Criar uma política do WDAC para dispositivos totalmente gerenciados

Observação

Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Esta seção descreve o processo para criar uma política de WDAC (Controle de Aplicativo) Windows Defender para dispositivos totalmente gerenciados em uma organização. A principal diferença entre esse cenário e dispositivos levemente gerenciados é que todo o software implantado em um dispositivo totalmente gerenciado é gerenciado por TI e os usuários do dispositivo não podem instalar aplicativos arbitrários. Idealmente, todos os aplicativos são implantados usando uma solução de distribuição de software, como Microsoft Intune. Além disso, os usuários em dispositivos totalmente gerenciados devem ser executados idealmente como usuário padrão e somente profissionais de TI autorizados têm acesso administrativo.

Observação

Algumas das opções de Controle de Aplicativo Windows Defender descritas neste tópico só estão disponíveis na Windows 10 versão 1903 e superior, ou Windows 11. Ao usar este tópico para planejar as políticas WDAC da sua própria organização, considere se seus clientes gerenciados podem usar todos ou alguns desses recursos e avaliar o impacto para quaisquer recursos que possam estar indisponíveis em seus clientes. Talvez seja necessário adaptar essas diretrizes para atender às necessidades de sua organização específica.

Conforme descrito em cenários comuns de implantação do Controle de Aplicativo Windows Defender, usaremos o exemplo da Lamna Healthcare Company (Lamna) para ilustrar esse cenário. Lamna está tentando adotar políticas de aplicativo mais fortes, incluindo o uso do controle de aplicativo para impedir que aplicativos indesejados ou não autorizados sejam executados em seus dispositivos gerenciados.

Alice Pena é a líder da equipe de TI encarregada da implantação do WDAC.

Alice criou anteriormente uma política para os dispositivos levemente gerenciados da organização. Alguns dispositivos, no entanto, são mais bem gerenciados e podem se beneficiar de uma política mais restrita. Em particular, determinadas funções de trabalho, como funcionários administrativos e trabalhadores de primeira linha, não recebem acesso de nível de administrador a seus dispositivos. Da mesma forma, os quiosques compartilhados são configurados apenas com um conjunto gerenciado de aplicativos e todos os usuários do dispositivo, exceto TI, executados como usuário padrão. Nesses dispositivos, todos os aplicativos são implantados e instalados pela TI.

Definir o "círculo de confiança" para dispositivos totalmente gerenciados

Alice identifica os seguintes fatores-chave para chegar ao "círculo de confiança" para os dispositivos totalmente gerenciados da Lamna:

  • Todos os clientes estão executando Windows 10 versão 1903 ou superior ou Windows 11;
  • Todos os clientes são gerenciados por Configuration Manager ou com Intune;
  • A maioria, mas não todos, aplicativos são implantados usando Configuration Manager;
  • Às vezes, a equipe de TI instala aplicativos diretamente nesses dispositivos sem usar Configuration Manager;
  • Todos os usuários, exceto TI, são usuários padrão nesses dispositivos.

A equipe de Alice desenvolve um aplicativo de console simples, chamado LamnaITInstaller.exe, que se tornará a maneira autorizada para a equipe de TI instalar aplicativos diretamente em dispositivos. LamnaITInstaller.exe permite que o profissional de TI inicie outro processo, como um instalador de aplicativo. Alice configurará LamnaITInstaller.exe como um instalador gerenciado extra para WDAC e permitirá que ela remova a necessidade de regras de filepath.

Com base no acima, Alice define as pseudo-regras para a política:

  1. Regras de "windows works" que autorizam:

    • Windows
    • WHQL (drivers de kernel de terceiros)
    • Aplicativos assinados pela Windows Store

  2. Regras de "ConfigMgr funciona" que incluem regras de sinal e hash para Configuration Manager componentes funcionem corretamente.

  3. Permitir instalador gerenciado (Configuration Manager e LamnaITInstaller.exe configurado como um instalador gerenciado)

As diferenças críticas entre esse conjunto de pseudo-regras e essas pseudo-regras definidas para os dispositivos levemente gerenciados de Lamna são:

  • Remoção da opção ISG (Intelligent Security Graph) ; E
  • Remoção de regras de filepath.

Criar uma política de base personalizada usando uma política base WDAC de exemplo

Tendo definido o "círculo de confiança", Alice está pronta para gerar a política inicial para os dispositivos totalmente gerenciados da Lamna e decide usar Configuration Manager para criar a política de base inicial e personalizá-la para atender às necessidades de Lamna.

Alice segue estas etapas para concluir esta tarefa:

Observação

Se você não usar Configuration Manager ou preferir usar um exemplo diferente Windows Defender política de base do Controle de Aplicativo para sua própria política, pule para a etapa 2 e substitua o caminho da política de Configuration Manager pela política de base de exemplo preferencial.

  1. Use Configuration Manager para criar e implantar uma política de auditoria em um dispositivo cliente que executa Windows 10 versão 1903 ou superior, ou Windows 11.

  2. No dispositivo cliente, execute os seguintes comandos em uma sessão de Windows PowerShell elevada para inicializar variáveis:

    $PolicyPath=$env:userprofile+"\Desktop\"
$PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$PolicyPath+$PolicyName+".xml"
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"

  3. Copie a política criada por Configuration Manager para a área de trabalho:

    cp $ConfigMgrPolicy $LamnaPolicy

  4. Forneça à nova política uma ID exclusiva, um nome descritivo e um número de versão inicial:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"

  5. Modifique a política copiada para definir regras de política:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security

  6. Se for apropriado, adicione mais regras de sinal ou arquivo para personalizar ainda mais a política para sua organização.

  7. Use ConvertFrom-CIPolicy para converter a política de Controle de Aplicativo Windows Defender em um formato binário:

     [xml]$PolicyXML = Get-Content $LamnaPolicy
 $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
 ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin

  8. Carregue sua política base XML e o binário associado a uma solução de controle de origem, como o GitHub ou uma solução de gerenciamento de documentos, como Office 365 SharePoint.

Neste ponto, Alice agora tem uma política inicial que está pronta para implantar no modo de auditoria para os clientes gerenciados no Lamna.

Considerações de segurança desta política totalmente gerenciada

Alice definiu uma política para os dispositivos totalmente gerenciados da Lamna que faz algumas compensações entre segurança e capacidade de gerenciamento de aplicativos. Algumas das compensações incluem:

  • Usuários com acesso administrativo
    Embora se aplique a menos usuários, a Lamna ainda permite que alguns funcionários de TI entrem em seus dispositivos totalmente gerenciados como administrador. Esse privilégio permite que esses usuários (ou malware em execução com privilégios do usuário) modifiquem ou removam completamente a política WDAC aplicada no dispositivo. Além disso, os administradores podem configurar qualquer aplicativo que desejam operar como um instalador gerenciado que lhes permita obter autorização de aplicativo persistente para quaisquer aplicativos ou binários que desejarem.

    Possíveis mitigações:

    • Use políticas de WDAC assinadas e proteção de acesso do BIOS UEFI para evitar a adulteração de políticas do WDAC.
    • Crie e implante arquivos de catálogo assinados como parte do processo de implantação do aplicativo para remover o requisito do instalador gerenciado.
    • Use o atestado de dispositivo para detectar o estado de configuração do WDAC na hora da inicialização e usar essas informações para condicionar o acesso a recursos corporativos confidenciais.

  • Políticas não assinadas
    As políticas não assinadas podem ser substituídas ou removidas sem consequências por qualquer processo em execução como administrador. Políticas de base não assinadas que também habilitam políticas suplementares podem ter seu "círculo de confiança" alterado por qualquer política suplementar não assinada.

    Mitigações existentes aplicadas:

    • Limite quem pode elevar ao administrador no dispositivo.

    Possíveis mitigações:

    • Use políticas de WDAC assinadas e proteção de acesso do BIOS UEFI para evitar a adulteração de políticas do WDAC.

  • Instalador gerenciado
    Confira considerações de segurança com o instalador gerenciado

    Mitigações existentes aplicadas:

    • Limite quem pode elevar ao administrador no dispositivo.

    Possíveis mitigações:

    • Crie e implante arquivos de catálogo assinados como parte do processo de implantação do aplicativo para remover o requisito do instalador gerenciado.

  • Políticas suplementares
    As políticas suplementares são projetadas para relaxar a política de base associada. Além disso, permitir políticas não assinadas permite que qualquer processo de administrador expanda o "círculo de confiança" definido pela política base sem restrições.

    Possíveis mitigações:

    • Use políticas de WDAC assinadas que permitem apenas políticas complementares assinadas autorizadas.
    • Use uma política de modo de auditoria restritiva para auditar o uso do aplicativo e aumentar a detecção de vulnerabilidades.

Em seguida