Share via

Mesclagem Windows Defender políticas do WDAC (Controle de Aplicativo)

Observação

Alguns recursos do WDAC (Controle de Aplicativo) Windows Defender estão disponíveis apenas em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Este artigo mostra como mesclar vários arquivos XML de política e como mesclar regras diretamente em uma política. Windows Defender implantações de Controle de Aplicativo geralmente incluem algumas políticas base e políticas suplementares opcionais para casos de uso específicos.

Observação

Antes do Windows versão 1903, incluindo o Windows Server 2019 e anterior, apenas um Windows Defender política de Controle de Aplicativo pode estar ativo em um sistema por vez. Se você precisar usar o WDAC em sistemas que executam essas versões anteriores do Windows, deverá mesclar todas as políticas antes de implantar.

Mesclar vários arquivos XML da política WDAC

Há muitos cenários em que talvez você queira mesclar dois ou mais arquivos de política. Por exemplo, se você usar eventos de auditoria para criar Windows Defender regras de política de Controle de Aplicativo, poderá mesclar essas regras com sua política de base WDAC existente. Para mesclar as duas políticas WDAC referenciadas nesse artigo, conclua as etapas a seguir em uma sessão de Windows PowerShell elevada.

  1. Inicialize as variáveis que serão usadas:

    $PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
$EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
$MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"

  2. Use Merge-CIPolicy para mesclar duas políticas e criar uma nova política de Controle de Aplicativo Windows Defender:

    Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicy

    Observação

    Você pode mesclar políticas adicionais com o Merge-CIPolicy etapa acima adicionando-as ao parâmetro -PolicyPaths separado por vírgulas. O novo arquivo de política especificado por -OutputFilePath terá as informações de política da primeira política da lista. Por exemplo, no exemplo acima, o $MergedPolicy herdará as informações de tipo de política, ID, nome e versão de $LamnaPolicy. Para alterar qualquer um desses valores, use Set-CIPolicyIdInfo e Set-CIPolicyVersion.

Mesclar regras WDAC diretamente em um XML de política

Além de mesclar vários arquivos XML de política, você também pode mesclar regras criadas com o cmdlet New-CIPolicyRule diretamente em um arquivo XML de política WDAC existente. Mesclar diretamente regras é uma maneira conveniente de atualizar sua política sem criar arquivos XML de política extra. Por exemplo, para adicionar regras que permitem o Assistente WDAC e a ferramenta RefreshPolicy.exe WDAC, siga estas etapas:

  1. Instale o aplicativo MSIX empacotado do Assistente WDAC .

  2. Baixe a ferramenta Política de Atualização para sua arquitetura de processador e salve-a em sua área de trabalho como RefreshPolicy.exe.

  3. Em uma sessão do PowerShell, execute os seguintes comandos para criar regras de permissão de aplicativo empacotado para o Assistente WDAC:

    $PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard
$Rules = New-CIPolicyRule -Package $PackageInfo

  4. Adicionar regras filePublisher para o RefreshPolicy.exe:

    $Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisher

  5. Use Merge-CIPolicy para mesclar as novas regras diretamente no arquivo MergedPolicy criado na etapa final do procedimento anterior:

    Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules

Converter e implantar política mesclada em pontos de extremidade gerenciados

Agora que você tem sua nova política mesclada, você pode converter e implantar o binário de política em seus pontos de extremidade gerenciados.

  1. Use ConvertFrom-CIPolicy para converter a política do WDAC em formato binário:

    $WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin"
ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBin

    Observação

    Nos comandos de exemplo acima, para políticas direcionadas Windows 10 versão 1903+ ou Windows 11, substitua a cadeia de caracteres "{InsertPolicyID}" pelo GUID PolicyID real (incluindo chaves { }) encontrado no arquivo XML da política. Para versões Windows 10 anteriores a 1903, use o nome SiPolicy.p7b para o nome do arquivo binário.

  2. Carregue sua política mesclada XML e o binário associado à solução de controle de origem que você está usando para suas políticas de Controle de Aplicativo Windows Defender. como o GitHub ou uma solução de gerenciamento de documentos, como Office 365 SharePoint.

  3. Implante a política mesclada usando sua solução de implantação preferencial. Consulte Implantação de políticas de WDAC (Controle de Aplicativo Windows Defender)