Applicare criteri WDAC (Application Control) Windows Defender
Nota
Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.
È ora necessario disporre di uno o più criteri di controllo delle applicazioni Windows Defender distribuiti su larga scala in modalità di controllo. Sono stati analizzati gli eventi raccolti dai dispositivi con tali criteri e si è pronti per l'applicazione. Usare questa procedura per preparare e distribuire i criteri WDAC in modalità di imposizione.
Nota
Alcuni dei passaggi descritti in questo articolo si applicano solo a Windows 10 versione 1903 e successive o Windows 11. Quando si usa questo argomento per pianificare i criteri WDAC dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità. Valutare l'impatto per tutte le funzionalità che potrebbero non essere disponibili nei client che eseguono versioni precedenti di Windows 10 e Windows Server. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.
Convertire i criteri di base WDAC dal controllo all'applicazione
Come descritto negli scenari di distribuzione comuni Windows Defender controllo delle applicazioni, verrà usato l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso del controllo delle applicazioni per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.
Alice Pena è responsabile del team IT responsabile dell'implementazione di WDAC di Lamna.
Alice ha creato e distribuito in precedenza un criterio per i dispositivi completamente gestiti dell'organizzazione. Il criterio è stato aggiornato in base ai dati degli eventi di controllo come descritto in Usare gli eventi di controllo per creare regole dei criteri WDAC e ridistribuirlo. Tutti gli eventi di controllo rimanenti sono come previsto e Alice è pronta per passare alla modalità di imposizione.
Inizializzare le variabili che verranno usate e creare i criteri applicati copiando la versione di controllo.
$EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced" $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml" $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml" cp $AuditPolicyXML $EnforcedPolicyXML
Usare Set-CIPolicyIdInfo per assegnare al nuovo criterio un ID univoco e un nome descrittivo. La modifica dell'ID e del nome consente di distribuire i criteri applicati affiancati ai criteri di controllo. Eseguire questo passaggio se si prevede di rafforzare i criteri WDAC nel tempo. Se si preferisce sostituire i criteri di controllo sul posto, è possibile ignorare questo passaggio.
$EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)
[Facoltativamente] Usare Set-RuleOption per abilitare le opzioni della regola 9 ("Menu Opzioni di avvio avanzate") e 10 ("Controllo di avvio in caso di errore"). L'opzione 9 consente agli utenti di disabilitare l'imposizione di WDAC per una singola sessione di avvio da un menu di avvio preliminare. L'opzione 10 indica a Windows di passare dall'imposizione dei criteri al controllo solo se un driver in modalità kernel critico di avvio è bloccato. È consigliabile usare queste opzioni quando si distribuiscono nuovi criteri applicati al primo anello di distribuzione. Quindi, se non vengono rilevati problemi, è possibile rimuovere le opzioni e riavviare la distribuzione.
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9 Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10
Usare Set-RuleOption per eliminare l'opzione della regola in modalità di controllo, che modifica i criteri in imposizione:
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete
Usare ConvertFrom-CIPolicy per convertire i nuovi criteri WDAC in file binari:
Nota
Se non è stato usato -ResetPolicyID nel passaggio 2 precedente, è necessario sostituire $EnforcedPolicyID nel comando seguente con l'attributo PolicyID trovato nel codice XML dei criteri di base.
$EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip" ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
Creare copie di tutti i criteri supplementari necessari da usare con i criteri di base applicati
Poiché ai criteri applicati è stato assegnato un PolicyID univoco nella procedura precedente, è necessario duplicare i criteri supplementari necessari da usare con i criteri applicati. I criteri supplementari ereditano sempre la modalità di controllo o imposizione dai criteri di base modificati. Se non è stato reimpostato l'ID criteri del criterio di base di imposizione, è possibile ignorare questa procedura.
Inizializzare le variabili che verranno usate e creare una copia dei criteri supplementari correnti. Verranno inoltre usati alcuni file e variabili della procedura precedente.
$SupplementalPolicyName = "Lamna_Supplemental1" $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml" $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"
Usare Set-CIPolicyIdInfo per assegnare al nuovo criterio supplementare un ID univoco e un nome descrittivo e modificare i criteri di base da integrare.
$SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)
Nota
Se Set-CIPolicyIdInfo non restituisce il nuovo valore PolicyID nella versione Windows 10, sarà necessario ottenere direttamente il valore PolicyId dal codice XML.
Usare ConvertFrom-CIPolicy per convertire i nuovi criteri supplementari Windows Defender Controllo applicazione in file binari:
$EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml" ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary
Ripetere i passaggi precedenti se sono disponibili altri criteri supplementari da aggiornare.
Distribuire i criteri applicati e i criteri supplementari
Ora che i criteri di base sono in modalità applicata, è possibile iniziare a distribuirli negli endpoint gestiti. Per informazioni sulla distribuzione dei criteri, vedere Distribuzione di criteri WDAC (Deploying Windows Defender Application Control).
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per