Implementación de directivas WDAC mediante Microsoft Configuration Manager

• Se aplica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características de Application Control.

Puede usar Microsoft Configuration Manager para configurar Windows Defender Control de aplicaciones (WDAC) en máquinas cliente.

Uso de las directivas integradas de Configuration Manager

Configuration Manager incluye compatibilidad nativa con WDAC, que permite configurar Windows 10 y Windows 11 equipos cliente con una directiva que solo permitirá:

• Componentes de Windows
• Aplicaciones de Microsoft Store
• Aplicaciones instaladas por Configuration Manager (Configuration Manager autoconfiguradas como instalador administrado)
• (Opcional) Aplicaciones de confianza definidas por Intelligent Security Graph (ISG)
• (Opcional) Las aplicaciones y los ejecutables ya instalados en ubicaciones de carpetas definibles por el administrador que Configuration Manager permitirán a través de un examen único durante la creación de directivas en puntos de conexión administrados.

Configuration Manager no quita directivas una vez implementadas. Para detener la aplicación, debe cambiar la directiva al modo de auditoría, lo que producirá el mismo efecto. Si desea deshabilitar Windows Defender Control de aplicaciones (WDAC) por completo (incluido el modo de auditoría), puede implementar un script para eliminar el archivo de directiva del disco y desencadenar un reinicio o esperar al siguiente reinicio.

Creación de una directiva WDAC en Configuration Manager

1. Seleccione Asset and Compliance>Endpoint Protection>Windows Defender Application Control>Create Application Control Policy (Crear directiva de control de aplicaciones)

   

2. Escriba el nombre de la directiva >Siguiente

3. Habilitar Exigir un reinicio de dispositivos para que se pueda aplicar esta directiva para todos los procesos

4. Seleccione el modo en el que desea que se ejecute la directiva (Aplicación habilitada o Solo auditoría)

5. Seleccione Siguiente.

   

6. Seleccione Agregar para empezar a crear reglas para software de confianza.

   

7. Seleccione Archivo o carpeta para crear una regla > de ruta de acceso Examinar

   

8. Seleccione el archivo ejecutable o la carpeta para la regla > de ruta de acceso Aceptar.

   

9. Seleccione Aceptar para agregar la regla a la tabla de archivos o carpetas de confianza.

10. Seleccione Siguiente para ir a la página > de resumen Cerrar.

    

Implementación de la directiva WDAC en Configuration Manager

1. Haga clic con el botón derecho en la directiva > recién creada Implementar directiva de control de aplicaciones

   

2. Seleccione Examinar.

   

3. Seleccione la colección de dispositivos que creó anteriormente >Aceptar.

   

4. Cambiar la programación >aceptar

   

Para obtener más información sobre el uso de las directivas WDAC nativas de Configuration Manager, consulte Windows Defender administración de Application Control con Configuration Manager.

Descargue todo el WDAC en Configuration Manager documento de laboratorio.

Implementación de directivas WDAC personalizadas mediante paquetes o programas o secuencias de tareas

El uso de las directivas integradas de Configuration Manager puede ser un punto de partida útil, pero los clientes pueden encontrar las opciones de círculo de confianza disponibles en Configuration Manager demasiado limitador. Para definir su propio círculo de confianza, puede usar Configuration Manager para implementar directivas WDAC personalizadas mediante la implementación basada en scripts a través de paquetes y programas de distribución de software o secuencias de tareas de implementación del sistema operativo.