Combinar directivas de control de aplicaciones (WDAC) de Windows Defender
Nota
Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.
En este artículo se muestra cómo combinar varios archivos XML de directiva y cómo combinar reglas directamente en una directiva. Windows Defender implementaciones de Application Control suelen incluir algunas directivas base y directivas complementarias opcionales para casos de uso específicos.
Nota
Antes de la versión 1903 de Windows, incluido Windows Server 2019 y versiones anteriores, solo una directiva de control de aplicaciones Windows Defender puede estar activa en un sistema a la vez. Si necesita usar WDAC en sistemas que ejecutan estas versiones anteriores de Windows, debe combinar todas las directivas antes de la implementación.
Combinación de varios archivos XML de directiva WDAC
Hay muchos escenarios en los que es posible que desee combinar dos o más archivos de directiva. Por ejemplo, si usa eventos de auditoría para crear Windows Defender reglas de directiva de Control de aplicaciones, puede combinar esas reglas con la directiva base WDAC existente. Para combinar las dos directivas WDAC a las que se hace referencia en ese artículo, complete los pasos siguientes en una sesión de Windows PowerShell con privilegios elevados.
Inicializa las variables que se usarán:
$PolicyName= "Lamna_FullyManagedClients_Audit" $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml" $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml" $MergedPolicy=$env:userprofile+"\Desktop\"+$PolicyName+"_Merged.xml"Use Merge-CIPolicy para combinar dos directivas y crear una nueva Windows Defender directiva de Control de aplicaciones:
Merge-CIPolicy -PolicyPaths $LamnaPolicy,$EventsPolicy -OutputFilePath $MergedPolicyNota
Puede combinar directivas adicionales con el paso Merge-CIPolicy anterior agregándolas al parámetro -PolicyPaths separado por comas. El nuevo archivo de directiva especificado por -OutputFilePath tendrá la información de directiva de la primera directiva de la lista. Por ejemplo, en el ejemplo anterior, el $MergedPolicy heredará el tipo de directiva, el identificador, el nombre y la información de versión de $LamnaPolicy. Para cambiar cualquiera de esos valores, use Set-CIPolicyIdInfo y Set-CIPolicyVersion.
Combinar reglas WDAC directamente en un XML de directiva
Además de combinar varios archivos XML de directiva, también puede combinar reglas creadas con el cmdlet New-CIPolicyRule directamente en un archivo XML de directiva WDAC existente. La combinación directa de reglas es una manera cómoda de actualizar la directiva sin crear archivos XML de directiva adicionales. Por ejemplo, para agregar reglas que permitan el Asistente para WDAC y la herramienta wdac RefreshPolicy.exe, siga estos pasos:
Instale la aplicación MSIX empaquetada del Asistente para WDAC .
Descargue la herramienta Actualizar directiva para la arquitectura del procesador y guárdela en el escritorio como RefreshPolicy.exe.
Desde una sesión de PowerShell, ejecute los siguientes comandos para crear reglas de permitir aplicaciones empaquetadas para el Asistente para WDAC:
$PackageInfo = Get-AppxPackage -Name Microsoft.WDAC.WDACWizard $Rules = New-CIPolicyRule -Package $PackageInfoAgregue reglas de FilePublisher para el RefreshPolicy.exe:
$Rules += New-CIPolicyRule -DriverFilePath $env:USERPROFILE\Desktop\RefreshPolicy.exe -Level FilePublisherUse Merge-CIPolicy para combinar las nuevas reglas directamente en el archivo MergedPolicy creado en el paso final del procedimiento anterior:
Merge-CIPolicy -PolicyPaths $MergedPolicy -OutputFilePath $MergedPolicy -Rules $Rules
Conversión e implementación de directivas combinadas en puntos de conexión administrados
Ahora que tiene la nueva directiva combinada, puede convertir e implementar el binario de directiva en los puntos de conexión administrados.
Usa ConvertFrom-CIPolicy para convertir la directiva WDAC a un formato binario:
$WDACPolicyBin=$env:userprofile+"\Desktop\"+$PolicyName+"_{InsertPolicyID}.bin" ConvertFrom-CIPolicy -XMLFilePath $MergedPolicy -BinaryFilePath $WDACPolicyBinNota
En los comandos de ejemplo anteriores, para las directivas destinadas a Windows 10 versión 1903+ o Windows 11, reemplace la cadena "{InsertPolicyID}" por el GUID de PolicyID real (incluidas las llaves { }) que se encuentra en el archivo XML de directiva. Para Windows 10 versiones anteriores a 1903, use el nombre SiPolicy.p7b para el nombre de archivo binario.
Cargue el XML de la directiva combinada y el binario asociado en la solución de control de código fuente que usa para las directivas de control de aplicaciones de Windows Defender. como GitHub o una solución de administración de documentos como Office 365 SharePoint.
Implemente la directiva combinada con la solución de implementación que prefiera. Consulte Implementación de directivas de control de aplicaciones Windows Defender (WDAC)
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de