Creare criteri WDAC per i dispositivi a gestione completa

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Questa sezione descrive il processo per creare un criterio di controllo delle applicazioni (WDAC) Windows Defender per i dispositivi completamente gestiti all'interno di un'organizzazione. La differenza principale tra questo scenario e i dispositivi gestiti con leggerezza è che tutto il software distribuito in un dispositivo completamente gestito è gestito dall'IT e gli utenti del dispositivo non possono installare app arbitrarie. Idealmente, tutte le app vengono distribuite usando una soluzione di distribuzione software, ad esempio Microsoft Intune. Inoltre, gli utenti su dispositivi completamente gestiti dovrebbero essere eseguiti come utente standard e solo i professionisti IT autorizzati hanno accesso amministrativo.

Nota

Alcune delle opzioni di controllo delle applicazioni Windows Defender descritte in questo argomento sono disponibili solo in Windows 10 versione 1903 o successiva o Windows 11. Quando si usa questo argomento per pianificare i criteri WDAC dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità e valutare l'impatto per eventuali funzionalità che potrebbero non essere disponibili sui client. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.

Come descritto negli scenari di distribuzione comuni Windows Defender controllo delle applicazioni, verrà usato l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso del controllo delle applicazioni per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.

Alice Pena è il responsabile IT incaricato dell'implementazione di WDAC.

Alice ha creato in precedenza un criterio per i dispositivi gestiti con leggerezza dell'organizzazione. Alcuni dispositivi, tuttavia, sono gestiti in modo più rigoroso e possono trarre vantaggio da criteri più vincolati. In particolare, a determinate funzioni di lavoro, ad esempio il personale amministrativo e i ruoli di lavoro di prima linea, non viene concesso l'accesso a livello di amministratore ai propri dispositivi. Analogamente, i chioschi multimediali condivisi sono configurati solo con un set gestito di app e tutti gli utenti del dispositivo, ad eccezione dell'IT eseguito come utente standard. In questi dispositivi, tutte le app vengono distribuite e installate dall'IT.

Definire il "cerchio di attendibilità" per i dispositivi completamente gestiti

Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i dispositivi completamente gestiti di Lamna:

• Tutti i client eseguono Windows 10 versione 1903 o successiva o Windows 11;
• Tutti i client sono gestiti da Configuration Manager o con Intune;
• La maggior parte, ma non tutte, le app vengono distribuite usando Configuration Manager;
• A volte, il personale IT installa le app direttamente su questi dispositivi senza usare Configuration Manager;
• Tutti gli utenti tranne l'IT sono utenti standard in questi dispositivi.

Il team di Alice sviluppa una semplice applicazione console, denominata LamnaITInstaller.exe, che diventerà il modo autorizzato per il personale IT di installare le app direttamente nei dispositivi. LamnaITInstaller.exe consente al professionista IT di avviare un altro processo, ad esempio un programma di installazione dell'app. Alice configurerà LamnaITInstaller.exe come programma di installazione gestito aggiuntivo per WDAC e le consentirà di rimuovere la necessità di regole di percorso file.

In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:

1. Regole "Windows funziona" che autorizzano:

   • Windows
   • WHQL (driver del kernel di terze parti)
   • App firmate di Windows Store

2. Regole "ConfigMgr funziona" che includono regole di firma e hash per Configuration Manager il corretto funzionamento dei componenti.

3. Consenti programma di installazione gestito (Configuration Manager e LamnaITInstaller.exe configurati come programma di installazione gestito)

Le differenze critiche tra questo set di pseudo-regole e quelle pseudo-regole definite per i dispositivi gestiti con leggerezza di Lamna sono:

• Rimozione dell'opzione Intelligent Security Graph (ISG); E
• Rimozione delle regole filepath.

Creare un criterio di base personalizzato usando un criterio di base WDAC di esempio

Dopo aver definito il "cerchio di attendibilità", Alice è pronta a generare i criteri iniziali per i dispositivi completamente gestiti di Lamna e decide di usare Configuration Manager per creare il criterio di base iniziale e quindi personalizzarlo per soddisfare le esigenze di Lamna.

Alice segue questi passaggi per completare questa attività:

Nota

Se non si usa Configuration Manager o si preferisce usare un altro esempio Windows Defender criteri di base di Controllo applicazione per i propri criteri, andare al passaggio 2 e sostituire il percorso dei criteri di Configuration Manager con il criterio di base di esempio preferito.

1. Usare Configuration Manager per creare e distribuire criteri di controllo in un dispositivo client che esegue Windows 10 versione 1903 o successiva o Windows 11.

2. Nel dispositivo client eseguire i comandi seguenti in una sessione di Windows PowerShell con privilegi elevati per inizializzare le variabili:

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$PolicyPath+$PolicyName+".xml"
   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   

3. Copiare i criteri creati da Configuration Manager sul desktop:

   cp $ConfigMgrPolicy $LamnaPolicy
   

4. Assegnare al nuovo criterio un ID univoco, un nome descrittivo e un numero di versione iniziale:

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. Modificare i criteri copiati per impostare le regole dei criteri:

   Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

6. Se appropriato, aggiungere altre regole di firma o file per personalizzare ulteriormente i criteri per l'organizzazione.

7. Usare ConvertFrom-CIPolicy per convertire i criteri di controllo delle applicazioni Windows Defender in un formato binario:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
    $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
    ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

8. Caricare il codice XML dei criteri di base e il file binario associato in una soluzione di controllo del codice sorgente, ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.

A questo punto, Alice ha ora un criterio iniziale pronto per la distribuzione in modalità di controllo ai client gestiti all'interno di Lamna.

Considerazioni sulla sicurezza di questo criterio completamente gestito

Alice ha definito un criterio per i dispositivi completamente gestiti di Lamna che rende alcuni compromessi tra sicurezza e gestibilità per le app. Alcuni compromessi includono:

• Utenti con accesso amministrativo
  Anche se si applica a un numero inferiore di utenti, Lamna consente comunque ad alcuni membri del personale IT di accedere ai dispositivi completamente gestiti come amministratore. Questo privilegio consente a questi utenti (o malware in esecuzione con i privilegi dell'utente) di modificare o rimuovere completamente i criteri WDAC applicati nel dispositivo. Inoltre, gli amministratori possono configurare qualsiasi app che desiderano operare come programma di installazione gestito che consenta loro di ottenere l'autorizzazione permanente per le app o i file binari che desiderano.

  Possibili mitigazioni:

  • Usare i criteri WDAC firmati e la protezione dell'accesso del BIOS UEFI per impedire la manomissione dei criteri WDAC.
  • Creare e distribuire file di catalogo firmati come parte del processo di distribuzione dell'app per rimuovere il requisito per il programma di installazione gestito.
  • Usare l'attestazione del dispositivo per rilevare lo stato di configurazione di WDAC in fase di avvio e usare tali informazioni per condizionare l'accesso alle risorse aziendali sensibili.

• Criteri non firmati
  I criteri non firmati possono essere sostituiti o rimossi senza conseguenze da qualsiasi processo in esecuzione come amministratore. I criteri di base non firmati che abilitano anche i criteri supplementari possono avere il loro "cerchio di attendibilità" modificato da qualsiasi criterio supplementare non firmato.

  Mitigazioni esistenti applicate:

  • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.

  Possibili mitigazioni:

  • Usare i criteri WDAC firmati e la protezione dell'accesso del BIOS UEFI per impedire la manomissione dei criteri WDAC.

• Programma di installazione gestito
  Vedere considerazioni sulla sicurezza con il programma di installazione gestito

  Mitigazioni esistenti applicate:

  • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.

  Possibili mitigazioni:

  • Creare e distribuire file di catalogo firmati come parte del processo di distribuzione dell'app per rimuovere il requisito per il programma di installazione gestito.

• Criteri supplementari
  I criteri supplementari sono progettati per ridurre i criteri di base associati. Inoltre, consentire criteri non firmati consente a qualsiasi processo di amministratore di espandere il "cerchio di attendibilità" definito dai criteri di base senza restrizioni.

  Possibili mitigazioni:

  • Usare criteri WDAC firmati che consentono solo criteri supplementari firmati autorizzati.
  • Usare criteri restrittivi in modalità di controllo per controllare l'utilizzo delle app e aumentare il rilevamento delle vulnerabilità.

Il prossimo

• Creare un Windows Defender criteri di controllo delle applicazioni per i dispositivi con carico di lavoro fisso usando un computer di riferimento
• Preparare la distribuzione Windows Defender criteri di controllo delle applicazioni