Windows Defender directivas base de ejemplo de Application Control
Nota
Algunas funcionalidades de Windows Defender Application Control solo están disponibles en versiones específicas de Windows. Para obtener más información, consulte Windows Defender disponibilidad de características de Application Control.
Al crear directivas para usarlas con Windows Defender Control de aplicaciones (WDAC), comience desde una directiva base existente y, a continuación, agregue o quite reglas para crear su propia directiva personalizada. Windows incluye varias directivas de ejemplo que puede usar. Estas directivas de ejemplo se proporcionan "tal cual". Debe probar exhaustivamente las directivas que implementa mediante métodos de implementación seguros.
| Ejemplo de directiva base | Descripción | Dónde se puede encontrar |
|---|---|---|
| DefaultWindows_*.xml | Esta directiva de ejemplo está disponible tanto en modo de auditoría como de aplicación. Incluye reglas para permitir windows, controladores de kernel de hardware y software de terceros y aplicaciones de la Tienda Windows. Se usa como base para las directivas de familia de productos Microsoft Intune. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_*.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\DefaultWindows_Audit.xml |
| AllowMicrosoft.xml | Esta directiva de ejemplo incluye las reglas de DefaultWindows y agrega reglas a las aplicaciones de confianza firmadas por el certificado raíz del producto de Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowMicrosoft.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\AllowMicrosoft.xml |
| AllowAll.xml | Esta directiva de ejemplo es útil al crear una lista de bloqueos. Todas las directivas de bloque deben incluir reglas que permitan ejecutar el resto del código y, a continuación, agregar las reglas DENY para las necesidades de la organización. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml |
| AllowAll_EnableHVCI.xml | Esta directiva de ejemplo se puede usar para habilitar la integridad de memoria (también conocida como integridad de código protegida por hipervisor) mediante WDAC. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\AllowAll_EnableHVCI.xml |
| DenyAllAudit.xml | Advertencia: provocará problemas de arranque en Windows Server 2019 y versiones anteriores. No usar en esos sistemas operativos. Implemente solo esta directiva de ejemplo en modo de auditoría para realizar un seguimiento de todos los archivos binarios que se ejecutan en sistemas críticos o para cumplir los requisitos normativos. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DenyAllAudit.xml |
| Microsoft Configuration Manager | Los clientes que usan Configuration Manager pueden implementar una directiva con la integración wdac integrada de Configuration Manager y, a continuación, usar el XML de directiva generado como una directiva base de ejemplo. | %OSDrive%\Windows\CCM\DeviceGuard en un punto de conexión administrado |
| SmartAppControl.xml | Esta directiva de ejemplo incluye reglas basadas en Smart App Control que son adecuadas para sistemas ligeramente administrados. Esta directiva incluye una regla que no es compatible con las directivas WDAC empresariales y que se debe quitar. Para obtener más información sobre el uso de esta directiva de ejemplo, consulte Creación de una directiva base personalizada mediante una directiva base de ejemplo. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\SignedReputable.xml |
| Ejemplo de directiva complementaria | En esta directiva de ejemplo se muestra cómo usar la directiva complementaria para expandir el DefaultWindows_Audit.xml permitir un único archivo firmado por Microsoft. | %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Supplemental.xml |
| Lista de bloques recomendada por Microsoft | Esta directiva incluye una lista de código firmado por Windows y Microsoft que Microsoft recomienda bloquear al usar WDAC, si es posible. | Reglas de bloqueo recomendadas por Microsoft %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_UserMode_Blocklist.xml |
| Lista de bloqueos de controladores recomendados por Microsoft | Esta directiva incluye reglas para bloquear controladores de kernel vulnerables o malintencionados conocidos. | Reglas de bloqueo de controladores recomendadas por Microsoft %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies\RecommendedDriverBlock_Enforced.xml %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\Recommended_Driver_Blocklist.xml |
| Modo S de Windows | Esta directiva incluye las reglas que se usan para aplicar el modo S de Windows. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSiPolicy.xml.xml |
| Windows 11 SE | Esta directiva incluye las reglas que se usan para aplicar Windows 11 SE, una versión de Windows creada para su uso en escuelas. | %ProgramFiles%\WindowsApps\Microsoft.WDAC.WDACWizard*\WinSEPolicy.xml.xml |
Nota
No todas las directivas que se muestran disponibles en %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies se pueden encontrar en todas las versiones de Windows.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de