Criar uma política WDAC usando um computador de referência

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Observação

Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Esta seção descreve o processo para criar uma política do WDAC (Controle de Aplicativo) Windows Defender usando um computador de referência que já está configurado com o software que você deseja permitir. Você pode usar essa abordagem para dispositivos de carga de trabalho fixa que são dedicados a uma finalidade funcional específica e compartilhar atributos de configuração comuns com outros dispositivos que atendem à mesma função funcional. Exemplos de dispositivos de carga de trabalho fixa podem incluir Domínio do Active Directory Controllers, Secure Administração Workstations, equipamentos farmacêuticos de mistura de medicamentos, dispositivos de fabricação, caixas eletrônicos, caixas eletrônicos etc. Essa abordagem também pode ser usada para ativar o WDAC em sistemas "na natureza" e você deseja minimizar o impacto potencial na produtividade dos usuários.

Observação

Algumas das opções de Controle de Aplicativo Windows Defender descritas neste tópico só estão disponíveis na Windows 10 versão 1903 e superior, ou Windows 11. Ao usar este tópico para planejar as políticas WDAC da sua própria organização, considere se seus clientes gerenciados podem usar todos ou alguns desses recursos e avaliar o impacto para quaisquer recursos que possam estar indisponíveis em seus clientes. Talvez seja necessário adaptar essas diretrizes para atender às necessidades de sua organização específica.

Conforme descrito em cenários comuns de implantação do Controle de Aplicativo Windows Defender, usaremos o exemplo da Lamna Healthcare Company (Lamna) para ilustrar esse cenário. Lamna está tentando adotar políticas de aplicativo mais fortes, incluindo o uso do controle de aplicativo para impedir que aplicativos indesejados ou não autorizados sejam executados em seus dispositivos gerenciados.

Alice Pena é a líder da equipe de TI encarregada da implantação do WDAC.

Criar uma política de base personalizada usando um dispositivo de referência

Alice criou anteriormente uma política para os dispositivos de usuário final totalmente gerenciados da organização. Ela agora quer usar o WDAC para proteger os servidores de infraestrutura críticos da Lamna. A prática de imagem de Lamna para sistemas de infraestrutura é estabelecer uma imagem "dourada" como referência para como um sistema ideal deve ser e, em seguida, usar essa imagem para clonar mais ativos da empresa. Alice decide usar esses mesmos sistemas de imagem "dourados" para criar as políticas do WDAC, o que resultará em políticas de base personalizadas separadas para cada tipo de servidor de infraestrutura. Assim como acontece com a imagem, ela terá que criar políticas de vários computadores dourados com base em modelo, departamento, conjunto de aplicativos e assim por diante.

Observação

Verifique se o computador de referência está livre de vírus e malware e instale qualquer software que você deseja verificar antes de criar a política do WDAC.

Cada aplicativo de software instalado deve ser validado como confiável antes da criação de uma política.

É recomendável que você consulte o computador de referência em busca de software que possa carregar DLLs arbitrárias e executar código ou scripts que possam tornar o computador mais vulnerável. Exemplos incluem software destinado ao desenvolvimento ou script, como msbuild.exe (parte do Visual Studio e do .NET Framework) que podem ser removidos se você não quiser executar scripts. Você pode remover ou desabilitar o software no computador de referência.

Alice identifica os seguintes fatores-chave para chegar ao "círculo de confiança" para os servidores de infraestrutura críticos da Lamna:

• Todos os dispositivos estão executando o Windows Server 2019 ou superior;
• Todos os aplicativos são gerenciados e implantados centralmente;
• Nenhum usuário interativo.

Com base no acima, Alice define as pseudo-regras para a política:

1. Regras de "windows works" que autorizam:

   • Windows
   • WHQL (drivers de kernel de terceiros)
   • Aplicativos assinados pela Windows Store

2. Regras para arquivos verificados que autorizam todos os binários de aplicativo pré-existentes encontrados no dispositivo

Para criar a política WDAC, Alice executa cada um dos seguintes comandos em uma sessão de Windows PowerShell elevada, na ordem:

1. Inicializar variáveis.

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName="FixedWorkloadPolicy_Audit"
   $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml"
   $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
   

2. Use New-CIPolicy para criar uma nova política do WDAC verificando o sistema em busca de aplicativos instalados:

   New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
   

   Observação

   • Você pode adicionar o parâmetro -Fallback para capturar todos os aplicativos não detectados usando o nível de regra de arquivo primário especificado pelo parâmetro -Level. Para obter mais informações sobre opções de nível de regra de arquivo, consulte Windows Defender níveis de regra de arquivo do Controle de Aplicativo.
   • Para especificar que a política do WDAC verifique apenas uma unidade específica, inclua o parâmetro - ScanPath seguido por um caminho. Sem esse parâmetro, a ferramenta examinará a unidade C por padrão.
   • Quando você especifica o parâmetro - UserPEs (para incluir arquivos executáveis de modo de usuário na verificação), a opção de regra 0 Enabled: UMCI é automaticamente adicionada à política do WDAC. Se você não especificar -UserPEs, a política estará vazia de executáveis do modo de usuário e terá apenas regras para binários do modo kernel, como drivers. Em outras palavras, a lista de permissões não incluirá aplicativos. Se você criar essa política e, mais tarde, adicionar a opção de regra 0 Enabled: UMCI, todas as tentativas de inicialização dos aplicativos gerarão uma resposta pelo Windows Defender Application Control. No modo de auditoria, a resposta será o registro de um evento em log e, no modo imposto, a resposta será o bloqueio do aplicativo.
   • Para criar uma política para Windows 10 1903 e superior, incluindo suporte para políticas suplementares, use -MultiplePolicyFormat.
   • Para especificar uma lista de caminhos a serem excluídos da verificação, use a opção -OmitPaths e forneça uma lista delimitada por vírgulas de caminhos.
   • O exemplo anterior inclui 3> CIPolicylog.txt, que redireciona as mensagens de aviso para um arquivo de texto, CIPolicylog.txt.

3. Mesclar a nova política com a política de WindowsDefault_Audit para garantir que todos os drivers de kernel e binários do Windows sejam carregados.

   Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
   

4. Dê à nova política um nome descritivo e um número de versão inicial:

   Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName
   Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
   

5. Modifique a política mesclada para definir regras de política:

   Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
   

6. Se for apropriado, adicione mais regras de sinal ou arquivo para personalizar ainda mais a política para sua organização.

7. Use ConvertFrom-CIPolicy para converter a política do WDAC em formato binário:

   [xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy
   $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId
   $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip"
   ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
   

8. Carregue a política base XML e o binário associado a uma solução de controle de origem, como o GitHub ou uma solução de gerenciamento de documentos, como Office 365 SharePoint.

Alice agora tem uma política inicial para os servidores de infraestrutura críticos da Lamna que está pronto para implantar no modo de auditoria.

Criar uma política de base personalizada para minimizar o impacto do usuário em dispositivos cliente em uso

Alice criou anteriormente uma política para os dispositivos totalmente gerenciados da organização. Alice incluiu a política de dispositivo totalmente gerenciada como parte do processo de compilação de dispositivos da Lamna para que todos os novos dispositivos agora comecem com o WDAC habilitado. Ela está se preparando para implantar a política em sistemas que já estão em uso, mas está preocupada em causar interrupções na produtividade dos usuários. Para minimizar esse risco, Alice decide adotar uma abordagem diferente para esses sistemas. Ela continuará implantando a política de dispositivo totalmente gerenciada no modo de auditoria para esses dispositivos, mas, para o modo de aplicação, ela mesclará as regras de política de dispositivo totalmente gerenciadas com uma política criada pela verificação do dispositivo para todos os softwares instalados anteriormente. Dessa forma, cada dispositivo é tratado como seu próprio sistema "dourado".

Alice identifica os seguintes fatores-chave para chegar ao "círculo de confiança" para os dispositivos totalmente gerenciados em uso da Lamna:

• Tudo descrito para os dispositivos totalmente gerenciados da Lamna;
• Os usuários instalaram aplicativos que precisam para continuar a ser executados.

Com base no acima, Alice define as pseudo-regras para a política:

1. Tudo incluído na política dispositivos totalmente gerenciados
2. Regras para arquivos verificados que autorizam todos os binários de aplicativo pré-existentes encontrados no dispositivo

Para os dispositivos existentes e em uso da Lamna, Alice implanta um script junto com a política de Dispositivos Totalmente Gerenciados XML (não o binário de política WDAC convertido). O script então gera uma política personalizada localmente no cliente, conforme descrito na seção anterior, mas, em vez de se fundir com a política DefaultWindows, o script se mescla com a política dispositivos totalmente gerenciados da Lamna. Alice também modifica as etapas acima para corresponder aos requisitos desse caso de uso diferente.