共用方式為

Windows Defender 應用程控和 AppLocker 概觀

注意

Windows Defender 應用程控 (WDAC) 的某些功能僅適用於特定 Windows 版本。 深入瞭解 WDAC 功能可用性

Windows 10 和 Windows 11 包含兩種可以用於應用程控的技術,視您組織的特定案例和需求而定:Windows Defender 應用程控 (WDAC) 和 AppLocker。

Windows Defender 應用程式控制

WDAC 是透過 Windows 10 導入,可讓組織控制哪些驅動程式和應用程式可在其 Windows 用戶端上執行。 它設計為服務 準則下的安全性功能,由 Microsoft 資訊安全回應中心 (MSRC) 所定義。

WDAC 原則會套用至整個受管理的電腦,並影響裝置的所有使用者。 WDAC 規則可以根據下列項目定義:

  • 用來簽署應用程式及其二進位檔的程式代碼簽署憑證 () 屬性
  • 來自檔案之已簽署元數據的應用程式二進位檔屬性,例如原始檔名和版本,或檔案的哈希
  • Microsoft Intelligent Security Graph 所決定的應用程式信譽
  • 起始安裝應用程式及其二進位檔的程式身分識別, (受管理的安裝程式)
  • 從 Windows 10 1903 版開始 (啟動應用程式或檔案的路徑)
  • 啟動應用程式或二進位檔的程式

注意

WDAC 最初發行為 Device Guard 的一部分,稱為可設定的程式代碼完整性。 除了透過 群組原則 尋找部署 WDAC 原則的位置之外,不再使用 Device Guard 和可設定的程式碼完整性。

WDAC 系統需求

WDAC 原則可以在任何用戶端版本的 Windows 10 或 Windows 11 上建立和套用,或在 Windows Server 2016 和更新版本上建立和套用。 WDAC 原則可以透過行動裝置 裝置管理 (MDM) 解決方案來部署,例如 Intune、管理介面,例如 Configuration Manager,或是 PowerShell 等腳本主機。 群組原則 也可以用來部署 WDAC 原則,但僅限於在 Windows Server 2016 和 2019 上運作的單一原則格式原則。

如需特定 WDAC 組建上可用個別 WDAC 功能的詳細資訊,請參閱 WDAC 功能可用性

AppLocker

AppLocker 是隨 Windows 7 引進的,可讓組織控制哪些應用程式可在其 Windows 用戶端上執行。 AppLocker 可協助防止使用者在其計算機上執行未經核准的軟體,但不符合安全性功能的服務準則。

AppLocker 原則可以套用至計算機上的所有使用者,或適用於個別使用者和群組。 AppLocker 規則可以根據下列項目定義:

  • 用來簽署應用程式及其二進位檔的程式代碼簽署憑證 () 屬性。
  • 來自檔案之已簽署元數據的應用程式二進位檔屬性,例如原始檔名和版本,或檔案的哈希。
  • 啟動應用程式或檔案的來源路徑。

WDAC 的某些功能也會使用 AppLocker,包括 受管理的安裝程式Intelligent Security Graph

AppLocker 系統需求

AppLocker 原則只能在支援的 Windows 作業系統版本上執行的裝置上設定及套用。 如需詳細資訊,請參閱使用 AppLocker 的需求。 AppLocker 原則可以使用 群組原則 或 MDM 來部署。

選擇使用 WDAC 或 AppLocker 的時機

一般而言,能夠使用 WDAC 而非 AppLocker 實作應用程控的客戶應該這麼做。 WDAC 正持續進行改善,並正從 Microsoft 管理平台獲得新增支援。 雖然 AppLocker 會繼續收到安全性修正,但並未獲得新功能改善。

不過,在某些情況下,AppLocker 可能是貴組織更適合的技術。 AppLocker 最適合用於:

  • 您有混合的 Windows 作業系統 (操作系統) 環境,而且需要將相同的原則控件套用至 Windows 10 和舊版操作系統。
  • 您必須為共享電腦上的不同使用者或群組套用不同的原則。
  • 您不想要在 DLL 或驅動程式等應用程式檔上強制執行應用程控。

AppLocker 也可以部署為 WDAC 的補充,以針對共用裝置案例新增使用者或群組特定規則,其中務必防止某些使用者執行特定應用程式。 最佳做法是,您應該對組織強制執行最嚴格層級的 WDAC,然後您可以使用 AppLocker 進一步微調限制。