Usar várias políticas de controle de aplicativo Windows Defender

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Observação

Alguns recursos do WDAC (Controle de Aplicativo) Windows Defender estão disponíveis apenas em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Começando com Windows 10 versão 1903 e Windows Server 2022, você pode implantar várias políticas do WDAC (Controle de Aplicativo) Windows Defender lado a lado em um dispositivo. Para permitir mais de 32 políticas ativas, instale a atualização de segurança do Windows lançada ou depois de 9 de abril de 2024 e reinicie o dispositivo. Com essas atualizações, não há limite para o número de políticas que você pode implantar ao mesmo tempo em um determinado dispositivo. Até instalar a atualização de segurança do Windows lançada em ou após 9 de abril de 2024, seu dispositivo está limitado a 32 políticas ativas e você não deve exceder esse número.

Observação

O limite de política não foi removido no Windows 11 21H2 e permanecerá limitado a 32 políticas.

Aqui estão alguns cenários comuns em que várias políticas lado a lado são úteis:

1. Impor e auditar lado a lado
   • Para validar as alterações de política antes de implantar no modo de execução, os usuários agora podem implantar uma política de base de modo de auditoria lado a lado com uma política de base de modo de execução existente
2. Várias políticas de base
   • Os usuários podem impor duas ou mais políticas básicas simultaneamente, a fim de permitir um direcionamento de política mais simples para políticas com escopo/intenção diferentes
   • Se houver duas políticas de base em um dispositivo, um aplicativo deverá passar as duas políticas para que ele seja executado
3. Políticas suplementares
   • Os usuários podem implantar uma ou mais políticas complementares para expandir uma política base
   • Uma política suplementar expande uma política de base única e várias políticas suplementares podem expandir a mesma política base
   • Para políticas complementares, aplicativos permitidos pela política base ou sua política/política suplementar são executados

Observação

Os sistemas pré-1903 não dão suporte ao uso de políticas WDAC de formato de política múltipla.

Interação de política base e suplementar

• Várias políticas de base: intersecção
  • Somente aplicativos permitidos por ambas as políticas são executados sem gerar eventos de bloco
• Base + política suplementar: união
  • Arquivos permitidos pela política base ou pela execução da política suplementar

Criando políticas do WDAC no Formato de Política Múltipla

Para permitir que várias políticas existam e entrem em vigor em um único sistema, as políticas devem ser criadas usando o novo Formato de Política Múltipla. A opção "MultiplePolicyFormat" no New-CIPolicy resulta em 1) valores exclusivos gerados para a ID da política e 2) o tipo de política definido como uma política base. O exemplo abaixo descreve o processo de criação de uma nova política no formato de política múltipla.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

Opcionalmente, você pode optar por fazer com que a nova política base permita políticas complementares.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Para políticas de base assinadas para permitir políticas suplementares, verifique se os signatários suplementares estão definidos. Use a opção Complementar no Add-SignerRule para fornecer sinalizadores complementares.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Criação de política suplementar

Para criar uma política complementar, comece criando uma nova política no Formato de Política Múltipla, conforme mostrado anteriormente. A partir daí, use Set-CIPolicyIdInfo para convertê-la em uma política suplementar e especifique qual política base ela expande. Você pode usar SupplementsBasePolicyID ou BasePolicyToSupplementPath para especificar a política base.

• "SupplementsBasePolicyID": GUID da política base à qual a política suplementar se aplica
• "BasePolicyToSupplementPath": caminho para o arquivo de política base ao qual a política suplementar se aplica

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Mesclar políticas

Quando você está mesclando políticas, o tipo de política e a ID da política mais à esquerda/primeira especificada são usadas. Se o mais à esquerda for uma política base com ID de ID<>, independentemente de quais guids e tipos são para quaisquer políticas subsequentes, a política mesclada será uma política base com ID de ID<>.

Implantando várias políticas

Para implantar várias políticas de Controle de Aplicativo Windows Defender, você deve implantá-las localmente copiando os arquivos de *.cip política na pasta adequada ou usando o CSP do ApplicationControl.

Implantando várias políticas localmente

Para implantar políticas localmente usando o novo formato de política múltipla, siga estas etapas:

1. Verifique se os arquivos de política binária têm o formato de nomenclatura correto de {PolicyGUID}.cip.
   • Verifique se o nome do arquivo de política binária é exatamente o mesmo que o GUID PolicyID na política
   • Por exemplo, se a política XML tivesse a ID como <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, o nome correto para o arquivo de política binária seria {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
2. Copie políticas binárias para C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. Reinicialize o sistema.

Implantando várias políticas por meio do ApplicationControl CSP

Várias políticas de Controle de Aplicativo Windows Defender podem ser gerenciadas a partir de um servidor MDM por meio do CSP (provedor de serviços de configuração do ApplicationControl). O CSP também fornece suporte para implantação de política sem reinicialização.

No entanto, quando as políticas são desativadas de um servidor MDM, o CSP tenta remover todas as políticas não implantadas ativamente, não apenas as políticas adicionadas pelo CSP. Esse comportamento acontece porque o sistema não sabe quais métodos de implantação foram usados para aplicar políticas individuais.

Para obter mais informações sobre como implantar várias políticas, opcionalmente usando o recurso OMA-URI personalizado do Microsoft Intune, consulte ApplicationControl CSP.

Observação

No momento, o WMI e o GP não dão suporte a várias políticas. Em vez disso, os clientes que não puderem acessar diretamente a pilha MDM devem usar o CSP ApplicationControl por meio do Provedor WMI da Ponte MDM para gerenciar o Formato de Política Múltipla Windows Defender políticas de Controle de Aplicativo.