Uso de varias directivas de control de aplicaciones de Windows Defender

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

A partir de Windows 10 versión 1903 y Windows Server 2022, puedes implementar varias directivas de control de aplicaciones de Windows Defender (WDAC) en paralelo en un dispositivo. Para permitir más de 32 directivas activas, instale la actualización de seguridad de Windows publicada el 9 de abril de 2024 o después y reinicie el dispositivo. Con estas actualizaciones, no hay ningún límite para el número de directivas que puede implementar a la vez en un dispositivo determinado. Hasta que instale la actualización de seguridad de Windows publicada el 9 de abril de 2024 o después, el dispositivo se limita a 32 directivas activas y no debe superar ese número.

Nota

El límite de directivas no se quitó en Windows 11 21H2 y permanecerá limitado a 32 directivas.

Estos son algunos escenarios comunes en los que son útiles varias directivas en paralelo:

1. Aplicación y auditoría en paralelo
   • Para validar los cambios de directiva antes de implementarlos en modo de cumplimiento, los usuarios ahora pueden implementar una directiva base en modo de auditoría en paralelo con una directiva base de modo de aplicación existente.
2. Varias directivas base
   • Los usuarios pueden aplicar dos o más directivas base simultáneamente con el fin de permitir una segmentación de directivas más sencilla para las directivas con ámbito o intención diferentes.
   • Si existen dos directivas base en un dispositivo, una aplicación debe pasar ambas directivas para que se ejecute
3. Directivas complementarias
   • Los usuarios pueden implementar una o varias directivas complementarias para expandir una directiva base
   • Una directiva complementaria expande una sola directiva base y varias directivas complementarias pueden expandir la misma directiva base.
   • En el caso de las directivas complementarias, se ejecutan las aplicaciones permitidas por la directiva base o sus directivas o directivas complementarias.

Nota

Los sistemas anteriores a 1903 no admiten el uso de directivas WDAC de formato de directiva múltiple.

Interacción de directivas base y complementaria

• Varias directivas base: intersección
  • Solo las aplicaciones permitidas por ambas directivas se ejecutan sin generar eventos de bloque
• Base y directiva complementaria: unión
  • Archivos permitidos por la directiva base o la ejecución de la directiva complementaria

Creación de directivas WDAC en formato de directiva múltiple

Para permitir que existan varias directivas y surtan efecto en un único sistema, se deben crear directivas con el nuevo formato de directiva múltiple. El modificador "MultiplePolicyFormat" de New-CIPolicy da como resultado 1) valores únicos generados para el identificador de directiva y 2) el tipo de directiva establecido como una directiva base. En el ejemplo siguiente se describe el proceso de creación de una nueva directiva en el formato de varias directivas.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

Opcionalmente, puede optar por que la nueva directiva base permita directivas complementarias.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Para que las directivas base firmadas permitan directivas complementarias, asegúrese de que se definen los firmantes complementarios. Use el modificador Complementario de Add-SignerRule para proporcionar firmantes complementarios.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Creación de directivas complementarias

Para crear una directiva complementaria, empiece por crear una nueva directiva en el formato de directiva múltiple, como se mostró anteriormente. Desde allí, use Set-CIPolicyIdInfo para convertirla en una directiva complementaria y especificar qué directiva base se expande. Puede usar SupplementsBasePolicyID o BasePolicyToSupplementPath para especificar la directiva base.

• "SupplementsBasePolicyID": GUID de la directiva base a la que se aplica la directiva complementaria
• "BasePolicyToSupplementPath": ruta de acceso al archivo de directiva base al que se aplica la directiva complementaria

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Combinación de directivas

Al combinar directivas, se usa el tipo de directiva y el identificador de la directiva más a la izquierda o la primera especificada. Si el extremo izquierdo es una directiva base con identificador<, independientemente de cuáles sean los GUID y los tipos para las directivas posteriores, la directiva combinada es una directiva base con id<>.>

Implementación de varias directivas

Para implementar varias directivas de control de aplicaciones Windows Defender, debe implementarlas localmente copiando los *.cip archivos de directiva en la carpeta adecuada o mediante el CSP de ApplicationControl.

Implementación local de varias directivas

Para implementar directivas localmente con el nuevo formato de varias directivas, siga estos pasos:

1. Asegúrese de que los archivos de directiva binaria tienen el formato de nomenclatura correcto de {PolicyGUID}.cip.
   • Asegúrese de que el nombre del archivo de directiva binaria sea exactamente el mismo que el GUID de PolicyID en la directiva.
   • Por ejemplo, si el XML de la directiva tuviera el identificador como <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, el nombre correcto para el archivo de directiva binario sería {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
2. Copie las directivas binarias en C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. Reinicie el sistema.

Implementación de varias directivas a través de ApplicationControl CSP

Se pueden administrar varias directivas de control de aplicaciones Windows Defender desde un servidor MDM a través del proveedor de servicios de configuración de ApplicationControl (CSP). El CSP también proporciona compatibilidad con la implementación de directivas sin reinicio.

Sin embargo, cuando las directivas no se inscriben desde un servidor MDM, el CSP intenta quitar todas las directivas no implementadas activamente, no solo las directivas agregadas por el CSP. Este comportamiento se produce porque el sistema no sabe qué métodos de implementación se usaron para aplicar directivas individuales.

Para obtener más información sobre la implementación de varias directivas, opcionalmente mediante la funcionalidad personalizada de OMA-URI de Microsoft Intune, consulte ApplicationControl CSP.

Nota

WMI y GP no admiten actualmente varias directivas. En su lugar, los clientes que no puedan acceder directamente a la pila de MDM deben usar el CSP ApplicationControl a través del proveedor WMI del puente MDM para administrar el formato de varias directivas Windows Defender las directivas de Control de aplicaciones.