Share via

Applicare criteri WDAC (Application Control) Windows Defender

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

È ora necessario disporre di uno o più criteri di controllo delle applicazioni Windows Defender distribuiti su larga scala in modalità di controllo. Sono stati analizzati gli eventi raccolti dai dispositivi con tali criteri e si è pronti per l'applicazione. Usare questa procedura per preparare e distribuire i criteri WDAC in modalità di imposizione.

Nota

Alcuni dei passaggi descritti in questo articolo si applicano solo a Windows 10 versione 1903 e successive o Windows 11. Quando si usa questo argomento per pianificare i criteri WDAC dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità. Valutare l'impatto per tutte le funzionalità che potrebbero non essere disponibili nei client che eseguono versioni precedenti di Windows 10 e Windows Server. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.

Convertire i criteri di base WDAC dal controllo all'applicazione

Come descritto negli scenari di distribuzione comuni Windows Defender controllo delle applicazioni, verrà usato l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso del controllo delle applicazioni per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.

Alice Pena è responsabile del team IT responsabile dell'implementazione di WDAC di Lamna.

Alice ha creato e distribuito in precedenza un criterio per i dispositivi completamente gestiti dell'organizzazione. Il criterio è stato aggiornato in base ai dati degli eventi di controllo come descritto in Usare gli eventi di controllo per creare regole dei criteri WDAC e ridistribuirlo. Tutti gli eventi di controllo rimanenti sono come previsto e Alice è pronta per passare alla modalità di imposizione.

  1. Inizializzare le variabili che verranno usate e creare i criteri applicati copiando la versione di controllo.

    $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
$AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
$EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
cp $AuditPolicyXML $EnforcedPolicyXML

  2. Usare Set-CIPolicyIdInfo per assegnare al nuovo criterio un ID univoco e un nome descrittivo. La modifica dell'ID e del nome consente di distribuire i criteri applicati affiancati ai criteri di controllo. Eseguire questo passaggio se si prevede di rafforzare i criteri WDAC nel tempo. Se si preferisce sostituire i criteri di controllo sul posto, è possibile ignorare questo passaggio.

    $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
$EnforcedPolicyID = $EnforcedPolicyID.Substring(11)

  3. [Facoltativamente] Usare Set-RuleOption per abilitare le opzioni della regola 9 ("Menu Opzioni di avvio avanzate") e 10 ("Controllo di avvio in caso di errore"). L'opzione 9 consente agli utenti di disabilitare l'imposizione di WDAC per una singola sessione di avvio da un menu di avvio preliminare. L'opzione 10 indica a Windows di passare dall'imposizione dei criteri al controllo solo se un driver in modalità kernel critico di avvio è bloccato. È consigliabile usare queste opzioni quando si distribuiscono nuovi criteri applicati al primo anello di distribuzione. Quindi, se non vengono rilevati problemi, è possibile rimuovere le opzioni e riavviare la distribuzione.

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10

  4. Usare Set-RuleOption per eliminare l'opzione della regola in modalità di controllo, che modifica i criteri in imposizione:

    Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete

  5. Usare ConvertFrom-CIPolicy per convertire i nuovi criteri WDAC in file binari:

    Nota

    Se non è stato usato -ResetPolicyID nel passaggio 2 precedente, è necessario sostituire $EnforcedPolicyID nel comando seguente con l'attributo PolicyID trovato nel codice XML dei criteri di base.

    $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary

Creare copie di tutti i criteri supplementari necessari da usare con i criteri di base applicati

Poiché ai criteri applicati è stato assegnato un PolicyID univoco nella procedura precedente, è necessario duplicare i criteri supplementari necessari da usare con i criteri applicati. I criteri supplementari ereditano sempre la modalità di controllo o imposizione dai criteri di base modificati. Se non è stato reimpostato l'ID criteri del criterio di base di imposizione, è possibile ignorare questa procedura.

  1. Inizializzare le variabili che verranno usate e creare una copia dei criteri supplementari correnti. Verranno inoltre usati alcuni file e variabili della procedura precedente.

    $SupplementalPolicyName = "Lamna_Supplemental1"
$CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
$EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"

  2. Usare Set-CIPolicyIdInfo per assegnare al nuovo criterio supplementare un ID univoco e un nome descrittivo e modificare i criteri di base da integrare.

    $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
$SupplementalPolicyID = $SupplementalPolicyID.Substring(11)

    Nota

    Se Set-CIPolicyIdInfo non restituisce il nuovo valore PolicyID nella versione Windows 10, sarà necessario ottenere direttamente il valore PolicyId dal codice XML.

  3. Usare ConvertFrom-CIPolicy per convertire i nuovi criteri supplementari Windows Defender Controllo applicazione in file binari:

    $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary

  4. Ripetere i passaggi precedenti se sono disponibili altri criteri supplementari da aggiornare.

Distribuire i criteri applicati e i criteri supplementari

Ora che i criteri di base sono in modalità applicata, è possibile iniziare a distribuirli negli endpoint gestiti. Per informazioni sulla distribuzione dei criteri, vedere Distribuzione di criteri WDAC (Deploying Windows Defender Application Control).