Implementación de directivas WDAC mediante Mobile Administración de dispositivos (MDM)

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Puede usar una solución mobile Administración de dispositivos (MDM), como Microsoft Intune, para configurar Windows Defender Application Control (WDAC) en máquinas cliente. Intune incluye compatibilidad nativa con WDAC, que puede ser un punto de partida útil, pero los clientes pueden encontrar las opciones de círculo de confianza disponibles demasiado limitantes. Para implementar una directiva personalizada a través de Intune y definir su propio círculo de confianza, puede configurar un perfil mediante OMA-URI personalizado. Si su organización usa otra solución MDM, consulte con el proveedor de soluciones los pasos de implementación de directivas WDAC.

Importante

Debido a un problema conocido, siempre debe activar nuevas directivas wdac base firmadascon un reinicio en sistemas con integridad de memoria habilitada. En lugar de Mobile Administración de dispositivos (MDM), implemente nuevas directivas wdac base firmadas mediante script y active la directiva con un reinicio del sistema.

Este problema no afecta a las actualizaciones de las directivas base firmadas que ya están activas en el sistema, la implementación de directivas sin firmar o la implementación de directivas complementarias (firmadas o sin firmar). Tampoco afecta a las implementaciones en sistemas que no ejecutan integridad de memoria.

Uso de las directivas integradas de Intune

La compatibilidad integrada con el control de aplicaciones Windows Defender de Intune permite configurar los equipos cliente de Windows para que solo se ejecuten:

• Componentes de Windows
• Controladores de hardware y kernel de software de terceros
• Aplicaciones firmadas por Microsoft Store
• [Opcional] Aplicaciones de confianza definidas por Intelligent Security Graph (ISG)

Nota

las directivas integradas de Intune usan la versión de formato de directiva única anterior a 1903 de la directiva DefaultWindows. Use la experiencia Intune WDAC mejorada, actualmente en versión preliminar pública, para crear e implementar archivos de formato de varias directivas. O bien, puede usar la característica personalizada OMA-URI de Intune para implementar sus propias directivas WDAC de formato de varias directivas y aprovechar las características disponibles en Windows 10 1903+ o Windows 11 como se describe más adelante en este tema.

Nota

Intune usa actualmente el CSP de AppLocker para implementar sus directivas integradas. El CSP de AppLocker siempre solicita un reinicio del dispositivo cuando aplica directivas WDAC. Use la experiencia Intune WDAC mejorada, actualmente en versión preliminar pública, para implementar sus propias directivas WDAC sin reiniciar. O bien, puede usar la característica OMA-URI personalizada de Intune con el CSP de ApplicationControl.

Para usar las directivas WDAC integradas de Intune, configure Endpoint Protection para Windows 10 (y versiones posteriores).

Implementación de directivas WDAC con OMA-URI personalizado

Nota

Las directivas implementadas a través de Intune OMA-URI personalizado están sujetas a un límite de 350 000 bytes. Los clientes deben crear Windows Defender directivas de Control de aplicaciones que usen reglas basadas en firmas, Intelligent Security Graph e instaladores administrados donde sea práctico. También se recomienda a los clientes cuyos dispositivos ejecutan más de 1903 compilaciones de Windows que usen varias directivas que permitan directivas más pormenorizadas.

Ahora debe tener una o varias directivas WDAC convertidas en formato binario. Si no es así, siga los pasos descritos en Implementación de directivas de control de aplicaciones de Windows Defender (WDAC).

Implementación de directivas WDAC personalizadas en Windows 10 1903+

A partir de Windows 10 1903, la implementación personalizada de directivas OMA-URI puede usar el CSP de ApplicationControl, que admite varias directivas y directivas sin reinicio.

Nota

Debe convertir el XML de la directiva personalizada en un formulario binario antes de implementarlo con OMA-URI.

Los pasos para usar la funcionalidad OMA-URI personalizada de Intune son:

1. Abra el portal de Microsoft Intune y cree un perfil con la configuración personalizada.

2. Especifique un nombre y una descripción y use los siguientes valores para la configuración OMA-URI personalizada restante:

   • OMA-URI: ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
   • Tipo de datos: Base64 (archivo)
   • Archivo de certificado: cargue el archivo de directiva de formato binario. Para ello, cambie el archivo {GUID}.cip a {GUID}.bin. No es necesario cargar un archivo Base64, ya que Intune convierte el archivo .bin cargado en Base64 en su nombre.

   

Nota

Para el valor GUID de directiva , no incluya los corchetes.

Eliminación de directivas WDAC en Windows 10 1903+

Tras la eliminación, las directivas implementadas a través de Intune a través del CSP de ApplicationControl se quitan del sistema, pero permanecen en vigor hasta el siguiente reinicio. Para deshabilitar Windows Defender aplicación de Application Control, reemplace primero la directiva existente por una nueva versión de la directiva que "Permita *", como las reglas de la directiva de ejemplo en %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Una vez implementada la directiva actualizada, puede eliminarla del portal de Intune. Esta eliminación impedirá que cualquier cosa se bloquee y quite completamente la directiva WDAC en el siguiente reinicio.

Para sistemas anteriores a 1903

Implementación de directivas

Los pasos para usar la funcionalidad OMA-URI personalizada de Intune para aplicar el CSP de AppLocker e implementar una directiva WDAC personalizada en sistemas anteriores a 1903 son:

1. Convierta el XML de directiva en formato binario mediante el cmdlet ConvertFrom-CIPolicy para implementarlo. La directiva binaria puede estar firmada o sin firmar.

2. Abra el portal de Microsoft Intune y cree un perfil con la configuración personalizada.

3. Especifique un nombre y una descripción y use los siguientes valores para la configuración OMA-URI personalizada restante:

   • OMA-URI: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
   • Tipo de datos: Base64 (archivo)
   • Archivo de certificado: carga del archivo de directiva de formato binario

   Nota

   La implementación de directivas a través del CSP de AppLocker forzará un reinicio durante OOBE.

Eliminación de directivas

Las directivas implementadas a través de Intune a través del CSP de AppLocker no se pueden eliminar a través de la consola de Intune. Para deshabilitar Windows Defender aplicación de directivas de Application Control, implemente una directiva en modo de auditoría o use un script para eliminar la directiva existente.