Suggerimenti Amministrazione WDAC & problemi noti
Nota
Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo applicazioni.
Questo articolo illustra suggerimenti e consigli per gli amministratori e i problemi noti relativi a Windows Defender controllo delle applicazioni (WDAC). Testare questa configurazione nel lab prima di abilitarla nell'ambiente di produzione.
Percorsi dei file dei criteri WDAC
Nei percorsi seguenti sono disponibili più criteri WDAC in formato criteri, a seconda che il criterio sia firmato o meno e dal metodo di distribuzione dei criteri usato.
- <Volume> del sistema operativo\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
- <Partizione> di sistema EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
Il valore {PolicyId GUID} è univoco per criterio e definito nel codice XML del criterio con l'elemento <PolicyId> .
Per i criteri WDAC in formato singolo, oltre ai due percorsi precedenti, cercare anche un file denominato SiPolicy.p7b nei percorsi seguenti:
- <Partizione> di sistema EFI\Microsoft\Boot\SiPolicy.p7b
- <Volume> del sistema operativo\Windows\System32\CodeIntegrity\SiPolicy.p7b
Nota
In uno qualsiasi dei percorsi dei file di criteri può essere presente un criterio WDAC con formato di criteri {A244370E-44C9-4C06-B551-F6016E563076} singolo.
Ordine di precedenza delle regole di file
Quando il motore WDAC valuta i file rispetto al set attivo di criteri nel dispositivo, le regole vengono applicate nell'ordine seguente. Dopo che un file rileva una corrispondenza, WDAC interrompe l'ulteriore elaborazione.
Regole di negazione esplicite: un file viene bloccato se esiste una regola di negazione esplicita, anche se vengono create altre regole per tentare di consentirla. Le regole di negazione possono usare qualsiasi livello di regola. Usare il livello di regola più specifico pratico durante la creazione di regole di negazione per evitare di bloccare più di quanto si intende.
Regole di autorizzazione esplicite: se esiste una regola di autorizzazione esplicita per il file, il file viene eseguito.
WDAC verifica quindi la presenza dell'attributo extended (EA) del programma di installazione gestita o dell'account EA Intelligent Security Graph (ISG) nel file. Se esiste EA e il criterio abilita l'opzione corrispondente, il file è consentito.
Infine, WDAC effettua una chiamata cloud all'ISG per ottenere reputazione sul file, se il criterio abilita l'opzione ISG.
Qualsiasi file non consentito da una regola esplicita o basato su ISG o MI viene bloccato in modo implicito.
Problemi noti
L'errore di arresto dell'avvio (schermata blu) si verifica se sono attivi più di 32 criteri
Fino a quando non si applica l'aggiornamento della sicurezza di Windows rilasciato il 9 aprile 2024 o dopo tale data, il dispositivo è limitato a 32 criteri attivi. Se viene superato il numero massimo di criteri, gli schermi blu del dispositivo fanno riferimento ci.dll con un valore di controllo dei bug pari a 0x0000003b. Considerare questo limite massimo di conteggio dei criteri durante la pianificazione dei criteri WDAC. Anche tutti i criteri di Posta in arrivo di Windows attivi nel dispositivo vengono conteggiati per questo limite. Per rimuovere il limite massimo di criteri, installare l'aggiornamento della sicurezza di Windows rilasciato il 9 aprile 2024 o dopo il 9 aprile 2024 e quindi riavviare il dispositivo. In caso contrario, ridurre il numero di criteri nel dispositivo per rimanere al di sotto di 32 criteri.
Nota: Il limite dei criteri non è stato rimosso in Windows 11 21H2 e rimarrà limitato a 32 criteri.
I criteri della modalità di controllo possono modificare il comportamento per alcune app o causare arresti anomali delle app
Anche se la modalità di controllo WDAC è progettata per evitare effetti sulle app, alcune funzionalità sono sempre attivate o sempre applicate con qualsiasi criterio WDAC che attiva l'integrità del codice in modalità utente (UMCI) con l'opzione 0 Abilitato:UMCI. Ecco un elenco di modifiche note del sistema in modalità di controllo:
- Alcuni host di script potrebbero bloccare il codice o eseguire codice con meno privilegi anche in modalità di controllo. Per informazioni sui comportamenti dei singoli host di script, vedere Applicazione di script con WDAC .
- Opzione 19 Enabled:Dynamic Code Security viene sempre applicata se un criterio UMCI include tale opzione. Vedere WDAC e .NET.
Le immagini native .NET possono generare eventi di blocco falsi positivi
In alcuni casi, i log di integrità del codice in cui vengono scritti avvisi e errori di controllo delle applicazioni Windows Defender includono eventi di errore per le immagini native generate per gli assembly .NET. In genere, i blocchi di immagini nativi sono funzionalmente benigni perché un'immagine nativa bloccata rientra nell'assembly corrispondente e .NET rigenera l'immagine nativa nella finestra di manutenzione pianificata successiva.
Le firme che usano la crittografia a curva ellittica (ECC) non sono supportate
Le regole basate sul firmatario WDAC funzionano solo con la crittografia RSA. Gli algoritmi ECC, ad esempio ECDSA, non sono supportati. Se WDAC blocca un file in base alle firme ECC, gli eventi di informazioni sulla firma 3089 corrispondenti mostrano VerificationError = 23. È possibile autorizzare i file tramite regole hash o attributi di file o usando altre regole del firmatario se il file è firmato anche con firme tramite RSA.
I programmi di installazione dell'identità del servizio gestito vengono considerati come scrivibili dall'utente in Windows 10 quando sono consentiti dalla regola FilePath
I file del programma di installazione msi vengono sempre rilevati come scrivibili dall'utente in Windows 10 e in Windows Server 2022 e versioni precedenti. Se è necessario consentire i file MSI usando regole FilePath, è necessario impostare l'opzione 18 Disabled:Runtime FilePath Rule Protection nei criteri WDAC.
Le installazioni MSI avviate direttamente da Internet sono bloccate da WDAC
L'installazione di file .msi direttamente da Internet in un computer protetto da WDAC non riesce. Ad esempio, questo comando ha esito negativo:
msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi
Come soluzione alternativa, scaricare il file MSI ed eseguirlo in locale:
msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi
Avvio lento e prestazioni con criteri personalizzati
WDAC valuta tutti i processi eseguiti, inclusi i processi windows della posta in arrivo. È possibile causare tempi di avvio più lenti, prestazioni ridotte ed eventualmente problemi di avvio se i criteri non si basano sui modelli WDAC o non considerano attendibili i firmatari di Windows. Per questi motivi, è consigliabile usare i modelli di base WDAC quando possibile per creare i criteri.
Considerazioni relative ai criteri di assegnazione di tag appId
I criteri di assegnazione di tag AppId non basati sui modelli di base WDAC o che non consentono i firmatari predefiniti di Windows potrebbero causare un aumento significativo dei tempi di avvio (circa 2 minuti).
Se non è possibile consentire l'elenco dei firmatari di Windows o compilare i modelli di base WDAC, aggiungere la regola seguente ai criteri per migliorare le prestazioni:
Poiché i criteri di assegnazione di tag AppId valutano ma non possono contrassegnare i file DLL, questa regola esegue il corto circuito della valutazione della DLL e migliora le prestazioni di valutazione.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per