Compartilhar via

Impor políticas do WDAC (controle de aplicativo) Windows Defender

Observação

Alguns recursos do WDAC (Controle de Aplicativo) Windows Defender estão disponíveis apenas em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Agora você deve ter uma ou mais Windows Defender políticas de Controle de Aplicativo amplamente implantadas no modo de auditoria. Você analisou os eventos coletados dos dispositivos com essas políticas e está pronto para aplicar. Use esse procedimento para preparar e implantar suas políticas do WDAC no modo de aplicação.

Observação

Algumas das etapas descritas neste artigo só se aplicam a Windows 10 versão 1903 ou superior, ou Windows 11. Ao usar este tópico para planejar as políticas WDAC da sua própria organização, considere se seus clientes gerenciados podem usar todos ou alguns desses recursos. Avalie o impacto de todos os recursos que podem estar indisponíveis em seus clientes que executam versões anteriores do Windows 10 e do Windows Server. Talvez seja necessário adaptar essas diretrizes para atender às necessidades de sua organização específica.

Converter a política base do WDAC de auditoria em imposta

Conforme descrito em cenários comuns de implantação do Controle de Aplicativo Windows Defender, usaremos o exemplo da Lamna Healthcare Company (Lamna) para ilustrar esse cenário. Lamna está tentando adotar políticas de aplicativo mais fortes, incluindo o uso do controle de aplicativo para impedir que aplicativos indesejados ou não autorizados sejam executados em seus dispositivos gerenciados.

Alice Pena é a líder da equipe de TI responsável pela distribuição do WDAC da Lamna.

Alice criou e implantou uma política para os dispositivos totalmente gerenciados da organização. Eles atualizaram a política com base em dados de evento de auditoria, conforme descrito em Usar eventos de auditoria para criar regras de política do WDAC e reimplantá-la. Todos os eventos de auditoria restantes são conforme o esperado e Alice está pronta para mudar para o modo de aplicação.

  1. Inicialize as variáveis que serão usadas e crie a política imposta copiando a versão de auditoria.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Use Set-CIPolicyIdInfo para dar à nova política uma ID exclusiva e um nome descritivo. Alterar a ID e o nome permite implantar a política imposta lado a lado com a política de auditoria. Faça essa etapa se você planeja endurecer sua política do WDAC ao longo do tempo. Se preferir substituir a política de auditoria no local, você poderá ignorar esta etapa.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Opcionalmente] Use Set-RuleOption para habilitar as opções de regra 9 ("Menu opções de inicialização avançadas") e 10 ("Auditoria de Inicialização em Falha"). A opção 9 permite que os usuários desabilitem a aplicação do WDAC para uma única sessão de inicialização de um menu de pré-inicialização. A opção 10 instrui o Windows a alternar a política de imposição para auditoria somente se um driver de modo kernel crítico de inicialização estiver bloqueado. Recomendamos fortemente essas opções ao implantar uma nova política imposta no seu primeiro anel de implantação. Em seguida, se nenhum problema for encontrado, você poderá remover as opções e reiniciar sua implantação.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Use Set-RuleOption para excluir a opção regra de modo de auditoria, que altera a política para a aplicação:

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Use ConvertFrom-CIPolicy para converter a nova política WDAC em binária:

    Observação

    Se você não usou -ResetPolicyID na Etapa 2 acima, deverá substituir $EnforcedPolicyID no comando a seguir pelo atributo PolicyID encontrado em sua política base XML.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Fazer cópias de quaisquer políticas suplementares necessárias para usar com a política de base imposta

Como a política imposta recebeu uma PolicyID exclusiva no procedimento anterior, você precisa duplicar todas as políticas complementares necessárias para usar com a política imposta. As políticas complementares sempre herdam o modo Audit ou Enforcement da política base que modificam. Se você não redefinir o PolicyID da política de base de imposição, poderá ignorar esse procedimento.

  1. Inicialize as variáveis que serão usadas e crie uma cópia da política suplementar atual. Algumas variáveis e arquivos do procedimento anterior também serão usados.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Use Set-CIPolicyIdInfo para dar à nova política suplementar uma ID exclusiva e um nome descritivo e altere qual política base complementar.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Observação

    Se Set-CIPolicyIdInfo não produzir o novo valor PolicyID em sua versão Windows 10, você precisará obter o valor PolicyId diretamente do XML.

  3. Use ConvertFrom-CIPolicy para converter a nova política suplementar de Controle de Aplicativo Windows Defender em binária:

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Repita as etapas acima se você tiver outras políticas suplementares para atualizar.

Implantar sua política imposta e políticas suplementares

Agora que sua política base está no modo imposto, você pode começar a implantá-la em seus pontos de extremidade gerenciados. Para obter informações sobre como implantar políticas, consulte Implantando políticas do WDAC (Controle de Aplicativos Windows Defender).