Pianificare la gestione dei criteri del ciclo di vita di Windows Defender Application Control

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender Application Control (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Windows Defender Application Control.

Questo articolo descrive le decisioni che è necessario prendere per stabilire i processi per la gestione e la gestione dei criteri di Windows Defender Application Control (WDAC).

Gestione del ciclo di vita XML dei criteri

Il primo passaggio nell'implementazione del controllo dell'applicazione consiste nel considerare come i criteri verranno gestiti e gestiti nel tempo. Lo sviluppo di un processo per la gestione dei criteri di Controllo delle applicazioni di Windows Defender consente di garantire che WDAC continui a controllare in modo efficace il modo in cui le applicazioni possono essere eseguite nell'organizzazione.

La maggior parte dei criteri di Controllo delle applicazioni di Windows Defender si evolverà nel tempo e procederà attraverso un set di fasi identificabili durante la loro durata. In genere, queste fasi includono:

1. Definire (o perfezionare) il "cerchio di attendibilità" per i criteri e compilare una versione della modalità di controllo del codice XML del criterio. In modalità di controllo vengono generati eventi di blocco, ma l'esecuzione dei file non viene impedita.
2. Distribuire i criteri della modalità di controllo nei dispositivi previsti.
3. Monitorare gli eventi dei blocchi di controllo dai dispositivi previsti e aggiungere/modificare/eliminare le regole in base alle esigenze per risolvere i blocchi imprevisti/indesiderati.
4. Ripetere i passaggi da 2 a 3 fino a quando gli eventi di blocco rimanenti non soddisfano le aspettative.
5. Generare la versione in modalità applicata dei criteri. In modalità applicata, ai file non consentiti dai criteri viene impedito l'esecuzione e vengono generati gli eventi di blocco corrispondenti.
6. Distribuire i criteri di modalità applicata ai dispositivi previsti. È consigliabile usare implementazioni a fasi per i criteri applicati per rilevare e rispondere ai problemi prima di distribuire i criteri su larga scala.
7. Ripetere i passaggi da 1 a 6 ogni volta che viene modificato il "cerchio di attendibilità" desiderato.

Mantenere i criteri WDAC in una soluzione di controllo del codice sorgente o di gestione dei documenti

Per gestire in modo efficace i criteri di Controllo applicazioni di Windows Defender, è necessario archiviare e gestire i documenti XML dei criteri in un repository centrale accessibile a tutti i responsabili della gestione dei criteri WDAC. È consigliabile usare una soluzione di controllo del codice sorgente, ad esempio GitHub , o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint, che fornisce il controllo della versione e consente di specificare i metadati relativi ai documenti XML.

Impostare i metadati PolicyName, PolicyID e Version per ogni criterio

Usare il cmdlet Set-CIPolicyIDInfo per assegnare a ogni criterio un nome descrittivo e impostare un ID criterio univoco. Questi attributi univoci consentono di distinguere ogni criterio quando si esaminano gli eventi di Controllo delle applicazioni di Windows Defender o quando si visualizza il documento XML del criterio. Sebbene sia possibile specificare un valore stringa per PolicyId, per i criteri che usano il formato di criteri multipli è consigliabile usare l'opzione -ResetPolicyId per consentire al sistema di generare automaticamente un ID univoco per i criteri.

Nota

PolicyID si applica solo ai criteri che usano il formato di criteri multipli nei computer che eseguono Windows 10, versione 1903 e successive o Windows 11. L'esecuzione di -ResetPolicyId in un criterio creato per i computer precedenti al 1903 lo convertirà in più formati di criteri e impedirà l'esecuzione in quelle versioni precedenti di Windows 10. PolicyID deve essere impostato una sola volta per ogni criterio e usare diversi PolicyID per le versioni di controllo e modalità applicata di ogni criterio.

È inoltre consigliabile usare il cmdlet Set-CIPolicyVersion per incrementare il numero di versione interno del criterio quando si apportano modifiche ai criteri. La versione deve essere definita come stringa di versione standard in quattro parti, ad esempio "1.0.0.0".

Aggiornamenti delle regole dei criteri

Potrebbe essere necessario rivedere i criteri quando vengono distribuite nuove app o quando le app esistenti vengono aggiornate dall'autore del software per assicurarsi che le app vengano eseguite correttamente. Se sono necessari aggiornamenti delle regole dei criteri dipenderà in modo significativo dai tipi di regole inclusi nei criteri. Le regole basate sulla progettazione condivisa dei certificati offrono la maggiore resilienza rispetto alle modifiche delle app, mentre le regole basate sugli attributi dei file o sull'hash richiedono più probabilmente aggiornamenti quando le app cambiano. In alternativa, se si usa la funzionalità del programma di installazione gestito di WDAC e si distribuiscono in modo coerente tutte le app e i relativi aggiornamenti tramite il programma di installazione gestito, è meno probabile che siano necessari aggiornamenti dei criteri.

Gestione degli eventi WDAC

Ogni volta che WDAC blocca un processo, gli eventi vengono scritti nei log eventi CodeIntegrity\Operational o AppLocker\MSI e Script Windows. L'evento descrive il file che ha tentato di eseguire, gli attributi del file e le relative firme e il processo che ha tentato di eseguire il file bloccato.

La raccolta di questi eventi in una posizione centrale consente di mantenere i criteri di Controllo delle applicazioni di Windows Defender e risolvere i problemi di configurazione delle regole. È possibile usare l'agente di Monitoraggio di Azure per raccogliere automaticamente gli eventi WDAC per l'analisi.

Inoltre, Microsoft Defender per endpoint raccoglie gli eventi WDAC su cui è possibile eseguire query usando la funzionalità di ricerca avanzata.

Criteri di supporto per applicazioni e utenti

Le considerazioni includono:

• Quale tipo di supporto per gli utenti finali viene fornito per le applicazioni bloccate?
• Come vengono aggiunte nuove regole ai criteri?
• Come vengono aggiornate le regole esistenti?
• Gli eventi vengono inoltrati per la revisione?

Supporto tecnico

Se l'organizzazione dispone di un reparto di supporto tecnico stabilito, quando si distribuiscono i criteri di Controllo delle applicazioni di Windows Defender, considerare i punti seguenti:

• Quale documentazione richiede il reparto di supporto per le nuove distribuzioni di criteri?
• Quali sono i processi critici in ogni gruppo aziendale sia nel flusso di lavoro che nei tempi che saranno interessati dai criteri di controllo delle applicazioni e in che modo potrebbero influire sul carico di lavoro del reparto di supporto?
• Chi sono i contatti nel reparto di supporto?
• In che modo il reparto di supporto risolverà i problemi di controllo delle applicazioni tra l'utente finale e le risorse che mantengono le regole di Windows Defender Application Control?

Supporto per l'utente finale

Poiché Windows Defender Application Control impedisce l'esecuzione di app non approvate, è importante che l'organizzazione pianiti attentamente come fornire supporto agli utenti finali. Le considerazioni includono:

• Si vuole usare un sito Intranet come front-line di supporto per gli utenti che tentano di eseguire un'app bloccata?
• Come si desidera supportare le eccezioni ai criteri? Si consentirà agli utenti di eseguire uno script per consentire temporaneamente l'accesso a un'app bloccata?

Documentare il piano

Dopo aver deciso come l'organizzazione gestirà i criteri di Controllo delle applicazioni di Windows Defender, registrare i risultati.

• Criteri di supporto per gli utenti finali. Documentare il processo che verrà usato per gestire le chiamate degli utenti che hanno tentato di eseguire un'app bloccata e assicurarsi che il personale di supporto disponga di passaggi di escalation chiari in modo che l'amministratore possa aggiornare i criteri di Controllo applicazioni di Windows Defender, se necessario.
• Elaborazione di eventi. Documentare se gli eventi verranno raccolti in una posizione centrale denominata archivio, come verrà archiviato tale archivio e se gli eventi verranno elaborati per l'analisi.
• Gestione dei criteri. Informazioni dettagliate sui criteri pianificati, sul modo in cui verranno gestiti e sul modo in cui le regole verranno mantenute nel tempo.