Compartir a través de

Aplicación de directivas de control de aplicaciones de Windows Defender (WDAC)

Nota

Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

Ahora debe tener una o varias directivas de control de aplicaciones Windows Defender implementadas ampliamente en modo de auditoría. Ha analizado los eventos recopilados de los dispositivos con esas directivas y está listo para aplicarlos. Use este procedimiento para preparar e implementar las directivas WDAC en modo de cumplimiento.

Nota

Algunos de los pasos descritos en este artículo solo se aplican a Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas WDAC de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características. Evalúe el impacto de las características que pueden no estar disponibles en los clientes que ejecutan versiones anteriores de Windows 10 y Windows Server. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.

Conversión de la directiva base WDAC de auditoría a aplicada

Como se describe en escenarios comunes de implementación de Windows Defender Application Control, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso del control de aplicaciones para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.

Alice Pena es la responsable del lanzamiento de WDAC de Lamna.

Alice creó e implementó anteriormente una directiva para los dispositivos totalmente administrados de la organización. Actualizaron la directiva en función de los datos de eventos de auditoría, tal como se describe en Uso de eventos de auditoría para crear reglas de directiva WDAC y volver a implementarla. Todos los eventos de auditoría restantes son los esperados y Alice está lista para cambiar al modo de cumplimiento.

  1. Inicialice las variables que se usarán y cree la directiva aplicada copiando la versión de auditoría.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Use Set-CIPolicyIdInfo para proporcionar a la nueva directiva un identificador único y un nombre descriptivo. Cambiar el identificador y el nombre le permite implementar la directiva aplicada en paralelo con la directiva de auditoría. Realice este paso si planea proteger la directiva WDAC con el tiempo. Si prefiere reemplazar la directiva de auditoría en contexto, puede omitir este paso.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Opcionalmente] Use Set-RuleOption para habilitar las opciones de regla 9 ("Menú Opciones de arranque avanzadas") y 10 ("Auditoría de arranque en caso de error"). La opción 9 permite a los usuarios deshabilitar la aplicación wdac para una única sesión de arranque desde un menú previo al arranque. La opción 10 indica a Windows que cambie la directiva de aplicación a auditoría solo si se bloquea un controlador de modo kernel crítico de arranque. Se recomienda encarecidamente estas opciones al implementar una nueva directiva aplicada en el primer anillo de implementación. A continuación, si no se encuentra ningún problema, puede quitar las opciones y reiniciar la implementación.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Use Set-RuleOption para eliminar la opción de regla de modo de auditoría, que cambia la directiva a cumplimiento:

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Use ConvertFrom-CIPolicy para convertir la nueva directiva WDAC en binario:

    Nota

    Si no usó -ResetPolicyID en el paso 2 anterior, debe reemplazar $EnforcedPolicyID en el siguiente comando por el atributo PolicyID que se encuentra en el XML de la directiva base.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Hacer copias de las directivas complementarias necesarias para usarlas con la directiva base aplicada

Dado que a la directiva aplicada se le dio un policyID único en el procedimiento anterior, debe duplicar las directivas complementarias necesarias para usarlas con la directiva aplicada. Las directivas complementarias siempre heredan el modo auditoría o cumplimiento de la directiva base que modifican. Si no ha restablecido el policyID de la directiva base de cumplimiento, puede omitir este procedimiento.

  1. Inicialice las variables que se usarán y cree una copia de la directiva complementaria actual. También se usarán algunas variables y archivos del procedimiento anterior.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Use Set-CIPolicyIdInfo para proporcionar a la nueva directiva complementaria un identificador único y un nombre descriptivo, y cambiar la directiva base que se va a complementar.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Nota

    Si Set-CIPolicyIdInfo no genera el nuevo valor de PolicyID en la versión de Windows 10, deberá obtener el valor policyId directamente del XML.

  3. Use ConvertFrom-CIPolicy para convertir la nueva directiva complementaria Windows Defender Application Control en binario:

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Repita los pasos anteriores si tiene otras directivas complementarias que actualizar.

Implementación de la directiva aplicada y las directivas complementarias

Ahora que la directiva base está en modo aplicado, puede empezar a implementarla en los puntos de conexión administrados. Para obtener información sobre la implementación de directivas, vea Deploying Windows Defender Application Control (WDAC).