Compartir a través de

Crear una directiva WDAC para dispositivos totalmente administrados

Nota

Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.

En esta sección se describe el proceso para crear una directiva de control de aplicaciones de Windows Defender (WDAC) para dispositivos totalmente administrados dentro de una organización. La diferencia clave entre este escenario y los dispositivos ligeramente administrados es que todo el software implementado en un dispositivo totalmente administrado está administrado por TI y los usuarios del dispositivo no pueden instalar aplicaciones arbitrarias. Idealmente, todas las aplicaciones se implementan mediante una solución de distribución de software, como Microsoft Intune. Además, los usuarios de dispositivos totalmente administrados deberían ejecutarse como usuarios estándar y solo los profesionales de TI autorizados tienen acceso administrativo.

Nota

Algunas de las opciones de control de aplicaciones de Windows Defender descritas en este tema solo están disponibles en Windows 10 versión 1903 y posteriores, o Windows 11. Al usar este tema para planear las directivas WDAC de su propia organización, considere si los clientes administrados pueden usar todas o algunas de estas características y evaluar el impacto de las características que pueden no estar disponibles en los clientes. Es posible que tenga que adaptar esta guía para satisfacer las necesidades específicas de su organización.

Como se describe en escenarios comunes de implementación de Windows Defender Application Control, usaremos el ejemplo de Lamna Healthcare Company (Lamna) para ilustrar este escenario. Lamna está intentando adoptar directivas de aplicación más seguras, incluido el uso del control de aplicaciones para evitar que las aplicaciones no deseadas o no autorizadas se ejecuten en sus dispositivos administrados.

Alice Pena es la responsable del equipo de TI encargado de implementar WDAC.

Alice creó anteriormente una directiva para los dispositivos ligeramente administrados de la organización. Sin embargo, algunos dispositivos están más estrechamente administrados y pueden beneficiarse de una directiva más restringida. En concreto, a determinadas funciones de trabajo, como el personal administrativo y los trabajadores de primera línea, no se les concede acceso de nivel de administrador a sus dispositivos. De forma similar, los quioscos compartidos solo se configuran con un conjunto administrado de aplicaciones y todos los usuarios del dispositivo excepto TI se ejecutan como usuario estándar. En estos dispositivos, todas las aplicaciones se implementan e instalan mediante TI.

Definición del "círculo de confianza" para dispositivos totalmente administrados

Alice identifica los siguientes factores clave para llegar al "círculo de confianza" para los dispositivos totalmente administrados de Lamna:

  • Todos los clientes ejecutan Windows 10 versión 1903 o posterior o Windows 11;
  • Todos los clientes se administran mediante Configuration Manager o con Intune;
  • La mayoría de las aplicaciones, pero no todas, se implementan mediante Configuration Manager;
  • A veces, el personal de TI instala aplicaciones directamente en estos dispositivos sin usar Configuration Manager;
  • Todos los usuarios excepto TI son usuarios estándar en estos dispositivos.

El equipo de Alice desarrolla una sencilla aplicación de consola, denominada LamnaITInstaller.exe, que se convertirá en la forma autorizada para que el personal de TI instale aplicaciones directamente en los dispositivos. LamnaITInstaller.exe permite al profesional de TI iniciar otro proceso, como un instalador de aplicaciones. Alice configurará LamnaITInstaller.exe como instalador administrado adicional para WDAC y le permite quitar la necesidad de reglas de ruta de archivo.

En función de lo anterior, Alice define las pseudo-reglas para la directiva:

  1. Reglas de "Windows funciona" que autorizan:

    • Windows
    • WHQL (controladores de kernel de terceros)
    • Aplicaciones firmadas en la Tienda Windows

  2. Reglas "ConfigMgr funciona" que incluyen reglas de firmante y hash para que los componentes de Configuration Manager funcionen correctamente.

  3. Permitir el instalador administrado (Configuration Manager y LamnaITInstaller.exe configurados como instalador administrado)

Las diferencias críticas entre este conjunto de pseudo-reglas y las pseudo-reglas definidas para los dispositivos ligeramente administrados de Lamna son:

  • Eliminación de la opción Intelligent Security Graph (ISG); Y
  • Eliminación de reglas de ruta de archivo.

Creación de una directiva base personalizada mediante una directiva base WDAC de ejemplo

Una vez definido el "círculo de confianza", Alice está lista para generar la directiva inicial para los dispositivos totalmente administrados de Lamna y decide usar Configuration Manager para crear la directiva base inicial y, a continuación, personalizarla para satisfacer las necesidades de Lamna.

Alice sigue estos pasos para completar esta tarea:

Nota

Si no usa Configuration Manager o prefiere usar otro ejemplo Windows Defender directiva base de Application Control para su propia directiva, vaya al paso 2 y sustituya la ruta de acceso de la directiva de Configuration Manager por la directiva base de ejemplo que prefiera.

  1. Use Configuration Manager para crear e implementar una directiva de auditoría en un dispositivo cliente que ejecute Windows 10 versión 1903 o posterior, o Windows 11.

  2. En el dispositivo cliente, ejecute los siguientes comandos en una sesión de Windows PowerShell con privilegios elevados para inicializar variables:

    $PolicyPath=$env:userprofile+"\Desktop\"
$PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$PolicyPath+$PolicyName+".xml"
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"

  3. Copie la directiva creada por Configuration Manager en el escritorio:

    cp $ConfigMgrPolicy $LamnaPolicy

  4. Asigne a la nueva directiva un identificador único, un nombre descriptivo y un número de versión inicial:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"

  5. Modifique la directiva copiada para establecer reglas de directiva:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security

  6. Si procede, agregue más reglas de firmante o archivo para personalizar aún más la directiva de su organización.

  7. Use ConvertFrom-CIPolicy para convertir la directiva de control de aplicaciones Windows Defender a un formato binario:

     [xml]$PolicyXML = Get-Content $LamnaPolicy
 $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
 ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin

  8. Cargue el XML de la directiva base y el binario asociado en una solución de control de código fuente como GitHub o una solución de administración de documentos como Office 365 SharePoint.

En este momento, Alice ahora tiene una directiva inicial que está lista para implementarse en modo de auditoría en los clientes administrados de Lamna.

Consideraciones de seguridad de esta directiva totalmente administrada

Alice ha definido una directiva para los dispositivos totalmente administrados de Lamna que hace algunos equilibrios entre la seguridad y la capacidad de administración de las aplicaciones. Algunos de los inconvenientes incluyen:

  • Usuarios con acceso administrativo
    Aunque se aplica a menos usuarios, Lamna todavía permite que algún personal de TI inicie sesión en sus dispositivos totalmente administrados como administrador. Este privilegio permite a estos usuarios (o malware que se ejecuta con los privilegios del usuario) modificar o quitar por completo la directiva WDAC aplicada en el dispositivo. Además, los administradores pueden configurar cualquier aplicación que quieran que funcione como instalador administrado que les permita obtener autorización de aplicación persistente para las aplicaciones o archivos binarios que deseen.

    Posibles mitigaciones:

    • Use directivas WDAC firmadas y protección de acceso al BIOS UEFI para evitar la manipulación de directivas WDAC.
    • Cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación para quitar el requisito del instalador administrado.
    • Use la atestación de dispositivos para detectar el estado de configuración de WDAC en el momento del arranque y usar esa información para condicionar el acceso a recursos corporativos confidenciales.

  • Directivas sin firmar
    Las directivas sin firmar se pueden reemplazar o quitar sin consecuencias por cualquier proceso que se ejecute como administrador. Las directivas base no firmadas que también habilitan directivas complementarias pueden tener su "círculo de confianza" modificado por cualquier directiva complementaria sin firmar.

    Mitigaciones existentes aplicadas:

    • Limite quién puede elevar a administrador en el dispositivo.

    Posibles mitigaciones:

    • Use directivas WDAC firmadas y protección de acceso al BIOS UEFI para evitar la manipulación de directivas WDAC.

  • Instalador administrado
    Consulte consideraciones de seguridad con el instalador administrado.

    Mitigaciones existentes aplicadas:

    • Limite quién puede elevar a administrador en el dispositivo.

    Posibles mitigaciones:

    • Cree e implemente archivos de catálogo firmados como parte del proceso de implementación de la aplicación para quitar el requisito del instalador administrado.

  • Directivas complementarias
    Las directivas complementarias están diseñadas para relajar la directiva base asociada. Además, permitir directivas sin firmar permite que cualquier proceso de administrador expanda el "círculo de confianza" definido por la directiva base sin restricciones.

    Posibles mitigaciones:

    • Use directivas WDAC firmadas que solo permitan directivas complementarias firmadas autorizadas.
    • Use una directiva de modo de auditoría restrictiva para auditar el uso de la aplicación y aumentar la detección de vulnerabilidades.

Siguiente