Creación de una directiva WDAC mediante un equipo de referencia

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

En esta sección se describe el proceso para crear una directiva de control de aplicaciones de Windows Defender (WDAC) mediante un equipo de referencia que ya está configurado con el software que desea permitir. Puede usar este enfoque para dispositivos de carga de trabajo fija dedicados a un propósito funcional específico y compartir atributos de configuración comunes con otros dispositivos que atienden el mismo rol funcional. Algunos ejemplos de dispositivos de carga de trabajo fija pueden ser controladores de Dominio de Active Directory, estaciones de trabajo de Administración seguras, equipos de mezcla de medicamentos farmacéuticos, dispositivos de fabricación, cajas registradoras, cajeros automáticos, etc. Este enfoque también se puede usar para activar WDAC en sistemas "en estado salvaje" y desea minimizar el posible impacto en la productividad de los usuarios.

Nota

Algunas de las opciones de control de aplicaciones de Windows Defender descritas en este tema solo están disponibles en Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas WDAC de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características y evaluar el impacto de las características que pueden no estar disponibles en los clientes. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.

Como se describe en escenarios comunes de implementación de Windows Defender Application Control, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso del control de aplicaciones para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.

Alice Pena es la responsable del equipo de TI encargado de implementar WDAC.

Creación de una directiva base personalizada mediante un dispositivo de referencia

Alice creó anteriormente una directiva para los dispositivos de usuario final totalmente administrados de la organización. Ahora quiere usar WDAC para proteger los servidores de infraestructura críticos de Lamna. La práctica de creación de imágenes de Lamna para sistemas de infraestructura consiste en establecer una imagen "dorada" como referencia para el aspecto que debe tener un sistema ideal y, a continuación, usar esa imagen para clonar más recursos de la empresa. Alice decide usar estos mismos sistemas de imágenes "dorados" para crear las directivas WDAC, lo que dará lugar a directivas base personalizadas independientes para cada tipo de servidor de infraestructura. Al igual que con la creación de imágenes, tendrá que crear directivas a partir de varios equipos dorados basados en el modelo, el departamento, el conjunto de aplicaciones, etc.

Nota

Asegúrate de que el equipo de referencia no tenga virus ni malware y de haber instalado cualquier software que quieras escanear antes de crear la directiva WDAC.

Todas las aplicaciones de software instaladas deben validarse como de confianza antes de crear esta directiva.

Te recomendamos que revises el equipo de referencia para el software que puede cargar archivos DLL arbitrarias y ejecutar código o scripts que podrían hacer que el PC sea más vulnerable. Algunos ejemplos son el software destinado al desarrollo o scripting, como msbuild.exe (parte de Visual Studio y .NET Framework), que se pueden quitar si no desea ejecutar scripts. Puedes quitar o deshabilitar dicho software en el equipo de referencia.

Alice identifica los siguientes factores clave para llegar al "círculo de confianza" para los servidores de infraestructura críticos de Lamna:

• Todos los dispositivos ejecutan Windows Server 2019 o superior;
• Todas las aplicaciones se administran e implementan de forma centralizada;
• No hay usuarios interactivos.

En función de lo anterior, Alice define las pseudo-reglas para la directiva:

1. Reglas de "Windows funciona" que autorizan:

   • Windows
   • WHQL (controladores de kernel de terceros)
   • Aplicaciones firmadas en la Tienda Windows

2. Reglas para los archivos escaneados que autorizan todos los archivos binarios de aplicaciones preexisterios que se encuentran en el dispositivo

Para crear la directiva WDAC, Alice ejecuta cada uno de los comandos siguientes en una sesión de Windows PowerShell con privilegios elevados, en orden:

1. Inicializar variables.

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName="FixedWorkloadPolicy_Audit"
   $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml"
   $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
   

2. Usa New-CIPolicy para crear una nueva directiva WDAC mediante el examen en el sistema de las aplicaciones instaladas:

   New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
   

   Nota

   • Puedes agregar el parámetro -Fallback para detectar las aplicaciones no detectadas mediante el nivel de regla de archivo principal especificado por el parámetro -Level. Para obtener más información sobre las opciones de nivel de regla de archivo, consulte Windows Defender niveles de regla de archivo de Control de aplicaciones.
   • Para especificar que la directiva WDAC solo examine una unidad específica, incluye el parámetro -ScanPath seguido de una ruta de acceso. Sin este parámetro, la herramienta examinará la unidad C de forma predeterminada.
   • Cuando especifiques el parámetro -UserPEs (para incluir ejecutables de modo usuario en el examen), la opción de regla 0 Enabled: UMCI se agrega automáticamente a la directiva WDAC. Si no especifica -UserPEs, la directiva estará vacía de ejecutables en modo de usuario y solo tendrá reglas para los archivos binarios del modo kernel, como los controladores. En otras palabras, la lista de permitidos no incluirá aplicaciones. Si creas esta directiva y, posteriormente, agregas la opción de regla 0 Enabled:UMCI, todos los intentos de iniciar aplicaciones provocarán una respuesta del Control de aplicaciones de Windows Defender. En el modo de auditoría, la respuesta es registrar un evento y, en modo de aplicación, la respuesta es bloquear la aplicación.
   • Para crear una directiva para Windows 10 1903 y versiones posteriores, incluida la compatibilidad con directivas complementarias, use -MultiplePolicyFormat.
   • Para especificar una lista de rutas de acceso que se excluirán del examen, use la opción -OmitPaths y proporcione una lista delimitada por comas de rutas de acceso.
   • El ejemplo anterior incluye 3> CIPolicylog.txt, que redirige mensajes de advertencia a un archivo de texto, CIPolicylog.txt.

3. Combine la nueva directiva con la directiva de WindowsDefault_Audit para asegurarse de que se cargarán todos los archivos binarios y controladores de kernel de Windows.

   Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
   

4. Asigne a la nueva directiva un nombre descriptivo y un número de versión inicial:

   Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName
   Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
   

5. Modifique la directiva combinada para establecer reglas de directiva:

   Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
   

6. Si procede, agregue más reglas de firmante o archivo para personalizar aún más la directiva de su organización.

7. Usa ConvertFrom-CIPolicy para convertir la directiva WDAC a un formato binario:

   [xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy
   $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId
   $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip"
   ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
   

8. Cargue el XML de directiva base y el binario asociado en una solución de control de código fuente como GitHub o una solución de administración de documentos como Office 365 SharePoint.

Alice ahora tiene una directiva inicial para los servidores de infraestructura críticos de Lamna que está lista para implementarse en modo de auditoría.

Creación de una directiva base personalizada para minimizar el impacto del usuario en los dispositivos cliente en uso

Alice creó anteriormente una directiva para los dispositivos totalmente administrados de la organización. Alice ha incluido la directiva de dispositivos totalmente administrada como parte del proceso de compilación de dispositivos de Lamna, por lo que todos los dispositivos nuevos ahora comienzan con WDAC habilitado. Se está preparando para implementar la directiva en sistemas que ya están en uso, pero que están preocupados por provocar interrupciones en la productividad de los usuarios. Para minimizar ese riesgo, Alice decide adoptar un enfoque diferente para esos sistemas. Seguirá implementando la directiva de dispositivo totalmente administrada en modo de auditoría en esos dispositivos, pero para el modo de cumplimiento combinará las reglas de directiva de dispositivos totalmente administradas con una directiva creada mediante el examen del dispositivo para todo el software instalado anteriormente. De este modo, cada dispositivo se trata como su propio sistema "dorado".

Alice identifica los siguientes factores clave para llegar al "círculo de confianza" para los dispositivos en uso totalmente administrados de Lamna:

• Todo lo que se describe para los dispositivos totalmente administrados de Lamna;
• Los usuarios han instalado aplicaciones que necesitan para seguir ejecutándose.

En función de lo anterior, Alice define las pseudo-reglas para la directiva:

1. Todo lo incluido en la directiva de dispositivos totalmente administrados
2. Reglas para los archivos escaneados que autorizan todos los archivos binarios de aplicaciones preexisterios que se encuentran en el dispositivo

Para los dispositivos existentes y en uso de Lamna, Alice implementa un script junto con el XML de directiva de dispositivos totalmente administrados (no el binario de directiva WDAC convertido). A continuación, el script genera una directiva personalizada localmente en el cliente como se describe en la sección anterior, pero en lugar de combinarse con la directiva DefaultWindows, el script se combina con la directiva Dispositivos totalmente administrados de Lamna. Alice también modifica los pasos anteriores para que coincidan con los requisitos de este caso de uso diferente.