Windows 应用程序控制

注意

Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性

每天创建成千上万个新的恶意文件,使用基于防病毒解决方案的基于签名的检测等传统方法来对抗恶意软件,为新的攻击提供了不足的防御能力。

在大多数组织中,信息是最有价值的资产,必须确保只有已批准的用户才能访问该信息。 然而,当用户运行某个进程时,该进程的访问级别等同于用户具有的数据访问级别。 因此,如果用户有意或无意运行恶意软件时,敏感信息可能被轻松删除或发送。

应用程序控制可以通过限制允许用户运行的应用程序以及 System Core (内核) 中运行的代码来帮助缓解这些类型的安全威胁。 应用程序控制策略还可以阻止未签名的脚本和 MSI,并限制Windows PowerShell在约束语言模式下运行。

鉴于当今的威胁形势,应用程序控制是保护企业的重要防线,与传统防病毒解决方案相比较,应用程序控制具有固有的优势。 具体而言,应用程序控制从假定所有应用程序都可信的应用程序信任模型转向应用程序必须赢得信任才能运行的应用程序信任模型。 许多组织(如澳大利亚信号局)都了解应用程序控制的重要性,并经常将应用程序控制作为解决基于可执行文件的恶意软件 (.exe、.dll 等威胁的最有效手段之一,) 。

注意

尽管应用程序控制可以显著强化计算机免受恶意代码的侵害,但我们建议你继续维护企业防病毒解决方案,以全面实现企业安全组合。

Windows 10和Windows 11包括两种技术,这些技术可用于应用程序控制,具体取决于组织的特定方案和要求:

  • Windows Defender应用程序控制 (WDAC) ;和
  • AppLocker

WDAC 和智能应用控制

从 Windows 11 版本 22H2 开始,智能应用控制为使用者提供应用程序控制。 智能应用控制基于 WDAC,允许企业客户创建一个策略,该策略提供与自定义功能相同的安全性和兼容性,以运行业务线 (LOB) 应用。 为了更轻松地实现此策略,提供了一个 示例策略 。 示例策略包括 WDAC 企业策略不支持的 Enabled:Conditional Windows 锁定 策略选项。 在使用示例策略之前,必须删除此规则。 若要将此示例策略用作创建自己的策略的起点,请参阅 使用 WDAC 基本策略示例创建自定义基本策略

智能应用控制仅适用于全新安装 Windows 11 版本 22H2 或更高版本,并在评估模式下启动。 智能应用控制会自动关闭企业托管设备,除非用户已先将其打开。 若要关闭跨组织的终结点的智能应用控制,可以将 DWORD (DWORD) 注册表值设置为“ VerifiedAndReputablePolicyState ”, HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy 如下表所示。 更改注册表值后,必须重启设备或使用 CiTool.exe -r 使更改生效。

描述
0 关闭
1 执行
2 评估

重要提示

关闭智能应用控制后,如果不重置或重新安装 Windows,则无法将其打开。

智能应用控制强制实施块

智能应用控制强制实施 Microsoft 建议的驱动程序阻止规则Microsoft 建议的阻止规则,但兼容性注意事项有一些例外。 智能应用控件不会阻止以下内容:

  • Infdefaultinstall.exe
  • Microsoft.Build.dll
  • Microsoft.Build.Framework.dll
  • Wslhost.dll

Windows 版本和许可要求

下表列出了支持Windows Defender应用程序控制 (WDAC) 的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

Windows Defender应用程序控制 (WDAC) 许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述