 应用及其二进制文件的代码签名证书的属性
  • 来自文件的已签名元数据(如原始文件名和版本)或文件哈希的应用二进制文件的属性
  • 由 Microsoft 的智能安全中心确定的应用Graph
  • 启动应用及其二进制文件安装的过程的标识 (托管安装程序)
  • 版本1903 开始启动应用或 (的路径Windows 10版本 1903)
  • 启动应用或二进制文件的过程

请注意,在 Windows 10版本 1709 之前,Windows Defender应用程序控制被称为可配置的代码完整性 (则 使用 进行) 。 WDAC 也是组成现已取消的术语"Device Guard"的功能之一。

WDAC 系统要求

WDAC 策略可以在内部版本 1903 及Windows 10的任何客户端版本上创建,Windows 11或Windows Server 2016版本创建。

WDAC 策略可通过移动设备管理 (MDM) 解决方案(例如 Intune)应用于运行任意版本的 Windows 10、Windows 11 或 Windows Server 2016 及以上版本的设备;管理接口,如 Configuration Manager;或脚本主机(如 PowerShell)。 组策略还可用于将 WDAC 策略部署到 Windows 10 和 Windows 11 Enterprise 版本,或 Windows Server 2016 及以上版本,但不能将策略部署到运行 Windows 10 的非 Enterprise SK 的设备。

有关特定 WDAC 版本上可用的单个 WDAC 功能详细信息,请参阅 WDAC 功能可用性

AppLocker

AppLocker 与 Windows 7 一起引入,并允许组织控制允许哪些应用程序在 Windows 客户端上运行。 AppLocker 有助于防止最终用户在计算机中运行未经批准的软件,但不符合作为安全功能的服务条件。

AppLocker 策略可应用于计算机上所有用户,或应用于单个用户和组。 AppLocker 规则可以基于:

  • 代码签名证书 (用于) 应用及其二进制文件的代码签名证书的属性
  • 来自文件的已签名元数据(如原始文件名和版本)或文件哈希的应用二进制文件的属性
  • 启动应用或文件的路径

AppLocker 系统要求

AppLocker 策略只能在运行在受支持版本和操作系统版本的设备上配置Windows应用。 有关详细信息,请参阅 AppLocker 的使用要求。 可以使用组策略或 MDM 部署 AppLocker 策略。

选择何时使用 WDAC 或 AppLocker

通常,建议能够使用 WDAC 而非 AppLocker 实现应用程序控制的客户这样做。 WDAC 正在进行持续改进,并且将从 Microsoft 管理平台获得额外的支持。 尽管 AppLocker 将继续收到安全修补程序,但它不会进行新功能改进。

但是,在某些情况下,AppLocker 可能是最适合你的组织的技术。 AppLocker 最适合于:

  • 你拥有混合Windows操作系统 (操作系统) 环境,并且需要将相同的策略控件Windows 10操作系统的早期版本。
  • 您需要对共享计算机上的不同用户或组应用不同的策略。
  • 你不希望对应用程序文件(如 DLL 或驱动程序)强制执行应用程序控制。

AppLocker 还可以部署为 WDAC 的补充,以添加共享设备方案的用户或组特定规则,其中阻止某些用户运行特定应用非常重要。 最佳做法是,应在组织可能的最严格级别强制执行 WDAC,然后可以使用 AppLocker 进一步微调限制。