Criar uma política do WDAC para dispositivos levemente gerenciados
Observação
Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.
Esta seção descreve o processo para criar uma política de WDAC (Controle de Aplicativo) Windows Defender para dispositivos levemente gerenciados em uma organização. Normalmente, as organizações que são novas no controle de aplicativos serão mais bem-sucedidas se começarem com uma política permissiva como a descrita neste artigo. As organizações podem optar por endurecer a política ao longo do tempo para obter uma postura de segurança geral mais forte em seus dispositivos gerenciados pelo WDAC, conforme descrito em artigos posteriores.
Observação
Algumas das opções de Controle de Aplicativo Windows Defender descritas neste tópico só estão disponíveis na Windows 10 versão 1903 e superior, ou Windows 11. Ao usar este tópico para planejar as políticas WDAC da sua própria organização, considere se seus clientes gerenciados podem usar todos ou alguns desses recursos e avaliar o impacto para quaisquer recursos que possam estar indisponíveis em seus clientes. Talvez seja necessário adaptar essas diretrizes para atender às necessidades de sua organização específica.
Assim como em Windows Defender implantação do Controle de Aplicativo em diferentes cenários: tipos de dispositivos, usaremos o exemplo da Lamna Healthcare Company (Lamna) para ilustrar esse cenário. Lamna está tentando adotar políticas de aplicativo mais fortes, incluindo o uso do controle de aplicativo para impedir que aplicativos indesejados ou não autorizados sejam executados em seus dispositivos gerenciados.
Alice Pena é a líder da equipe de TI encarregada da implantação do WDAC. Atualmente, a Lamna tem políticas de uso de aplicativos frouxas e uma cultura de flexibilidade máxima do aplicativo para os usuários. Assim, Alice sabe que precisará adotar uma abordagem incremental para o controle de aplicativos e usar políticas diferentes para cargas de trabalho diferentes.
Para a maioria dos usuários e dispositivos, Alice deseja criar uma política inicial o mais relaxada possível para minimizar o impacto na produtividade do usuário, ao mesmo tempo em que fornece um valor de segurança.
Definir o "círculo de confiança" para dispositivos levemente gerenciados
Alice identifica os seguintes fatores-chave para chegar ao "círculo de confiança" para os dispositivos levemente gerenciados da Lamna, que atualmente incluem a maioria dos dispositivos de usuário final:
- Todos os clientes estão executando Windows 10 versão 1903 ou superior, ou Windows 11;
- Todos os clientes são gerenciados por Configuration Manager ou com Intune.
- Alguns aplicativos, mas não todos, são implantados usando Configuration Manager;
- A maioria dos usuários são administradores locais em seus dispositivos;
- Algumas equipes podem precisar de mais regras para autorizar aplicativos específicos que não se aplicam geralmente a todos os outros usuários.
Com base no acima, Alice define as pseudo-regras para a política:
Regras de "windows works" que autorizam:
- Windows
- WHQL (drivers de kernel de terceiros)
- Aplicativos assinados pela Windows Store
Regras de "ConfigMgr funciona" que incluem:
- Regras de sinal e hash para Configuration Manager componentes funcionem corretamente.
- Permitir que a regra do Instalador Gerenciado autorize Configuration Manager como um instalador gerenciado.
Permitir ISG (Intelligent Security Graph) ( autorização baseada em reputação)
Aplicativos assinados usando um certificado emitido por uma autoridade de certificado do Programa Raiz Confiável do Windows
regras de caminho somente Administração para os seguintes locais:
- C:\Arquivos de Programa*
- C:\Arquivos de Programa (x86)*
- %windir%*
Criar uma política de base personalizada usando uma política base WDAC de exemplo
Tendo definido o "círculo de confiança", Alice está pronta para gerar a política inicial para os dispositivos levemente gerenciados de Lamna. Alice decide usar o exemplo SmartAppControl.xml para criar a política de base inicial e personalizá-la para atender às necessidades de Lamna.
Alice segue estas etapas para concluir esta tarefa:
Em um dispositivo cliente, execute os seguintes comandos em uma sessão de Windows PowerShell elevada para inicializar variáveis:
Observação
Se preferir usar um exemplo diferente Windows Defender política de base do Controle de Aplicativo, substitua o caminho da política de exemplo pela política de base preferencial nesta etapa.
$PolicyPath = $env:userprofile+"\Desktop\" $PolicyName= "Lamna_LightlyManagedClients_Audit" $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml" $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"Copie a política de exemplo para a área de trabalho:
Copy-Item $ExamplePolicy $LamnaPolicyModifique a política para remover a regra sem suporte:
Observação
SmartAppControl.xmlestá disponível no Windows 11 versão 22H2 e posterior. Essa política inclui a regra "Habilitado:Política de Bloqueio condicional do Windows" que não tem suporte para políticas do WDAC empresarial e deve ser removida. Para obter mais informações, consulte WDAC e Controle de Aplicativo Inteligente. Se você estiver usando uma política de exemplo diferente deSmartAppControl.xml, ignore esta etapa.[xml]$xml = Get-Content $LamnaPolicy $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable) $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI) $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns) $node.ParentNode.RemoveChild($node) $xml.Save($LamnaPolicy)Forneça à nova política uma ID exclusiva, um nome descritivo e um número de versão inicial:
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"Use Configuration Manager para criar e implantar uma política de auditoria no dispositivo cliente que executa Windows 10 versão 1903 ou superior, ou Windows 11. Mesclar a política de Configuration Manager com a política de exemplo.
Observação
Se você não usar Configuration Manager, ignore esta etapa.
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed InstallerModifique a política para definir regras de política adicionais:
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code SecurityAdicione regras para permitir os diretórios Arquivos do Windows e do Programa:
$PathRules += New-CIPolicyRule -FilePathRule "%windir%\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRulesSe for apropriado, adicione mais regras de sinal ou arquivo para personalizar ainda mais a política para sua organização.
Use ConvertFrom-CIPolicy para converter a política de Controle de Aplicativo Windows Defender em um formato binário:
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBinCarregue sua política base XML e o binário associado a uma solução de controle de origem, como o GitHub ou uma solução de gerenciamento de documentos, como Office 365 SharePoint.
Neste ponto, Alice agora tem uma política inicial que está pronta para implantar no modo de auditoria para os clientes gerenciados no Lamna.
Considerações de segurança dessa política levemente gerenciada
Para minimizar o impacto na produtividade do usuário, Alice definiu uma política que torna várias compensações entre segurança e flexibilidade do aplicativo de usuário. Algumas das compensações incluem:
Usuários com acesso administrativo
Essa compensação é a compensação de segurança mais impactante. Ele permite que o usuário do dispositivo ou malware em execução com os privilégios do usuário modifique ou remova a política WDAC no dispositivo. Além disso, os administradores podem configurar qualquer aplicativo para atuar como um instalador gerenciado, o que lhes permitiria obter autorização de aplicativo persistente para quaisquer aplicativos ou binários que desejarem.
Possíveis mitigações:
- Use políticas de WDAC assinadas e proteção de acesso do BIOS UEFI para evitar a adulteração de políticas do WDAC.
- Para remover o requisito do instalador gerenciado, crie e implante arquivos de catálogo assinados como parte do processo de implantação do aplicativo.
- Use o atestado de dispositivo para detectar o estado de configuração do WDAC na hora da inicialização e usar essas informações para condicionar o acesso a recursos corporativos confidenciais.
Políticas não assinadas
As políticas não assinadas podem ser substituídas ou removidas sem consequências por qualquer processo em execução como administrador. Políticas de base não assinadas que também habilitam políticas suplementares podem ter seu "círculo de confiança" alterado por qualquer política suplementar não assinada.
Possíveis mitigações:
- Use políticas de WDAC assinadas e proteção de acesso do BIOS UEFI para evitar a adulteração de políticas do WDAC.
- Limite quem pode elevar ao administrador no dispositivo.
Instalador gerenciado
Confira considerações de segurança com o instalador gerenciado
Possíveis mitigações:
- Para remover o requisito do instalador gerenciado, crie e implante arquivos de catálogo assinados como parte do processo de implantação do aplicativo.
- Limite quem pode elevar ao administrador no dispositivo.
ISG (Intelligent Security Graph)
Confira considerações de segurança com o Grafo de Segurança Inteligente
Possíveis mitigações:
- Implementar políticas que exigem que os aplicativos sejam gerenciados por TI. Audite o uso de aplicativos existentes e implante aplicativos autorizados usando uma solução de distribuição de software, como Microsoft Intune. Mova do ISG para o instalador gerenciado ou regras baseadas em assinatura.
- Use uma política de modo de auditoria restritiva para auditar o uso do aplicativo e aumentar a detecção de vulnerabilidades.
Políticas suplementares
As políticas suplementares são projetadas para relaxar a política de base associada. Além disso, permitir políticas não assinadas permite que qualquer processo de administrador expanda o "círculo de confiança" definido pela política base sem restrições.
Possíveis mitigações:
- Use políticas de WDAC assinadas que permitem apenas políticas complementares assinadas autorizadas.
- Use uma política de modo de auditoria restritiva para auditar o uso do aplicativo e aumentar a detecção de vulnerabilidades.
Regras do FilePath
Confira mais informações sobre regras de filepath
Possíveis mitigações:
- Limite quem pode elevar ao administrador no dispositivo.
- Migre de regras de filepath para instalador gerenciado ou regras baseadas em assinatura.
Arquivos assinados
Embora os arquivos assinados por código verifiquem a identidade do autor e garantam que o código não tenha sido alterado por ninguém além do autor, ele não garante que o código assinado seja seguro.
Possíveis mitigações:
- Use um software antimalware ou antivírus respeitável com proteção em tempo real, como Microsoft Defender, para proteger seus dispositivos contra arquivos mal-intencionados, adware e outras ameaças.
Em seguida
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de