Развертывание Защитник Windows политик управления приложениями (WDAC)

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Теперь у вас должна быть одна или несколько Защитник Windows политик управления приложениями (WDAC), готовых к развертыванию. Если вы еще не выполнили действия, описанные в руководстве по проектированию WDAC, сделайте это сейчас, прежде чем продолжить.

Преобразование XML-файла политики WDAC в двоичный файл

Перед развертыванием политик WDAC необходимо сначала преобразовать XML в его двоичную форму. Это можно сделать с помощью следующего примера PowerShell. Необходимо задать переменную $WDACPolicyXMLFile так, чтобы она указывала на XML-файл политики WDAC.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Планирование развертывания

Как и в случае с любым значительным изменением в среде, реализация управления приложениями может иметь непреднамеренные последствия. Чтобы обеспечить наилучшие шансы на успех, следует следовать рекомендациям безопасного развертывания и тщательно планировать развертывание. Определите устройства, которыми вы будете управлять с помощью WDAC, и разделите их на круги развертывания. Таким образом, вы можете контролировать скорость и масштаб развертывания и реагировать, если что-то пойдет не так. Определите критерии успешности, которые определяют, когда безопасно переходить от одного круга к другому.

Все изменения политики управления приложениями Защитник Windows должны быть развернуты в режиме аудита, прежде чем переходить к принудительному применению. Тщательно отслеживайте события с устройств, на которых развернута политика, чтобы убедиться, что наблюдаемые события блоков соответствуют ожиданиям, прежде чем расширять развертывание до других кругов развертывания. Если ваша организация использует Microsoft Defender для конечной точки, вы можете использовать функцию Расширенной охоты для централизованного мониторинга событий, связанных с WDAC. В противном случае мы рекомендуем использовать решение для пересылки журналов событий для сбора соответствующих событий из управляемых конечных точек.

Выбор способа развертывания политик WDAC

Важно.

Из-за известной проблемы следует всегда активировать новые подписанные базовые политики WDAC с перезагрузкой в системах с включенной целостностью памяти . В этом случае рекомендуется развертывать с помощью скрипта .

Эта проблема не влияет на обновления подписанных базовых политик, которые уже активны в системе, развертывание неподписанных политик или развертывание дополнительных политик (подписанных или неподписанных). Это также не влияет на развертывания в системах, в которых не выполняется целостность памяти.

Существует несколько вариантов развертывания Защитник Windows политик управления приложениями в управляемых конечных точках, в том числе: