Share via

Creare criteri WDAC per i dispositivi a gestione semplificata

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Questa sezione descrive il processo per creare un criterio di controllo delle applicazioni (WDAC) Windows Defender per i dispositivi gestiti in modo leggero all'interno di un'organizzazione. In genere, le organizzazioni che non hanno accesso al controllo delle applicazioni avranno maggior successo se iniziano con criteri permissivi come quello descritto in questo articolo. Le organizzazioni possono scegliere di rafforzare i criteri nel tempo per ottenere un comportamento di sicurezza generale più efficace nei dispositivi gestiti da WDAC, come descritto negli articoli successivi.

Nota

Alcune delle opzioni di controllo delle applicazioni Windows Defender descritte in questo argomento sono disponibili solo in Windows 10 versione 1903 o successiva o Windows 11. Quando si usa questo argomento per pianificare i criteri WDAC dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità e valutare l'impatto per eventuali funzionalità che potrebbero non essere disponibili sui client. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.

Come in Windows Defender distribuzione del controllo delle applicazioni in diversi scenari: tipi di dispositivi, per illustrare questo scenario si userà l'esempio di Lamna Healthcare Company (Lamna). Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso del controllo delle applicazioni per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.

Alice Pena è il responsabile IT incaricato dell'implementazione di WDAC. Lamna dispone attualmente di criteri di utilizzo delle applicazioni flessibili e di impostazioni cultura che garantiscono la massima flessibilità delle app per gli utenti. Alice sa quindi che dovrà adottare un approccio incrementale al controllo delle applicazioni e usare criteri diversi per carichi di lavoro diversi.

Per la maggior parte degli utenti e dei dispositivi, Alice vuole creare un criterio iniziale il più flessibile possibile per ridurre al minimo l'impatto sulla produttività degli utenti, fornendo comunque valore di sicurezza.

Definire il "cerchio di attendibilità" per i dispositivi gestiti con leggerezza

Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i dispositivi gestiti con leggerezza di Lamna, che attualmente includono la maggior parte dei dispositivi degli utenti finali:

  • Tutti i client eseguono Windows 10 versione 1903 o successiva o Windows 11;
  • Tutti i client vengono gestiti da Configuration Manager o con Intune.
  • Alcune app, ma non tutte, vengono distribuite usando Configuration Manager;
  • La maggior parte degli utenti sono amministratori locali nei propri dispositivi;
  • Alcuni team potrebbero avere bisogno di più regole per autorizzare app specifiche che non si applicano in genere a tutti gli altri utenti.

In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:

  1. Regole "Windows funziona" che autorizzano:

    • Windows
    • WHQL (driver del kernel di terze parti)
    • App firmate di Windows Store

  2. Regole "ConfigMgr funziona" che includono:

    • Regole di firma e hash per Configuration Manager il corretto funzionamento dei componenti.
    • Consentire alla regola del programma di installazione gestita di autorizzare Configuration Manager come programma di installazione gestito.

  3. Consenti Intelligent Security Graph (ISG) (autorizzazione basata sulla reputazione)

  4. App firmate con un certificato emesso da un'autorità di certificazione del programma radice attendibile di Windows

  5. Amministrazione regole di percorso solo per le posizioni seguenti:

    • C:\Programmi*
    • C:\Programmi (x86)*
    • %windir%*

Creare un criterio di base personalizzato usando un criterio di base WDAC di esempio

Dopo aver definito il "cerchio di attendibilità", Alice è pronta a generare i criteri iniziali per i dispositivi gestiti con leggerezza da Lamna. Alice decide di usare l'esempio SmartAppControl.xml per creare il criterio di base iniziale e quindi personalizzarlo per soddisfare le esigenze di Lamna.

Alice segue questi passaggi per completare questa attività:

  1. In un dispositivo client eseguire i comandi seguenti in una sessione di Windows PowerShell con privilegi elevati per inizializzare le variabili:

    Nota

    Se si preferisce usare un esempio diverso Windows Defender criteri di base di Controllo applicazioni, sostituire il percorso dei criteri di esempio con i criteri di base preferiti in questo passaggio.

    $PolicyPath = $env:userprofile+"\Desktop\"
$PolicyName= "Lamna_LightlyManagedClients_Audit"
$LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
$ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"

  2. Copiare i criteri di esempio sul desktop:

    Copy-Item $ExamplePolicy $LamnaPolicy

  3. Modificare i criteri per rimuovere la regola non supportata:

    Nota

    SmartAppControl.xmlè disponibile in Windows 11 versione 22H2 e successive. Questo criterio include la regola "Enabled:Conditional Windows Lockdown Policy" non supportata per i criteri WDAC aziendali e che deve essere rimossa. Per altre informazioni, vedere WDAC e Controllo app intelligenti. Se si usa un criterio di esempio diverso da SmartAppControl.xml, ignorare questo passaggio.

    [xml]$xml = Get-Content $LamnaPolicy
$ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
$ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
$node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
$node.ParentNode.RemoveChild($node)
$xml.Save($LamnaPolicy)

  4. Assegnare al nuovo criterio un ID univoco, un nome descrittivo e un numero di versione iniziale:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"

  5. Usare Configuration Manager per creare e distribuire criteri di controllo nel dispositivo client che esegue Windows 10 versione 1903 o successiva o Windows 11. Unire i criteri di Configuration Manager con i criteri di esempio.

    Nota

    Se non si usa Configuration Manager, ignorare questo passaggio.

    $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer

  6. Modificare i criteri per impostare regole aggiuntive dei criteri:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security

  7. Aggiungere regole per consentire le directory di Windows e Programmi:

    $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
$PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
$PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules

  8. Se appropriato, aggiungere altre regole di firma o file per personalizzare ulteriormente i criteri per l'organizzazione.

  9. Usare ConvertFrom-CIPolicy per convertire i criteri di controllo delle applicazioni Windows Defender in un formato binario:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
$LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin

  10. Caricare il codice XML dei criteri di base e il file binario associato in una soluzione di controllo del codice sorgente, ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.

A questo punto, Alice ha ora un criterio iniziale pronto per la distribuzione in modalità di controllo ai client gestiti all'interno di Lamna.

Considerazioni sulla sicurezza di questo criterio gestito con leggerezza

Per ridurre al minimo l'impatto sulla produttività degli utenti, Alice ha definito un criterio che rende diversi compromessi tra la sicurezza e la flessibilità delle app utente. Alcuni compromessi includono:

  • Utenti con accesso amministrativo

    Questo compromesso è il compromesso di sicurezza più significativo. Consente all'utente del dispositivo, o malware in esecuzione con i privilegi dell'utente, di modificare o rimuovere i criteri WDAC nel dispositivo. Inoltre, gli amministratori possono configurare qualsiasi app in modo da fungere da programma di installazione gestito, consentendo loro di ottenere l'autorizzazione permanente per le app o i file binari desiderata.

    Possibili mitigazioni:

    • Usare i criteri WDAC firmati e la protezione dell'accesso del BIOS UEFI per impedire la manomissione dei criteri WDAC.
    • Per rimuovere il requisito per il programma di installazione gestito, creare e distribuire file di catalogo firmati come parte del processo di distribuzione dell'app.
    • Usare l'attestazione del dispositivo per rilevare lo stato di configurazione di WDAC in fase di avvio e usare tali informazioni per condizionare l'accesso alle risorse aziendali sensibili.

  • Criteri non firmati

    I criteri non firmati possono essere sostituiti o rimossi senza conseguenze da qualsiasi processo in esecuzione come amministratore. I criteri di base non firmati che abilitano anche i criteri supplementari possono avere il loro "cerchio di attendibilità" modificato da qualsiasi criterio supplementare non firmato.

    Possibili mitigazioni:

    • Usare i criteri WDAC firmati e la protezione dell'accesso del BIOS UEFI per impedire la manomissione dei criteri WDAC.
    • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.

  • Programma di installazione gestito

    Vedere considerazioni sulla sicurezza con il programma di installazione gestito

    Possibili mitigazioni:

    • Per rimuovere il requisito per il programma di installazione gestito, creare e distribuire file di catalogo firmati come parte del processo di distribuzione dell'app.
    • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.

  • Intelligent Security Graph (ISG)

    Vedere considerazioni sulla sicurezza con Intelligent Security Graph

    Possibili mitigazioni:

    • Implementare criteri che richiedono che le app siano gestite dall'IT. Controllare l'utilizzo delle app esistenti e distribuire app autorizzate usando una soluzione di distribuzione software, ad esempio Microsoft Intune. Passare da ISG a programma di installazione gestito o regole basate su firma.
    • Usare criteri restrittivi in modalità di controllo per controllare l'utilizzo delle app e aumentare il rilevamento delle vulnerabilità.

  • Criteri supplementari

    I criteri supplementari sono progettati per ridurre i criteri di base associati. Inoltre, consentire criteri non firmati consente a qualsiasi processo di amministratore di espandere il "cerchio di attendibilità" definito dai criteri di base senza restrizioni.

    Possibili mitigazioni:

    • Usare criteri WDAC firmati che consentono solo criteri supplementari firmati autorizzati.
    • Usare criteri restrittivi in modalità di controllo per controllare l'utilizzo delle app e aumentare il rilevamento delle vulnerabilità.

  • Regole filepath

    Vedere altre informazioni sulle regole del percorso file

    Possibili mitigazioni:

    • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.
    • Eseguire la migrazione dalle regole del percorso file al programma di installazione gestito o alle regole basate su firma.

  • File firmati

    Anche se i file con firma di codice verificano l'identità dell'autore e assicurano che il codice non sia stato modificato da altri utenti oltre all'autore, non garantisce che il codice firmato sia sicuro.

    Possibili mitigazioni:

    • Usare un software antivirus o antimalware affidabile con protezione in tempo reale, ad esempio Microsoft Defender, per proteggere i dispositivi da file dannosi, adware e altre minacce.

Il prossimo