Crear una directiva WDAC para dispositivos ligeramente administrados

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

En esta sección se describe el proceso para crear una directiva de control de aplicaciones de Windows Defender (WDAC) para dispositivos ligeramente administrados dentro de una organización. Normalmente, las organizaciones que no son nuevas en el control de aplicaciones serán más correctas si comienzan con una directiva permisiva como la descrita en este artículo. Las organizaciones pueden optar por reforzar la directiva a lo largo del tiempo para lograr una posición de seguridad general más sólida en sus dispositivos administrados por WDAC, como se describe en artículos posteriores.

Nota

Algunas de las opciones de control de aplicaciones de Windows Defender descritas en este tema solo están disponibles en Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas WDAC de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características y evaluar el impacto de las características que pueden no estar disponibles en los clientes. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.

Como en Windows Defender implementación de Application Control en diferentes escenarios: tipos de dispositivos, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso del control de aplicaciones para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.

Alice Pena es la responsable del equipo de TI encargado de implementar WDAC. Actualmente, Lamna tiene directivas de uso de aplicaciones flexibles y una referencia cultural de máxima flexibilidad de aplicaciones para los usuarios. Por lo tanto, Alice sabe que tendrá que adoptar un enfoque incremental para el control de aplicaciones y usar directivas diferentes para diferentes cargas de trabajo.

Para la mayoría de los usuarios y dispositivos, Alice quiere crear una directiva inicial lo más relajada posible con el fin de minimizar el impacto en la productividad del usuario, a la vez que proporciona valor de seguridad.

Definir el "círculo de confianza" para dispositivos ligeramente administrados

Alice identifica los siguientes factores clave para llegar al "círculo de confianza" de los dispositivos ligeramente administrados de Lamna, que actualmente incluyen la mayoría de los dispositivos de usuario final:

• Todos los clientes ejecutan Windows 10 versión 1903 y posteriores, o Windows 11;
• Todos los clientes se administran mediante Configuration Manager o con Intune.
• Algunas aplicaciones, pero no todas, se implementan mediante Configuration Manager;
• La mayoría de los usuarios son administradores locales en sus dispositivos;
• Es posible que algunos equipos necesiten más reglas para autorizar aplicaciones específicas que no se aplican con carácter general a todos los demás usuarios.

En función de lo anterior, Alice define las pseudo-reglas para la directiva:

1. Reglas de "Windows funciona" que autorizan:

   • Windows
   • WHQL (controladores de kernel de terceros)
   • Aplicaciones firmadas en la Tienda Windows

2. Reglas de "ConfigMgr funciona" que incluyen:

   • Reglas de firmante y hash para que los componentes de Configuration Manager funcionen correctamente.
   • Permitir que la regla del instalador administrado autorice Configuration Manager como instalador administrado.

3. Permitir Intelligent Security Graph (ISG) (autorización basada en reputación)

4. Aplicaciones firmadas mediante un certificado emitido por una entidad de certificación del Programa raíz de confianza de Windows

5. reglas de ruta de acceso de solo Administración para las siguientes ubicaciones:

   • C:\archivos*
   • C:\Archivos de programa (x86)*
   • %windir%*

Creación de una directiva base personalizada mediante una directiva base WDAC de ejemplo

Una vez definido el "círculo de confianza", Alice está lista para generar la directiva inicial para los dispositivos ligeramente administrados de Lamna. Alice decide usar el ejemplo SmartAppControl.xml para crear la directiva base inicial y, a continuación, personalizarla para satisfacer las necesidades de Lamna.

Alice sigue estos pasos para completar esta tarea:

1. En un dispositivo cliente, ejecute los siguientes comandos en una sesión de Windows PowerShell con privilegios elevados para inicializar variables:

   Nota

   Si prefiere usar otro ejemplo Windows Defender directiva base de Application Control, sustituya la ruta de acceso de la directiva de ejemplo por la directiva base preferida en este paso.

   $PolicyPath = $env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_LightlyManagedClients_Audit"
   $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
   $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
   

2. Copie la directiva de ejemplo en el escritorio:

   Copy-Item $ExamplePolicy $LamnaPolicy
   

3. Modifique la directiva para quitar la regla no admitida:

   Nota

   SmartAppControl.xmlestá disponible en Windows 11 versión 22H2 y posteriores. Esta directiva incluye la regla "Enabled:Conditional Windows Lockdown Policy" (Directiva de bloqueo condicional de Windows) que no es compatible con las directivas WDAC empresariales y que se debe quitar. Para obtener más información, vea WDAC y Smart App Control. Si usa una directiva de ejemplo distinta SmartAppControl.xmlde , omita este paso.

   [xml]$xml = Get-Content $LamnaPolicy
   $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
   $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
   $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
   $node.ParentNode.RemoveChild($node)
   $xml.Save($LamnaPolicy)
   

4. Asigne a la nueva directiva un identificador único, un nombre descriptivo y un número de versión inicial:

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. Use Configuration Manager para crear e implementar una directiva de auditoría en el dispositivo cliente que ejecuta Windows 10 versión 1903 y posteriores, o Windows 11. Combine la directiva de Configuration Manager con la directiva de ejemplo.

   Nota

   Si no usa Configuration Manager, omita este paso.

   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   

6. Modifique la directiva para establecer reglas de directiva adicionales:

   Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

7. Agregue reglas para permitir los directorios de Archivos de programa y Windows:

   $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
   $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
   Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
   

8. Si procede, agregue más reglas de firmante o archivo para personalizar aún más la directiva de su organización.

9. Use ConvertFrom-CIPolicy para convertir la directiva de control de aplicaciones Windows Defender a un formato binario:

   [xml]$PolicyXML = Get-Content $LamnaPolicy
   $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
   ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

10. Cargue el XML de la directiva base y el binario asociado en una solución de control de código fuente, como GitHub o una solución de administración de documentos como Office 365 SharePoint.

En este momento, Alice ahora tiene una directiva inicial que está lista para implementarse en modo de auditoría en los clientes administrados de Lamna.

Consideraciones de seguridad de esta directiva ligeramente administrada

Para minimizar el impacto en la productividad de los usuarios, Alice ha definido una directiva que hace varios equilibrios entre la seguridad y la flexibilidad de las aplicaciones de usuario. Algunos de los inconvenientes incluyen:

• Usuarios con acceso administrativo

  Esta compensación es la compensación de seguridad más impactante. Permite al usuario del dispositivo, o malware que se ejecuta con los privilegios del usuario, modificar o quitar la directiva WDAC en el dispositivo. Además, los administradores pueden configurar cualquier aplicación para que actúe como instalador administrado, lo que les permitiría obtener autorización de aplicación persistente para las aplicaciones o archivos binarios que deseen.

  Posibles mitigaciones:

  • Use directivas WDAC firmadas y protección de acceso al BIOS UEFI para evitar la manipulación de directivas WDAC.
  • Para quitar el requisito del instalador administrado, cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación.
  • Use la atestación de dispositivos para detectar el estado de configuración de WDAC en el momento del arranque y usar esa información para condicionar el acceso a recursos corporativos confidenciales.

• Directivas sin firmar

  Las directivas sin firmar se pueden reemplazar o quitar sin consecuencias por cualquier proceso que se ejecute como administrador. Las directivas base no firmadas que también habilitan directivas complementarias pueden tener su "círculo de confianza" modificado por cualquier directiva complementaria sin firmar.

  Posibles mitigaciones:

  • Use directivas WDAC firmadas y protección de acceso al BIOS UEFI para evitar la manipulación de directivas WDAC.
  • Limite quién puede elevar a administrador en el dispositivo.

• Instalador administrado

  Consulte consideraciones de seguridad con el instalador administrado.

  Posibles mitigaciones:

  • Para quitar el requisito del instalador administrado, cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación.
  • Limite quién puede elevar a administrador en el dispositivo.

• Gráfico de seguridad inteligente (ISG)

  Consulte consideraciones de seguridad con Intelligent Security Graph

  Posibles mitigaciones:

  • Implemente directivas que requieran que las aplicaciones se administren mediante TI. Audite el uso de aplicaciones existentes e implemente aplicaciones autorizadas mediante una solución de distribución de software, como Microsoft Intune. Pase de ISG a reglas basadas en firmas o instaladores administrados.
  • Use una directiva de modo de auditoría restrictiva para auditar el uso de la aplicación y aumentar la detección de vulnerabilidades.

• Directivas complementarias

  Las directivas complementarias están diseñadas para relajar la directiva base asociada. Además, permitir directivas sin firmar permite que cualquier proceso de administrador expanda el "círculo de confianza" definido por la directiva base sin restricciones.

  Posibles mitigaciones:

  • Use directivas WDAC firmadas que solo permitan directivas complementarias firmadas autorizadas.
  • Use una directiva de modo de auditoría restrictiva para auditar el uso de la aplicación y aumentar la detección de vulnerabilidades.

• Reglas de FilePath

  Consulte más información sobre las reglas de ruta de archivo.

  Posibles mitigaciones:

  • Limite quién puede elevar a administrador en el dispositivo.
  • Migrar de reglas de ruta de archivo a instalador administrado o reglas basadas en firmas.

• Archivos firmados

  Aunque los archivos firmados por código comprueban la identidad del autor y garantizan que el código no ha sido modificado por nadie que no sea el autor, no garantiza que el código firmado sea seguro.

  Posibles mitigaciones:

  • Use un software antivirus o antimalware de buena reputación con protección en tiempo real, como Microsoft Defender, para proteger sus dispositivos de archivos malintencionados, adware y otras amenazas.

Siguiente

• Creación de una directiva de control de aplicaciones de Windows Defender para dispositivos totalmente administrados
• Preparación para implementar directivas de Windows Defender Application Control