Criando uma nova política suplementar com o Assistente
Observação
Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.
A partir de Windows 10 versão 1903, o WDAC (Controle de Aplicativo Windows Defender) dá suporte à criação de várias políticas ativas em um dispositivo. Uma ou mais políticas complementares permitem que os clientes expandam uma política de base do WDAC para aumentar o círculo de confiança da política. Uma política suplementar pode expandir apenas uma política base, mas vários suplementos podem expandir a mesma política base. Quando políticas suplementares são usadas, aplicativos permitidos pela base ou qualquer uma de suas políticas suplementares podem ser executados.
As informações de pré-requisito sobre o controle de aplicativo podem ser acessadas por meio do guia de design do WDAC. Esta página descreve as etapas para criar uma política de controle de aplicativo suplementar, configurar as opções de política e as regras do signatário e do arquivo.
Expandindo uma política base
Depois que o tipo de Política Suplementar for escolhido na página Nova Política, os campos de diálogo nome da política e arquivo poderão ser usados para nomear e salvar a política suplementar. A próxima etapa requer a seleção de uma política base para expandir. Para expandir uma política base, a base deve permitir políticas suplementares. O Assistente do WDAC verifica se a política base permite suplementos e mostra a confirmação a seguir.
Se a política base não estiver configurada para políticas suplementares, o Assistente tentará converter a política em uma que pode ser complementada. Depois de bem-sucedido, o Assistente mostra uma caixa de diálogo demonstrando que a adição da regra Permitir Política Suplementar foi concluída.
As políticas que não podem ser complementadas, por exemplo, outra política suplementar, são detectadas pelo Assistente e mostram o seguinte erro. Somente uma política base pode ser complementada. Mais informações sobre políticas complementares podem ser encontradas em nosso artigo Políticas Múltiplas.
Configurando regras de política
Após o lançamento da página, as regras de política são automaticamente habilitadas/desabilitadas dependendo da política de base escolhida da página anterior. A maioria das regras de política suplementar é herdada da política base. O Assistente analisa automaticamente a política base e define as regras de política suplementar necessárias para corresponder às regras de política base. As regras de política herdadas são esmaecidos e não são modificáveis na interface do usuário.
Uma breve descrição da regra é mostrada na parte inferior da página quando o cursor é colocado no título da regra.
Descrição das regras de política suplementar configuráveis
As políticas complementares só podem configurar três regras de política. A tabela a seguir descreve cada regra de política, começando com a coluna mais à esquerda. A seleção do rótulo + Opções Avançadas mostra outra coluna de regras de política, as regras de política avançadas.
| Opção de regra | Descrição |
|---|---|
| Autorização do Grafo de Segurança Inteligente | Use essa opção para permitir automaticamente aplicativos com reputação "conhecida boa", conforme definido pelo ISG (Intelligent Security Graph) da Microsoft. |
| Instalador Gerenciado | Use essa opção para permitir automaticamente aplicativos instalados por uma solução de distribuição de software, como Microsoft Configuration Manager, que foi definida como um instalador gerenciado. |
| Desabilitar a Proteção de Regra de FilePath do Runtime | Essa opção desabilita o marcar de runtime padrão que só permite regras filepath para caminhos que só são graváveis por um administrador. |
Criando regras de arquivo personalizadas
As regras de arquivo em uma política de controle de aplicativo especificam o nível em que os aplicativos são identificados e confiáveis. As regras de arquivo são o mecanismo main para definir a confiança na política de controle do aplicativo. Selecionar + Regras Personalizadas abre o painel de condições de regra de arquivo personalizado para criar e personalizar regras de arquivo de destino para sua política. O Assistente dá suporte a quatro tipos de regras de arquivo:
Regras do Editor
O tipo de regra de arquivo Publisher usa propriedades na cadeia de certificados de assinatura de código para basear regras de arquivo. Depois que o arquivo para basear a regra fora, chamado de arquivo de referência, for selecionado, use o controle deslizante para indicar a especificidade da regra. A tabela a seguir mostra a relação entre o posicionamento do controle deslizante, o nível de regra do WDAC (Controle de Aplicativo) correspondente Windows Defender e sua descrição. Quanto menor a colocação na tabela e no controle deslizante da interface do usuário, maior a especificidade da regra.
| Condição de regra | Nível de regra WDAC | Descrição |
|---|---|---|
| Emissão de AC | PCACertificate | O certificado mais alto disponível é adicionado aos signatários. Esse certificado normalmente é o certificado PCA, um nível abaixo do certificado raiz. Qualquer arquivo assinado por esse certificado é afetado. |
| Editor | Editor | Essa regra é uma combinação da regra PCACertificate e do CN (nome comum) do certificado folha. Qualquer arquivo assinado por uma ac importante, mas com uma folha de uma empresa específica, por exemplo, um editor de driver de dispositivo, é afetado. |
| Versão do arquivo | SignedVersion | Essa regra é uma combinação da regra PCACertificate e Publisher e um número de versão. Qualquer coisa do editor especificado com uma versão em ou acima da especificada é afetada. |
| Nome do arquivo | FilePublisher | Mais específico. Combinação do nome do arquivo, do editor e do certificado PCA e um número mínimo de versão. Arquivos do editor com o nome especificado e maior ou igual à versão especificada são afetados. |
Regras de filepath
As regras de filepath não fornecem as mesmas garantias de segurança que as regras explícitas do signatário, como são baseadas em permissões de acesso mutáveis. Para criar uma regra de filepath, selecione o arquivo usando o botão Procurar .
Regras de atributo de arquivo
O Assistente dá suporte à criação de regras de nome de arquivo com base em atributos de arquivo autenticados. As regras de nome do arquivo são úteis quando um aplicativo e suas dependências (por exemplo, DLLs) podem compartilhar o mesmo nome do produto, por exemplo. Esse nível de regra permite que os usuários criem políticas de destino facilmente com base no nome do arquivo Nome do Produto. Para selecionar o atributo de arquivo para criar a regra, mova o controle deslizante no Assistente para o atributo desejado. A tabela a seguir descreve cada um dos atributos de arquivo com suporte fora dos quais criar uma regra.
| Nível da regra | Descrição |
|---|---|
| Nome de arquivo original | Especifica o nome do arquivo original ou o nome com o qual o arquivo foi criado pela primeira vez, do binário. |
| Descrição do arquivo | Especifica a descrição do arquivo fornecida pelo desenvolvedor do binário. |
| Nome do produto | Especifica o nome do produto com o qual o binário é enviado. |
| Nome interno | Especifica o nome interno do binário. |
Regras de Hash de Arquivo
Por fim, o Assistente dá suporte à criação de regras de arquivo usando o hash do arquivo. Embora esse nível seja específico, pode causar sobrecarga administrativa extra para manter os valores de hash das versões atuais do produto. Sempre que um binário é atualizado, o valor de hash muda, logo, exigindo uma atualização de política. Por padrão, o Assistente usa o hash de arquivo como o fallback caso uma regra de arquivo não possa ser criada usando o nível de regra de arquivo especificado.
Excluindo regras de assinatura
A tabela à esquerda da página documenta as regras permitir e negar no modelo e todas as regras personalizadas que você criar. As regras podem ser excluídas da política selecionando a regra na tabela de lista de regras. Depois que a regra for realçada, pressione o botão excluir abaixo da tabela. Você está novamente solicitado para outra confirmação. Selecione Yes para remover a regra da política e da tabela de regras.
Em seguida
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de