Dicas de Administração do WDAC & problemas conhecidos
Observação
Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso controle de aplicativo.
Este artigo aborda dicas e truques para administradores e problemas conhecidos com Windows Defender WDAC (Controle de Aplicativo). Teste essa configuração em seu laboratório antes de habilitá-la em produção.
Locais de arquivo de política do WDAC
Várias políticas WDAC de formato de política são encontradas nos locais a seguir, dependendo se a política está assinada ou não, e o método de implantação de política que foi usado.
- <Volume> do SISTEMA OPERACIONAL\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
- <Partição> do Sistema EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip
O valor {PolicyId GUID} é exclusivo por política e definido na política XML com o <elemento PolicyId> .
Para políticas WDAC de formato de política única, além dos dois locais anteriores, procure também um arquivo chamado SiPolicy.p7b nos seguintes locais:
- <Partição> do Sistema EFI\Microsoft\Boot\SiPolicy.p7b
- <Volume> do SISTEMA OPERACIONAL\Windows\System32\CodeIntegrity\SiPolicy.p7b
Observação
Uma política WDAC de formato de política múltipla usando o guid {A244370E-44C9-4C06-B551-F6016E563076} de formato de política única pode existir em qualquer um dos locais do arquivo de política.
Ordem de Precedência de Regra de Arquivo
Quando o mecanismo WDAC avalia arquivos em relação ao conjunto ativo de políticas no dispositivo, as regras são aplicadas na ordem a seguir. Depois que um arquivo encontra uma correspondência, o WDAC interrompe o processamento adicional.
Regras de negação explícitas – um arquivo é bloqueado se houver alguma regra de negação explícita para ele, mesmo que outras regras sejam criadas para tentar permitir isso. Negar regras pode usar qualquer nível de regra. Use o nível de regra mais específico prático ao criar regras de negação para evitar bloquear mais do que você pretende.
Regras de permissão explícitas – se houver uma regra de permissão explícita para o arquivo, o arquivo será executado.
Em seguida, o WDAC verifica o EA (atributo estendido do Instalador Gerenciado) ou o EA (Intelligent Security Graph) no arquivo. Se o EA existir e a política habilitar a opção correspondente, o arquivo será permitido.
Por fim, o WDAC faz uma chamada de nuvem para o ISG para obter reputação sobre o arquivo, se a política habilitar a opção ISG.
Qualquer arquivo não permitido por uma regra explícita ou com base em ISG ou MI é bloqueado implicitamente.
Problemas conhecidos
Falha de parada de inicialização (tela azul) ocorrerá se mais de 32 políticas estiverem ativas
Até aplicar a atualização de segurança do Windows lançada em ou após 9 de abril de 2024, seu dispositivo está limitado a 32 políticas ativas. Se o número máximo de políticas for excedido, os bluescreens do dispositivo referenciarão ci.dll com um bug marcar valor de 0x0000003b. Considere esse limite máximo de contagem de políticas ao planejar suas políticas do WDAC. Todas as políticas de caixa de entrada do Windows que estejam ativas no dispositivo também contam para esse limite. Para remover o limite máximo da política, instale a atualização de segurança do Windows lançada em ou depois de 9 de abril de 2024 e reinicie o dispositivo. Caso contrário, reduza o número de políticas no dispositivo para permanecer abaixo de 32 políticas.
Nota: O limite de política não foi removido no Windows 11 21H2 e permanecerá limitado a 32 políticas.
As políticas de modo de auditoria podem alterar o comportamento de alguns aplicativos ou causar falhas no aplicativo
Embora o modo de auditoria WDAC tenha sido projetado para evitar impacto nos aplicativos, alguns recursos são sempre ativados/sempre imposto com qualquer política WDAC que ativa a UMCI (integridade do código do modo de usuário) com a opção 0 Habilitado:UMCI. Aqui está uma lista de alterações conhecidas do sistema no modo de auditoria:
- Alguns hosts de script podem bloquear código ou executar código com menos privilégios mesmo no modo de auditoria. Consulte Aplicação de script com o WDAC para obter informações sobre comportamentos individuais do host de script.
- A opção 19 Enableed:Dynamic Code Security sempre será imposta se qualquer política umCI incluir essa opção. Consulte WDAC e .NET.
Imagens nativas do .NET podem gerar eventos de bloco falso positivo
Em alguns casos, os logs de integridade do código em que Windows Defender erros e avisos do Controle de Aplicativo são gravados incluem eventos de erro para imagens nativas geradas para assemblies .NET. Normalmente, os blocos de imagem nativos são funcionalmente benignos, pois uma imagem nativa bloqueada volta ao assembly correspondente e o .NET regenera a imagem nativa em sua próxima janela de manutenção agendada.
Não há suporte para assinaturas usando criptografia de curva elíptica (ECC)
As regras baseadas no signatário do WDAC só funcionam com criptografia RSA. Algoritmos ECC, como ECDSA, não têm suporte. Se o WDAC bloquear um arquivo com base em assinaturas do ECC, os eventos de informações de assinatura correspondentes de 3089 mostrarão VerificationError = 23. Em vez disso, você pode autorizar os arquivos por regras de atributo de arquivo ou hash ou usando outras regras de signatário se o arquivo também for assinado com assinaturas usando RSA.
Os instaladores MSI são tratados como graváveis pelo usuário em Windows 10 quando permitidos pela regra FilePath
Os arquivos do instalador msi são sempre detectados como graváveis pelo usuário em Windows 10 e no Windows Server 2022 e anteriores. Se você precisar permitir arquivos MSI usando regras do FilePath, deverá definir a opção 18 Desabilitado:Proteção de Regras de FilePath do Runtime na política do WDAC.
As instalações msi lançadas diretamente da Internet são bloqueadas pelo WDAC
A instalação de arquivos .msi diretamente da Internet para um computador protegido pelo WDAC falha. Por exemplo, esse comando falha:
msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi
Como solução alternativa, baixe o arquivo MSI e execute-o localmente:
msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi
Inicialização lenta e desempenho com políticas personalizadas
O WDAC avalia todos os processos executados, incluindo processos do Windows na caixa de entrada. Você pode causar tempos de inicialização mais lentos, desempenho degradado e possivelmente problemas de inicialização se suas políticas não se baseiam nos modelos WDAC ou não confiam nos signatários do Windows. Por esses motivos, você deve usar os modelos base do WDAC sempre que possível para criar suas políticas.
Considerações sobre a política de marcação do AppId
As políticas de marcação appId que não são criadas sobre os modelos base do WDAC ou não permitem que os signatários da caixa de entrada do Windows possam causar um aumento significativo nos tempos de inicialização (~2 minutos).
Se você não puder permitir a lista dos signatários do Windows ou criar os modelos base do WDAC, adicione a seguinte regra às suas políticas para melhorar o desempenho:
Como as políticas de Marcação do AppId são avaliadas, mas não podem marcar arquivos dll, essa regra curto-circuitos dll avaliação e melhorar o desempenho da avaliação.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de