Implementación de directivas de control de aplicaciones de Windows Defender (WDAC)

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Ahora debe tener una o varias directivas de control de aplicaciones de Windows Defender (WDAC) listas para implementarse. Si aún no ha completado los pasos descritos en la Guía de diseño de WDAC, hágalo ahora antes de continuar.

Convertir el XML de directiva WDAC en binario

Antes de implementar las directivas WDAC, primero debe convertir el XML a su formato binario. Puede hacerlo con el siguiente ejemplo de PowerShell. Debe establecer la variable $WDACPolicyXMLFile para que apunte al archivo XML de directiva WDAC.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Planear la implementación

Al igual que con cualquier cambio significativo en el entorno, la implementación del control de aplicaciones puede tener consecuencias no deseadas. Para garantizar la mejor oportunidad de éxito, debe seguir prácticas de implementación seguras y planear la implementación cuidadosamente. Identifique los dispositivos que administrará con WDAC y divídalos en anillos de implementación. De este modo, puede controlar la velocidad y la escala de la implementación y responder si algo sale mal. Defina los criterios de éxito que determinarán cuándo es seguro continuar de un anillo a otro.

Todos los cambios de directiva de Windows Defender Application Control deben implementarse en modo de auditoría antes de continuar con la aplicación. Supervise cuidadosamente los eventos de los dispositivos donde se ha implementado la directiva para asegurarse de que los eventos de bloque que observa coinciden con sus expectativas antes de ampliar la implementación a otros anillos de implementación. Si su organización usa Microsoft Defender para punto de conexión, puede usar la característica Búsqueda avanzada para supervisar de forma centralizada los eventos relacionados con WDAC. De lo contrario, se recomienda usar una solución de reenvío de registros de eventos para recopilar eventos pertinentes de los puntos de conexión administrados.

Elección de cómo implementar directivas WDAC

Importante

Debido a un problema conocido, siempre debe activar nuevas directivas wdac base firmadas con un reinicio en sistemas con integridad de memoria habilitada. En este caso, se recomienda implementar mediante script .

Este problema no afecta a las actualizaciones de las directivas base firmadas que ya están activas en el sistema, la implementación de directivas sin firmar o la implementación de directivas complementarias (firmadas o sin firmar). Tampoco afecta a las implementaciones en sistemas que no ejecutan integridad de memoria.

Hay varias opciones para implementar Windows Defender directivas de Control de aplicaciones en puntos de conexión administrados, entre las que se incluyen: