Directivas base de ejemplo de App Control para empresas
Nota
Algunas funcionalidades de App Control para empresas solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de App Control.
Cuando cree directivas para usarlas con App Control para empresas, comience desde una directiva base existente y, a continuación, agregue o quite reglas para compilar su propia directiva personalizada. Windows incluye varias directivas de ejemplo que puede usar. Estas directivas de ejemplo se proporcionan "tal cual". Debe probar exhaustivamente las directivas que implementa mediante métodos de implementación seguros.
| Ejemplo de directiva base | Descripción | Dónde se puede encontrar |
|---|---|---|
| DefaultWindows_*.xml | Esta directiva de ejemplo está disponible tanto en modo de auditoría como de aplicación. Incluye reglas para permitir windows, controladores de kernel de hardware y software de terceros y aplicaciones de la Tienda Windows. Se usa como base para las directivas de familia de productos Microsoft Intune. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Esta directiva de ejemplo incluye las reglas de DefaultWindows y agrega reglas a las aplicaciones de confianza firmadas por el certificado raíz del producto de Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Esta directiva de ejemplo es útil al crear una lista de bloqueos. Todas las directivas de bloque deben incluir reglas que permitan ejecutar el resto del código y, a continuación, agregar las reglas DENY para las necesidades de la organización. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Esta directiva de ejemplo se puede usar para habilitar la integridad de memoria (también conocida como integridad de código protegida por hipervisor) mediante App Control. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Advertencia: provocará problemas de arranque en Windows Server 2019 y versiones anteriores. No usar en esos sistemas operativos. Implemente solo esta directiva de ejemplo en modo de auditoría para realizar un seguimiento de todos los archivos binarios que se ejecutan en sistemas críticos o para cumplir los requisitos normativos. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Los clientes que usan Configuration Manager pueden implementar una directiva con la integración integrada de App Control de Configuration Manager y, a continuación, usar el XML de directiva generado como una directiva base de ejemplo. | %OSDrive%\Windows\CCM\DeviceGuard en un punto de conexión administrado |
| SmartAppControl.xml | Esta directiva de ejemplo incluye reglas basadas en Smart App Control que son adecuadas para sistemas ligeramente administrados. Esta directiva incluye una regla que no es compatible con las directivas de Control de aplicaciones empresariales y que se debe quitar. Para obtener más información sobre el uso de esta directiva de ejemplo, consulte Creación de una directiva base personalizada mediante una directiva base de ejemplo. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\SignedReputable.xml |
| Ejemplo de directiva complementaria | En esta directiva de ejemplo se muestra cómo usar la directiva complementaria para expandir el DefaultWindows_Audit.xml permitir un único archivo firmado por Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Lista de bloques recomendada por Microsoft | Esta directiva incluye una lista de código firmado por Windows y Microsoft que Microsoft recomienda bloquear al usar App Control, si es posible. |
Reglas de bloqueo recomendadas por Microsoft %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Lista de bloqueos de controladores recomendados por Microsoft | Esta directiva incluye reglas para bloquear controladores de kernel vulnerables o malintencionados conocidos. |
Reglas de bloqueo de controladores recomendadas por Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Modo S de Windows | Esta directiva incluye las reglas que se usan para aplicar el modo S de Windows. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Esta directiva incluye las reglas que se usan para aplicar Windows 11 SE, una versión de Windows creada para su uso en escuelas. | %ProgramFiles%\WindowsApps\Microsoft.App Control.WDACWizard*\WinSEPolicy.xml.xml |
Nota
No todas las directivas que se muestran disponibles en %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies se pueden encontrar en todas las versiones de Windows.