Compartir a través de


Windows Defender directivas base de ejemplo de Application Control

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Para obtener más información, consulte Windows Defender disponibilidad de características de Application Control.

Al crear directivas para usarlas con Windows Defender Control de aplicaciones (WDAC), comience desde una directiva base existente y, a continuación, agregue o quite reglas para crear su propia directiva personalizada. Windows incluye varias directivas de ejemplo que puede usar. Estas directivas de ejemplo se proporcionan "tal cual". Debe probar exhaustivamente las directivas que implementa mediante métodos de implementación seguros.

Ejemplo de directiva base Descripción Dónde se puede encontrar
DefaultWindows_*.xml Esta directiva de ejemplo está disponible tanto en modo de auditoría como de aplicación. Incluye reglas para permitir windows, controladores de kernel de hardware y software de terceros y aplicaciones de la Tienda Windows. Se usa como base para las directivas de familia de productos Microsoft Intune. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml
AllowMicrosoft.xml Esta directiva de ejemplo incluye las reglas de DefaultWindows y agrega reglas a las aplicaciones de confianza firmadas por el certificado raíz del producto de Microsoft. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml
AllowAll.xml Esta directiva de ejemplo es útil al crear una lista de bloqueos. Todas las directivas de bloque deben incluir reglas que permitan ejecutar el resto del código y, a continuación, agregar las reglas DENY para las necesidades de la organización. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml
AllowAll_EnableHVCI.xml Esta directiva de ejemplo se puede usar para habilitar la integridad de memoria (también conocida como integridad de código protegida por hipervisor) mediante WDAC. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml
DenyAllAudit.xml Advertencia: provocará problemas de arranque en Windows Server 2019 y versiones anteriores. No usar en esos sistemas operativos. Implemente solo esta directiva de ejemplo en modo de auditoría para realizar un seguimiento de todos los archivos binarios que se ejecutan en sistemas críticos o para cumplir los requisitos normativos. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml
Microsoft Configuration Manager Los clientes que usan Configuration Manager pueden implementar una directiva con la integración wdac integrada de Configuration Manager y, a continuación, usar el XML de directiva generado como una directiva base de ejemplo. %OSDrive%\Windows\CCM\DeviceGuard en un punto de conexión administrado
SmartAppControl.xml Esta directiva de ejemplo incluye reglas basadas en Smart App Control que son adecuadas para sistemas ligeramente administrados. Esta directiva incluye una regla que no es compatible con las directivas WDAC empresariales y que se debe quitar. Para obtener más información sobre el uso de esta directiva de ejemplo, consulte Creación de una directiva base personalizada mediante una directiva base de ejemplo. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml
Ejemplo de directiva complementaria En esta directiva de ejemplo se muestra cómo usar la directiva complementaria para expandir el DefaultWindows_Audit.xml permitir un único archivo firmado por Microsoft. %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml
Lista de bloques recomendada por Microsoft Esta directiva incluye una lista de código firmado por Windows y Microsoft que Microsoft recomienda bloquear al usar WDAC, si es posible. Reglas de bloqueo recomendadas por Microsoft
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml
Lista de bloqueos de controladores recomendados por Microsoft Esta directiva incluye reglas para bloquear controladores de kernel vulnerables o malintencionados conocidos. Reglas de bloqueo de controladores recomendadas por Microsoft
%OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml
%ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml
Modo S de Windows Esta directiva incluye las reglas que se usan para aplicar el modo S de Windows. %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml
Windows 11 SE Esta directiva incluye las reglas que se usan para aplicar Windows 11 SE, una versión de Windows creada para su uso en escuelas. %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml

Nota

No todas las directivas que se muestran disponibles en %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies se pueden encontrar en todas las versiones de Windows.