Criteri di base di esempio di Controllo app per le aziende
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Quando si creano criteri per l'uso con Controllo app per le aziende, iniziare da un criterio di base esistente e quindi aggiungere o rimuovere regole per creare criteri personalizzati. Windows include diversi criteri di esempio che è possibile usare. Questi criteri di esempio sono forniti "così come sono". È consigliabile testare accuratamente i criteri distribuiti usando metodi di distribuzione sicuri.
| Criteri di base di esempio | Descrizione | Dove è possibile trovarlo |
|---|---|---|
| DefaultWindows_*.xml | Questo criterio di esempio è disponibile sia in modalità di controllo che in modalità applicata. Include regole per consentire Windows, driver del kernel hardware e software di terze parti e app di Windows Store. Usato come base per i criteri della famiglia di prodotti Microsoft Intune. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Questo criterio di esempio include le regole di DefaultWindows e aggiunge regole per considerare attendibili le app firmate dal certificato radice del prodotto Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Questo criterio di esempio è utile quando si crea un blocklist. Tutti i criteri di blocco devono includere regole che consentono l'esecuzione di tutto il codice e quindi aggiungere le regole DENY per le esigenze dell'organizzazione. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Questo criterio di esempio può essere usato per abilitare l'integrità della memoria (nota anche come integrità del codice protetta da hypervisor) tramite Controllo app. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Avviso: causerà problemi di avvio in Windows Server 2019 e versioni precedenti. Non usare su tali sistemi operativi. Distribuire questo criterio di esempio solo in modalità di controllo per tenere traccia di tutti i file binari in esecuzione in sistemi critici o per soddisfare i requisiti normativi. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | I clienti che usano Configuration Manager possono distribuire un criterio con l'integrazione predefinita di Controllo app di Configuration Manager e quindi usare il codice XML dei criteri generato come criterio di base di esempio. | %OSDrive%\Windows\CCM\DeviceGuard in un endpoint gestito |
| SmartAppControl.xml | Questo criterio di esempio include regole basate su Controllo app intelligenti che sono particolarmente adatte per sistemi gestiti in modo leggero. Questo criterio include una regola non supportata per i criteri di controllo delle app aziendali e che deve essere rimossa. Per altre informazioni sull'uso di questo criterio di esempio, vedere Creare un criterio di base personalizzato usando un criterio di base di esempio. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
| Esempio di criteri supplementari | Questo criterio di esempio illustra come usare i criteri supplementari per espandere il DefaultWindows_Audit.xml consentire un singolo file firmato da Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Elenco di blocchi consigliato da Microsoft | Questo criterio include un elenco di codice firmato da Windows e Microsoft che Microsoft consiglia di bloccare quando si usa Controllo app, se possibile. |
Regole di blocco consigliate da Microsoft %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Elenco di blocchi dei driver consigliati da Microsoft | Questo criterio include regole per bloccare i driver del kernel noti vulnerabili o dannosi. |
Regole di blocco driver consigliate Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Modalità Windows S | Questo criterio include le regole usate per applicare la modalità S di Windows. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Questo criterio include le regole usate per applicare Windows 11 SE, una versione di Windows creata per l'uso nelle scuole. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
Nota
Non tutti i criteri visualizzati in %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies sono disponibili in tutte le versioni di Windows.