Usar várias políticas de controle de aplicativo Windows Defender
Observação
Alguns recursos do WDAC (Controle de Aplicativo) Windows Defender estão disponíveis apenas em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.
Começando com Windows 10 versão 1903 e Windows Server 2022, você pode implantar várias políticas do WDAC (Controle de Aplicativo) Windows Defender lado a lado em um dispositivo. Para permitir mais de 32 políticas ativas, instale a atualização de segurança do Windows lançada ou depois de 9 de abril de 2024 e reinicie o dispositivo. Com essas atualizações, não há limite para o número de políticas que você pode implantar ao mesmo tempo em um determinado dispositivo. Até instalar a atualização de segurança do Windows lançada em ou após 9 de abril de 2024, seu dispositivo está limitado a 32 políticas ativas e você não deve exceder esse número.
Observação
O limite de política não foi removido no Windows 11 21H2 e permanecerá limitado a 32 políticas.
Aqui estão alguns cenários comuns em que várias políticas lado a lado são úteis:
- Impor e auditar lado a lado
- Para validar as alterações de política antes de implantar no modo de execução, os usuários agora podem implantar uma política de base de modo de auditoria lado a lado com uma política de base de modo de execução existente
- Várias políticas de base
- Os usuários podem impor duas ou mais políticas básicas simultaneamente, a fim de permitir um direcionamento de política mais simples para políticas com escopo/intenção diferentes
- Se houver duas políticas de base em um dispositivo, um aplicativo deverá passar as duas políticas para que ele seja executado
- Políticas suplementares
- Os usuários podem implantar uma ou mais políticas complementares para expandir uma política base
- Uma política suplementar expande uma política de base única e várias políticas suplementares podem expandir a mesma política base
- Para políticas complementares, aplicativos permitidos pela política base ou sua política/política suplementar são executados
Observação
Os sistemas pré-1903 não dão suporte ao uso de políticas WDAC de formato de política múltipla.
Interação de política base e suplementar
- Várias políticas de base: intersecção
- Somente aplicativos permitidos por ambas as políticas são executados sem gerar eventos de bloco
- Base + política suplementar: união
- Arquivos permitidos pela política base ou pela execução da política suplementar
Criando políticas do WDAC no Formato de Política Múltipla
Para permitir que várias políticas existam e entrem em vigor em um único sistema, as políticas devem ser criadas usando o novo Formato de Política Múltipla. A opção "MultiplePolicyFormat" no New-CIPolicy resulta em 1) valores exclusivos gerados para a ID da política e 2) o tipo de política definido como uma política base. O exemplo abaixo descreve o processo de criação de uma nova política no formato de política múltipla.
New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash
Opcionalmente, você pode optar por fazer com que a nova política base permita políticas complementares.
Set-RuleOption -FilePath ".\policy.xml" -Option 17
Para políticas de base assinadas para permitir políticas suplementares, verifique se os signatários suplementares estão definidos. Use a opção Complementar no Add-SignerRule para fornecer sinalizadores complementares.
Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]
Criação de política suplementar
Para criar uma política complementar, comece criando uma nova política no Formato de Política Múltipla, conforme mostrado anteriormente. A partir daí, use Set-CIPolicyIdInfo para convertê-la em uma política suplementar e especifique qual política base ela expande. Você pode usar SupplementsBasePolicyID ou BasePolicyToSupplementPath para especificar a política base.
- "SupplementsBasePolicyID": GUID da política base à qual a política suplementar se aplica
- "BasePolicyToSupplementPath": caminho para o arquivo de política base ao qual a política suplementar se aplica
Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>
Mesclar políticas
Quando você está mesclando políticas, o tipo de política e a ID da política mais à esquerda/primeira especificada são usadas. Se o mais à esquerda for uma política base com ID de ID<>, independentemente de quais guids e tipos são para quaisquer políticas subsequentes, a política mesclada será uma política base com ID de ID<>.
Implantando várias políticas
Para implantar várias políticas de Controle de Aplicativo Windows Defender, você deve implantá-las localmente copiando os arquivos de *.cip política na pasta adequada ou usando o CSP do ApplicationControl.
Implantando várias políticas localmente
Para implantar políticas localmente usando o novo formato de política múltipla, siga estas etapas:
- Verifique se os arquivos de política binária têm o formato de nomenclatura correto de
{PolicyGUID}.cip.- Verifique se o nome do arquivo de política binária é exatamente o mesmo que o GUID PolicyID na política
- Por exemplo, se a política XML tivesse a ID como
<PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, o nome correto para o arquivo de política binária seria{A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
- Copie políticas binárias para
C:\Windows\System32\CodeIntegrity\CiPolicies\Active. - Reinicialize o sistema.
Implantando várias políticas por meio do ApplicationControl CSP
Várias políticas de Controle de Aplicativo Windows Defender podem ser gerenciadas a partir de um servidor MDM por meio do CSP (provedor de serviços de configuração do ApplicationControl). O CSP também fornece suporte para implantação de política sem reinicialização.
No entanto, quando as políticas são desativadas de um servidor MDM, o CSP tenta remover todas as políticas não implantadas ativamente, não apenas as políticas adicionadas pelo CSP. Esse comportamento acontece porque o sistema não sabe quais métodos de implantação foram usados para aplicar políticas individuais.
Para obter mais informações sobre como implantar várias políticas, opcionalmente usando o recurso OMA-URI personalizado do Microsoft Intune, consulte ApplicationControl CSP.
Observação
No momento, o WMI e o GP não dão suporte a várias políticas. Em vez disso, os clientes que não puderem acessar diretamente a pilha MDM devem usar o CSP ApplicationControl por meio do Provedor WMI da Ponte MDM para gerenciar o Formato de Política Múltipla Windows Defender políticas de Controle de Aplicativo.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de