Share via

Unire criteri WDAC (Merge Windows Defender Application Control)

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Questo articolo illustra come unire più file XML dei criteri e come unire le regole direttamente in un criterio. Windows Defender distribuzioni di Controllo applicazioni spesso includono alcuni criteri di base e criteri supplementari facoltativi per casi d'uso specifici.

Nota

Prima di Windows versione 1903, incluso Windows Server 2019 e versioni precedenti, solo un Windows Defender criteri di controllo delle applicazioni può essere attivo in un sistema alla volta. Se è necessario usare WDAC nei sistemi che eseguono queste versioni precedenti di Windows, è necessario unire tutti i criteri prima della distribuzione.

Unire più file XML dei criteri WDAC

Esistono molti scenari in cui è possibile unire due o più file di criteri. Ad esempio, se si usano eventi di controllo per creare Windows Defender regole dei criteri di controllo delle applicazioni, è possibile unire tali regole con i criteri di base WDAC esistenti. Per unire i due criteri WDAC a cui si fa riferimento in questo articolo, completare i passaggi seguenti in una sessione di Windows PowerShell con privilegi elevati.

  1. Inizializza le variabili che verranno usate:

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Usare Merge-CIPolicy per unire due criteri e creare un nuovo criterio di controllo delle applicazioni Windows Defender:

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    Nota

    È possibile unire criteri aggiuntivi con il passaggio Merge-CIPolicy precedente aggiungendoli al parametro -PolicyPaths separati da virgole. Il nuovo file di criteri specificato da -OutputFilePath conterrà le informazioni sui criteri del primo criterio nell'elenco. Nell'esempio precedente, ad esempio, il $MergedPolicy erediterà il tipo di criterio, l'ID, il nome e le informazioni sulla versione da $LamnaPolicy. Per modificare uno di questi valori, usare Set-CIPolicyIdInfo e Set-CIPolicyVersion.

Unire le regole WDAC direttamente in un xml dei criteri

Oltre a unire più file XML dei criteri, è anche possibile unire le regole create con il cmdlet New-CIPolicyRule direttamente in un file XML dei criteri WDAC esistente. L'unione diretta delle regole è un modo pratico per aggiornare i criteri senza creare file XML di criteri aggiuntivi. Ad esempio, per aggiungere regole che consentono la Creazione guidata WDAC e lo strumento WDAC RefreshPolicy.exe, seguire questa procedura:

  1. Installare l'app MSIX in pacchetto della Creazione guidata WDAC .

  2. Scaricare lo strumento Criteri di aggiornamento per l'architettura del processore e salvarlo sul desktop come RefreshPolicy.exe.

  3. Da una sessione di PowerShell eseguire i comandi seguenti per creare un'app in pacchetto per consentire le regole per la Creazione guidata WDAC:

    $PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. Aggiungere regole FilePublisher per il RefreshPolicy.exe:

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Usare Merge-CIPolicy per unire le nuove regole direttamente nel file MergedPolicy creato nel passaggio finale della procedura precedente:

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

Convertire e distribuire criteri uniti in endpoint gestiti

Dopo aver creato i nuovi criteri uniti, è possibile convertire e distribuire il file binario dei criteri negli endpoint gestiti.

  1. Usa ConvertFrom-CIPolicy per convertire il criterio WDAC in un formato binario:

    $WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBin

    Nota

    Nei comandi di esempio precedenti, per i criteri destinati Windows 10 versione 1903+ o Windows 11, sostituire la stringa "{InsertPolicyID}" con il GUID PolicyID effettivo (incluse le parentesi graffe { }) trovato nel file XML dei criteri. Per Windows 10 versioni precedenti alla 1903, usare il nome SiPolicy.p7b per il nome del file binario.

  2. Caricare il codice XML dei criteri uniti e il file binario associato nella soluzione di controllo del codice sorgente in uso per i criteri di controllo delle applicazioni Windows Defender. ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.

  3. Distribuire i criteri uniti usando la soluzione di distribuzione preferita. Vedere Distribuzione di criteri WDAC (Deploying Windows Defender Application Control)