Uso de eventos de auditoría para crear reglas de directiva WDAC

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de Application Control.

La ejecución de Application Control en modo de auditoría le permite detectar aplicaciones, archivos binarios y scripts que faltan en la directiva WDAC, pero que deben incluirse.

Mientras se ejecuta una directiva WDAC en modo de auditoría, cualquier archivo binario que se ejecute pero que se hubiera denegado se registra en el registro de eventos Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational . Script y MSI se registran en los registros de aplicaciones y servicios\Microsoft\Windows\AppLocker\MSI y el registro de eventos script. Estos eventos se pueden usar para generar una nueva directiva WDAC que se puede combinar con la directiva base original o implementarse como una directiva complementaria independiente, si se permite.

Información general sobre el proceso para crear una directiva WDAC para permitir que las aplicaciones usen eventos de auditoría

Nota

Debe haber implementado ya una directiva de modo de auditoría WDAC para usar este proceso. Si aún no lo ha hecho, consulte Implementación de Windows Defender directivas de Control de aplicaciones.

Para familiarizarse con la creación de reglas WDAC a partir de eventos de auditoría, siga estos pasos en un dispositivo con una directiva de modo de auditoría WDAC.

1. Instale y ejecute una aplicación no permitida por la directiva WDAC, pero que quiera permitir.

2. Revise los registros de eventos CodeIntegrity - Operational y AppLocker- MSI y Script para confirmar que los eventos, como los que se muestran en la figura 1, se generan relacionados con la aplicación. Para obtener información sobre los tipos de eventos que debe ver, consulte Descripción de los eventos de Application Control.

   Figura 1. Excepciones a la directiva WDAC implementada

3. En una sesión de PowerShell con privilegios elevados, ejecute los siguientes comandos para inicializar las variables usadas por este procedimiento. Este procedimiento se basa en la directiva deLamna_FullyManagedClients_Audit.xml introducida en Creación de una directiva WDAC para dispositivos totalmente administrados y generará una nueva directiva denominada EventsPolicy.xml.

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
   

4. Usa New-CIPolicy para generar una nueva directiva WDAC a partir de eventos de auditoría registrados. En este ejemplo se usa un nivel de regla de archivo FilePublisher y un nivel de reserva hash . Los mensajes de advertencia se redirigen a un archivo de textoEventsPolicyWarnings.txt.

   New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
   

   Nota

   Al crear directivas a partir de eventos de auditoría, debes valorar detenidamente el nivel de regla de archivo en el que quieras confiar. En el ejemplo anterior se usa el nivel de regla FilePublisher con un nivel de reserva de Hash, que puede ser más específico de lo deseado. Puede volver a ejecutar el comando anterior mediante diferentes opciones -Level y -Fallback para satisfacer sus necesidades. Para obtener más información sobre los niveles de regla WDAC, consulte Descripción de las reglas de directivas WDAC y las reglas de archivo.

5. Busque y revise el archivo de directiva WDAC EventsPolicy.xml que debe encontrarse en el escritorio. Asegúrese de que solo incluye reglas de archivo y firmante para aplicaciones, archivos binarios y scripts que desea permitir. Para quitar reglas, edite manualmente el XML de directiva o use la herramienta Asistente para directivas WDAC (consulte Edición de directivas WDAC base existentes y complementarias con el Asistente).

6. Busque y revise el archivo de texto EventsPolicyWarnings.txt que debe encontrarse en el escritorio. Este archivo incluirá una advertencia para los archivos para los que WDAC no pudo crear una regla en el nivel de regla especificado o en el nivel de regla de reserva.

   Nota

   New-CIPolicy solo crea reglas para los archivos que todavía se pueden encontrar en el disco. Los archivos que ya no están presentes en el sistema no tendrán una regla creada para permitirlos. Sin embargo, el registro de eventos debe tener información suficiente para permitir estos archivos mediante la edición manual del XML de directiva para agregar reglas. Puede usar una regla existente como plantilla y comprobar los resultados con la definición del esquema de directiva WDAC que se encuentra en %windir%\schemas\CodeIntegrity\cipolicy.xsd.

7. Combine EventsPolicy.xml con la directiva baseLamna_FullyManagedClients_Audit.xml o conviértalo en una directiva complementaria.

   Para obtener información sobre la combinación de directivas, consulte Combinar Windows Defender directivas de Control de aplicaciones y para obtener información sobre las directivas complementarias, consulte Uso de varias directivas de control de aplicaciones Windows Defender.

8. Convierta la directiva base o complementaria en binario e implemente con el método que prefiera.