Implementación de directivas de Windows Defender Application Control mediante directiva de grupo

Nota

Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Importante

Debido a un problema conocido, siempre debe activar nuevas directivas wdac base firmadascon un reinicio en sistemas con integridad de memoria habilitada. En lugar de directiva de grupo, implemente nuevas directivas base WDAC firmadas mediante script y active la directiva con un reinicio del sistema.

Este problema no afecta a las actualizaciones de las directivas base firmadas que ya están activas en el sistema, la implementación de directivas sin firmar o la implementación de directivas complementarias (firmadas o sin firmar). Tampoco afecta a las implementaciones en sistemas que no ejecutan integridad de memoria.

El formato de directiva única Windows Defender las directivas de Control de aplicaciones (esquema de directiva anterior a 1903) se pueden implementar y administrar fácilmente con directiva de grupo.

Importante

directiva de grupo implementación basada en Windows Defender directivas de Control de aplicaciones solo admite directivas WDAC de formato de directiva única. Para usar WDAC en dispositivos que ejecutan Windows 10 1903 y versiones posteriores, o Windows 11, se recomienda usar un método alternativo para la implementación de directivas.

Ahora debería tener una directiva WDAC convertida en formato binario. Si no es así, siga los pasos descritos en Implementación de directivas de control de aplicaciones de Windows Defender (WDAC).

El siguiente procedimiento le guía por cómo implementar una directiva WDAC denominada SiPolicy.p7b en una unidad organizativa de prueba denominada PC habilitados para WDAC mediante un GPO denominado Contoso GPO Test.

Para implementar y administrar una directiva de control de aplicaciones de Windows Defender con directiva de grupo:

  1. En un equipo cliente en el que esté instalado RSAT, ejecute GPMC.MSC para abrir el GPMC.

  2. Crear un nuevo GPO: haga clic con el botón derecho en una unidad organizativa y, a continuación , seleccione Crear un GPO en este dominio y Vincularlo aquí.

    Nota

    Puede usar cualquier nombre de unidad organizativa. Además, el filtrado de grupos de seguridad es una opción cuando se tienen en cuenta diferentes formas de combinar directivas WDAC (o mantenerlas separadas), como se describe en Planeamiento de Windows Defender administración de directivas de ciclo de vida de Application Control.

    directiva de grupo Management, cree un GPO.

  3. Otorga un nombre al nuevo GPO. Puedes elegir cualquier nombre.

  4. Abra el Editor administración de directiva de grupo: haga clic con el botón derecho en el nuevo GPO y, a continuación, seleccione Editar.

  5. En el GPO seleccionado, vaya a Configuración del equipo\Plantillas administrativas\Sistema\Device Guard. Haga clic con el botón derecho en Implementar Windows Defender Control de aplicaciones y, a continuación, seleccione Editar.

    Edite el directiva de grupo para Windows Defender Control de aplicaciones.

  6. En el cuadro de diálogo Implementar Windows Defender Control de aplicaciones, seleccione la opción Habilitado y, a continuación, especifique la ruta de implementación de la directiva WDAC.

    En esta configuración de directiva, especifique la ruta de acceso local donde existirá la directiva en cada equipo cliente o una ruta de acceso de convención de nomenclatura universal (UNC) que buscarán los equipos cliente para recuperar la versión más reciente de la directiva. Por ejemplo, la ruta de acceso a SiPolicy.p7b mediante los pasos descritos en Implementación de directivas de control de aplicaciones de Windows Defender (WDAC) sería %USERPROFILE%\Desktop\SiPolicy.p7b.

    Nota

    No es necesario copiar este archivo de directiva en todos los equipos. En cambio, puedes copiar las directivas WDAC en un recurso compartido de archivos al que puedan acceder todas las cuentas de equipo. Cualquier directiva seleccionada aquí se convierte en SIPolicy.p7b al implementarse en los equipos cliente individuales.

    directiva de grupo denominado Deploy Windows Defender Application Control( Implementar Windows Defender control de aplicaciones).

    Nota

    Es posible que haya observado que la configuración de GPO hace referencia a un archivo .p7b, pero la extensión de archivo y el nombre del binario de directiva no son importantes. Independientemente del nombre binario de la directiva, todos se convierten en SIPolicy.p7b cuando se aplican a los equipos cliente que ejecutan Windows 10. Si va a implementar diferentes directivas WDAC en diferentes conjuntos de dispositivos, es posible que desee asignar un nombre descriptivo a cada una de las directivas WDAC y permitir que el sistema convierta los nombres de directiva para asegurarse de que las directivas se pueden distinguir fácilmente cuando se ven en un recurso compartido o en cualquier otro repositorio central.

  7. Cierre el Editor administración de directiva de grupo y reinicie el equipo de prueba de Windows. Al reiniciar el equipo, se actualiza la directiva WDAC.