Distribuzione di criteri WDAC (Application Control) Windows Defender

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

È ora necessario disporre di uno o più criteri di controllo delle applicazioni (WDAC) Windows Defender pronti per la distribuzione. Se i passaggi descritti nella Guida alla progettazione di WDAC non sono ancora stati completati, eseguire questa operazione prima di procedere.

Convertire il codice XML dei criteri WDAC in file binari

Prima di distribuire i criteri WDAC, è necessario convertire il codice XML nel formato binario. È possibile eseguire questa operazione usando l'esempio di PowerShell seguente. È necessario impostare la variabile $WDACPolicyXMLFile in modo che punti al file XML dei criteri WDAC.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Pianificare la distribuzione

Come per qualsiasi modifica significativa all'ambiente, l'implementazione del controllo dell'applicazione può avere conseguenze impreviste. Per garantire la migliore probabilità di successo, è necessario seguire le procedure di distribuzione sicure e pianificare la distribuzione con attenzione. Identificare i dispositivi che si gestiranno con WDAC e suddividerli in circuiti di distribuzione. In questo modo, è possibile controllare la velocità e la scalabilità della distribuzione e rispondere se qualcosa va storto. Definire i criteri di esito positivo che determineranno quando è sicuro continuare da un anello all'altro.

Tutte le modifiche ai criteri di controllo delle applicazioni Windows Defender devono essere distribuite in modalità di controllo prima di procedere all'imposizione. Monitorare attentamente gli eventi dai dispositivi in cui sono stati distribuiti i criteri per assicurarsi che gli eventi di blocco osservati corrispondano alle aspettative prima di ampliare la distribuzione ad altri circuiti di distribuzione. Se l'organizzazione usa Microsoft Defender per endpoint, è possibile usare la funzionalità Ricerca avanzata per monitorare centralmente gli eventi correlati a WDAC. In caso contrario, è consigliabile usare una soluzione di inoltro del log eventi per raccogliere gli eventi rilevanti dagli endpoint gestiti.

Scegliere come distribuire i criteri WDAC

Importante

A causa di un problema noto, è consigliabile attivare sempre i nuovi criteri di base WDAC firmati con un riavvio nei sistemi con l'integrità della memoria abilitata. In questo caso è consigliabile eseguire la distribuzione tramite script .

Questo problema non influisce sugli aggiornamenti dei criteri di base firmati già attivi nel sistema, sulla distribuzione di criteri non firmati o sulla distribuzione di criteri supplementari (firmati o non firmati). Inoltre, non influisce sulle distribuzioni in sistemi che non eseguono l'integrità della memoria.

Sono disponibili diverse opzioni per distribuire Windows Defender criteri di controllo delle applicazioni agli endpoint gestiti, tra cui: