Пример базовых политик элемента управления приложениями для бизнеса
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
При создании политик для использования с элементом управления приложениями для бизнеса начните с существующей базовой политики, а затем добавьте или удалите правила для создания собственной настраиваемой политики. Windows содержит несколько примеров политик, которые можно использовать. Эти примеры политик предоставляются "как есть". Следует тщательно протестировать политики, которые вы развертываете, с помощью безопасных методов развертывания.
| Пример базовой политики | Описание | Где его можно найти |
|---|---|---|
| DefaultWindows_*.xml | Этот пример политики доступен как в режиме аудита, так и в режиме принудительного применения. Она включает правила, разрешают использование windows, сторонних драйверов оборудования и программного обеспечения, а также приложений Магазина Windows. Используется в качестве основы для Microsoft Intune политик семейства продуктов. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Этот пример политики включает правила из DefaultWindows и добавляет правила для приложений доверия, подписанных корневым сертификатом продукта Майкрософт. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Этот пример политики полезен при создании списка блокировок. Все политики блоков должны включать правила, разрешающие выполнение всего другого кода, а затем добавлять правила DENY для потребностей вашей организации. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Этот пример политики можно использовать для включения целостности памяти (также известной как целостность кода, защищенной гипервизором) с помощью элемента управления приложениями. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Предупреждение. Вызовет проблемы с загрузкой в Windows Server 2019 и более ранних версиях. Не используйте в этих операционных системах. Разверните этот пример политики в режиме аудита только для отслеживания всех двоичных файлов, работающих в критически важных системах, или для соответствия нормативным требованиям. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Клиенты, использующие Configuration Manager, могут развернуть политику со встроенной интеграцией управления приложениями Configuration Manager, а затем использовать xml-код созданной политики в качестве примера базовой политики. | %OSDrive%\Windows\CCM\DeviceGuard в управляемой конечной точке |
| SmartAppControl.xml | Этот пример политики содержит правила на основе интеллектуального управления приложениями , которые хорошо подходят для легко управляемых систем. Эта политика включает правило, которое не поддерживается для корпоративных политик управления приложениями и должно быть удалено. Дополнительные сведения об использовании этой политики см. в статье Создание пользовательской базовой политики с помощью примера базовой политики. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
| Пример дополнительной политики | В этом примере политики показано, как использовать дополнительную политику для развертывания DefaultWindows_Audit.xml разрешить один подписанный майкрософт файл. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Список рекомендуемых блокировок Майкрософт | Эта политика содержит список кода, подписанного Корпорацией Майкрософт и Windows, который корпорация Майкрософт рекомендует блокировать при использовании элемента управления приложениями, если это возможно. |
Рекомендуемые корпорацией Майкрософт правила блокировки %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Список блокировок драйверов, рекомендуемых Корпорацией Майкрософт | Эта политика включает правила для блокировки известных уязвимых или вредоносных драйверов ядра. |
Рекомендуемые корпорацией Майкрософт правила блокировки драйверов %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
| S-режим Windows | Эта политика включает правила, используемые для принудительного применения S-режима Windows. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Эта политика включает правила, используемые для принудительного применения Windows 11 SE— версии Windows, созданной для использования в учебных заведениях. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
Примечание.
Не все политики, доступные на странице %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, можно найти во всех версиях Windows.