Utilizar várias Políticas de Controlo de Aplicações do Windows Defender
Observação
Algumas capacidades do Controlo de Aplicações do Windows Defender (WDAC) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade da funcionalidade Controlo de Aplicações do Windows Defender.
A partir do Windows 10, versão 1903 e Windows Server 2022, pode implementar várias políticas de Controlo de Aplicações do Windows Defender (WDAC) lado a lado num dispositivo. Para permitir mais de 32 políticas ativas, instale a atualização de segurança do Windows disponibilizada em ou depois de 9 de abril de 2024 e, em seguida, reinicie o dispositivo. Com estas atualizações, não existe um limite para o número de políticas que pode implementar de uma só vez num determinado dispositivo. Até instalar a atualização de segurança do Windows lançada em ou depois de 9 de abril de 2024, o seu dispositivo está limitado a 32 políticas ativas e não deve exceder esse número.
Observação
O limite de políticas não foi removido no Windows 11 21H2 e permanecerá limitado a 32 políticas.
Eis alguns cenários comuns em que várias políticas lado a lado são úteis:
- Impor e Auditar Lado a Lado
- Para validar as alterações de política antes de implementar no modo de imposição, os utilizadores podem agora implementar uma política base de modo de auditoria lado a lado com uma política base de modo de imposição existente
- Múltiplas Políticas De Base
- Os utilizadores podem impor duas ou mais políticas de base em simultâneo para permitir uma filtragem de políticas mais simples para políticas com âmbito/intenção diferentes
- Se existirem duas políticas base num dispositivo, uma aplicação tem de transmitir ambas as políticas para que seja executada
- Políticas Suplementares
- Os utilizadores podem implementar uma ou mais políticas suplementares para expandir uma política base
- Uma política suplementar expande uma única política base e várias políticas suplementares podem expandir a mesma política base
- Para políticas suplementares, as aplicações permitidas pela política base ou pela política/política suplementar são executadas
Observação
Os sistemas anteriores a 1903 não suportam a utilização de políticas WDAC de Formato de Política Múltipla.
Interação de política base e suplementar
- Várias políticas de base: interseção
- Apenas as aplicações permitidas por ambas as políticas são executadas sem gerar eventos de bloco
- Base + política suplementar: união
- Ficheiros permitidos pela política base ou pela execução da política suplementar
Criar políticas WDAC no Formato de Política Múltipla
Para permitir que várias políticas existam e entrem em vigor num único sistema, as políticas têm de ser criadas com o novo Formato de Política Múltipla. O comutador "MultiplePolicyFormat" em New-CIPolicy resulta em 1) valores exclusivos gerados para o ID da política e 2) o tipo de política definido como uma política Base. O exemplo abaixo descreve o processo de criação de uma nova política no formato de várias políticas.
New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash
Opcionalmente, pode optar por fazer com que a nova política base permita políticas suplementares.
Set-RuleOption -FilePath ".\policy.xml" -Option 17
Para políticas de base assinadas para permitir políticas suplementares, certifique-se de que os signatários suplementares estão definidos. Utilize o comutador Suplementar em Add-SignerRule para fornecer signatários suplementares.
Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]
Criação de política suplementar
Para criar uma política suplementar, comece por criar uma nova política no Formato de Política Múltipla, conforme mostrado anteriormente. A partir daí, utilize Set-CIPolicyIdInfo para convertê-la numa política suplementar e especificar a política de base que expande. Pode utilizar SupplementsBasePolicyID ou BasePolicyToSupplementPath para especificar a política base.
- "SupplementsBasePolicyID": GUID da política base à qual a política suplementar se aplica
- "BasePolicyToSupplementPath": caminho para o ficheiro de política de base ao qual a política suplementar se aplica
Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>
Intercalar políticas
Quando estiver a intercalar políticas, é utilizado o tipo de política e o ID da política mais à esquerda/primeira especificada. Se o mais à esquerda for uma política de base com O ID<>, independentemente dos GUIDs e tipos para quaisquer políticas subsequentes, a política intercalada é uma política base com ID <ID>.
Implementar várias políticas
Para implementar várias políticas de Controlo de Aplicações do Windows Defender, tem de implementá-las localmente ao copiar os ficheiros de *.cip política para a pasta adequada ou ao utilizar o CSP ApplicationControl.
Implementar várias políticas localmente
Para implementar políticas localmente com o novo formato de política múltipla, siga estes passos:
- Certifique-se de que os ficheiros de política binária têm o formato de nomenclatura correto de
{PolicyGUID}.cip.- Confirme que o nome do ficheiro de política binária é exatamente o mesmo que o GUID do PolicyID na política
- Por exemplo, se o XML da política tivesse o ID como
<PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, o nome correto para o ficheiro de política binária seria{A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
- Copie as políticas binárias para
C:\Windows\System32\CodeIntegrity\CiPolicies\Active. - Reinicie o sistema.
Implementar várias políticas através do CSP applicationControl
Várias políticas de Controlo de Aplicações do Windows Defender podem ser geridas a partir de um servidor MDM através do fornecedor de serviços de configuração ApplicationControl (CSP). O CSP também fornece suporte para a implementação de políticas sem reinício.
No entanto, quando as políticas são anular a inscrição de um servidor MDM, o CSP tenta remover todas as políticas não implementadas ativamente e não apenas as políticas adicionadas pelo CSP. Este comportamento acontece porque o sistema não sabe que métodos de implementação foram utilizados para aplicar políticas individuais.
Para obter mais informações sobre como implementar várias políticas, opcionalmente através da capacidade OMA-URI personalizada do Microsoft Intune, veja ApplicationControl CSP.
Observação
Atualmente, o WMI e o GP não suportam várias políticas. Em vez disso, os clientes que não conseguem aceder diretamente à pilha mdm devem utilizar o ApplicationControl CSP através do Fornecedor WMI de Bridge mdm para gerir políticas de Controlo de Aplicações do Windows Defender em Formato de Política Múltipla.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de