Usare gli eventi di controllo per creare regole dei criteri WDAC

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo applicazioni.

L'esecuzione di Controllo applicazioni in modalità di controllo consente di individuare applicazioni, file binari e script mancanti nei criteri WDAC, ma che devono essere inclusi.

Mentre un criterio WDAC è in esecuzione in modalità di controllo, qualsiasi file binario eseguito ma che sarebbe stato negato viene registrato nel registro eventi Applicazioni e servizi\Microsoft\Windows\CodeIntegrity\Operational . Gli script e l'identità del servizio gestito vengono registrati nel registro eventi Registri applicazioni e servizi\Microsoft\Windows\AppLocker\MSI e Script . Questi eventi possono essere usati per generare un nuovo criterio WDAC che può essere unito al criterio base originale o distribuito come criterio supplementare separato, se consentito.

Panoramica del processo di creazione di criteri WDAC per consentire alle app di usare eventi di controllo

Nota

Per usare questo processo, è necessario aver già distribuito un criterio della modalità di controllo WDAC. Se non è già stato fatto, vedere Distribuzione di Windows Defender criteri di controllo delle applicazioni.

Per acquisire familiarità con la creazione di regole WDAC dagli eventi di controllo, seguire questa procedura in un dispositivo con un criterio della modalità di controllo WDAC.

1. Installare ed eseguire un'applicazione non consentita dai criteri WDAC, ma che si vuole consentire.

2. Esaminare i log eventi CodeIntegrity - Operational e AppLocker - MSI e Script per verificare che gli eventi, come quelli illustrati nella figura 1, siano generati correlati all'applicazione. Per informazioni sui tipi di eventi che dovrebbero essere visualizzati, vedere Informazioni sugli eventi di controllo delle applicazioni.

   Figura 1. Eccezioni al criterio WDAC distribuito

3. In una sessione di PowerShell con privilegi elevati eseguire i comandi seguenti per inizializzare le variabili usate da questa procedura. Questa procedura si basa sui criteri diLamna_FullyManagedClients_Audit.xml introdotti in Creare criteri WDAC per dispositivi completamente gestiti e produrrà un nuovo criterio denominato EventsPolicy.xml.

   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$env:userprofile+"\Desktop\"+$PolicyName+".xml"
   $EventsPolicy=$env:userprofile+"\Desktop\EventsPolicy.xml"
   $EventsPolicyWarnings=$env:userprofile+"\Desktop\EventsPolicyWarnings.txt"
   

4. Usa New-CIPolicy per generare un nuovo criterio WDAC dagli eventi di controllo registrati. Questo esempio usa un livello di regola file FilePublisher e un livello di fallback hash . I messaggi di avviso vengono reindirizzati a un file di testo EventsPolicyWarnings.txt.

   New-CIPolicy -FilePath $EventsPolicy -Audit -Level FilePublisher -Fallback SignedVersion,FilePublisher,Hash -UserPEs -MultiplePolicyFormat 3> $EventsPolicyWarnings
   

   Nota

   Per creare criteri dagli eventi di controllo, valutare attentamente il livello delle regole dei file che si sceglie di considerare attendibile. Nell'esempio precedente viene usato il livello di regola FilePublisher con un livello di fallback hash, che può essere più specifico del desiderato. È possibile eseguire nuovamente il comando precedente usando diverse opzioni -Level e -Fallback per soddisfare le proprie esigenze. Per altre informazioni sui livelli di regole WDAC, vedere Informazioni sulle regole dei criteri WDAC e sulle regole dei file.

5. Trovare ed esaminare il file dei criteri WDAC EventsPolicy.xml da trovare sul desktop. Assicurarsi che includa solo regole di file e firmatari per applicazioni, file binari e script che si desidera consentire. È possibile rimuovere le regole modificando manualmente il codice XML dei criteri oppure usare lo strumento WDAC Policy Wizard (vedere Modifica di criteri WDAC di base esistenti e supplementari con la procedura guidata).

6. Trovare ed esaminare il file di testoEventsPolicyWarnings.txt da trovare sul desktop. Questo file includerà un avviso per tutti i file per cui WDAC non è riuscito a creare una regola a livello di regola o di fallback specificato.

   Nota

   New-CIPolicy crea solo regole per i file che possono ancora essere trovati su disco. I file che non sono più presenti nel sistema non avranno una regola creata per consentirli. Tuttavia, il registro eventi deve disporre di informazioni sufficienti per consentire questi file modificando manualmente il codice XML dei criteri per aggiungere regole. È possibile usare una regola esistente come modello e verificare i risultati rispetto alla definizione dello schema dei criteri WDAC disponibile in %windir%\schemas\CodeIntegrity\cipolicy.xsd.

7. Unire EventsPolicy.xml con i criteri di base Lamna_FullyManagedClients_Audit.xml o convertirlo in un criterio supplementare.

   Per informazioni sull'unione di criteri, vedere Merge Windows Defender Application Control policies e per informazioni sui criteri supplementari vedere Use multiple Windows Defender Application Control Policies.For information on merge policies, refer to Merge Windows Defender Application Control policies and for information on supplemental policies see Use multiple Windows Defender Application Control Policies.

8. Convertire i criteri di base o supplementari in file binari e distribuirli usando il metodo preferito.