Creare criteri WDAC usando un computer di riferimento

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Questa sezione descrive il processo per creare un criterio di controllo delle applicazioni di Windows Defender (WDAC) usando un computer di riferimento già configurato con il software che si vuole consentire. È possibile usare questo approccio per i dispositivi a carico di lavoro fisso dedicati a uno scopo funzionale specifico e condividere attributi di configurazione comuni con altri dispositivi che svolgono lo stesso ruolo funzionale. Esempi di dispositivi a carico di lavoro fisso possono includere controller di Dominio di Active Directory, workstation Amministrazione sicure, apparecchiature per la miscelazione di farmaci farmaceutici, dispositivi di produzione, registratori di cassa, sportelli bancomat e così via. Questo approccio può essere usato anche per attivare WDAC nei sistemi "in natura" e si vuole ridurre al minimo il potenziale impatto sulla produttività degli utenti.

Nota

Alcune delle opzioni di controllo delle applicazioni Windows Defender descritte in questo argomento sono disponibili solo in Windows 10 versione 1903 o successiva o Windows 11. Quando si usa questo argomento per pianificare i criteri WDAC dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità e valutare l'impatto per eventuali funzionalità che potrebbero non essere disponibili sui client. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.

Come descritto negli scenari di distribuzione comuni Windows Defender controllo delle applicazioni, verrà usato l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso del controllo delle applicazioni per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.

Alice Pena è il responsabile IT incaricato dell'implementazione di WDAC.

Creare criteri di base personalizzati usando un dispositivo di riferimento

Alice ha creato in precedenza un criterio per i dispositivi dell'utente finale completamente gestiti dell'organizzazione. Ora vuole usare WDAC per proteggere i server di infrastruttura critici di Lamna. La pratica di imaging di Lamna per i sistemi di infrastruttura consiste nel stabilire un'immagine "d'oro" come riferimento per l'aspetto ideale di un sistema e quindi usare tale immagine per clonare più asset aziendali. Alice decide di usare questi stessi sistemi di immagine "golden" per creare i criteri WDAC, il che comporterà criteri di base personalizzati separati per ogni tipo di server di infrastruttura. Come per l'imaging, dovrà creare criteri da più computer d'oro basati su modello, reparto, set di applicazioni e così via.

Nota

Assicurati che il computer di riferimento non contenga virus né malware e installa tutto il software di cui desideri eseguire la scansione prima di creare i criteri WDAC.

Prima di creare i criteri, è necessario verificare che ogni applicazione software installata sia attendibile.

Si consiglia di esaminare nel computer di riferimento il software che può caricare DLL arbitrarie e di eseguire il codice o gli script che potrebbero rendere più vulnerabile il PC. Gli esempi includono software destinato allo sviluppo o allo scripting, ad esempio msbuild.exe (parte di Visual Studio e .NET Framework) che possono essere rimossi se non si vogliono eseguire script. Puoi rimuovere o disabilitare tale software nel computer di riferimento.

Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i server di infrastruttura critici di Lamna:

• Tutti i dispositivi eseguono Windows Server 2019 o versione successiva;
• Tutte le app vengono gestite e distribuite centralmente;
• Nessun utente interattivo.

In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:

1. Regole "Windows funziona" che autorizzano:

   • Windows
   • WHQL (driver del kernel di terze parti)
   • App firmate di Windows Store

2. Regole per i file analizzati che autorizzano tutti i file binari dell'app preesistenti trovati nel dispositivo

Per creare i criteri WDAC, Alice esegue ognuno dei comandi seguenti in una sessione di Windows PowerShell con privilegi elevati, nell'ordine seguente:

1. Inizializzare le variabili.

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName="FixedWorkloadPolicy_Audit"
   $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml"
   $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
   

2. Utilizza New-CIPolicy per creare nuovi criteri WDAC analizzando il sistema per individuare le applicazioni installate:

   New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
   

   Nota

   • Puoi aggiungere il parametro -Fallback per rilevare le applicazioni non individuate tramite il livello primario delle regole dei file specificato dal parametro -Level. Per altre informazioni sulle opzioni a livello di regola del file, vedere Windows Defender Livelli di regole file di Controllo applicazione.
   • Per fare in modo che il criterio WDAC analizzi solo un'unità specifica, includi il parametro -ScanPath seguito da un percorso. Senza questo parametro, lo strumento analizzerà l'unità C per impostazione predefinita.
   • Se specifichi il parametro - UserPEs (per includere eseguibili in modalità utente durante l'analisi), l'opzione della regola 0 Enabled: UMCI viene aggiunta automaticamente al criterio WDAC. Se non si specifica -UserPE, il criterio sarà vuoto di eseguibili in modalità utente e avrà regole solo per i file binari in modalità kernel come i driver. In altre parole, l'elenco consenti non includerà le applicazioni. Se crei tale criterio e in seguito aggiungi l'opzione della regola 0 Enabled:UMCI, tutti i tentativi di avviare le applicazioni comporteranno una risposta da parte di Windows Defender Application Control. In modalità di controllo la risposta registra un evento e, in modalità di imposizione, la risposta blocca l'applicazione.
   • Per creare un criterio per Windows 10 1903 e versioni successive, incluso il supporto per i criteri supplementari, usare -MultiplePolicyFormat.
   • Per specificare un elenco di percorsi da escludere dall'analisi, usare l'opzione -OmitPaths e specificare un elenco di percorsi delimitato da virgole.
   • L'esempio precedente include 3> CIPolicylog.txt, che reindirizza i messaggi di avviso a un file di testo, CIPolicylog.txt.

3. Unire i nuovi criteri con i criteri di WindowsDefault_Audit per garantire il caricamento di tutti i file binari e i driver del kernel di Windows.

   Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
   

4. Assegnare al nuovo criterio un nome descrittivo e un numero di versione iniziale:

   Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName
   Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
   

5. Modificare i criteri uniti per impostare le regole dei criteri:

   Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
   

6. Se appropriato, aggiungere altre regole di firma o file per personalizzare ulteriormente i criteri per l'organizzazione.

7. Usa ConvertFrom-CIPolicy per convertire il criterio WDAC in un formato binario:

   [xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy
   $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId
   $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip"
   ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
   

8. Caricare il codice XML dei criteri di base e il file binario associato in una soluzione di controllo del codice sorgente, ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.

Alice ha ora un criterio iniziale per i server dell'infrastruttura critica di Lamna pronti per la distribuzione in modalità di controllo.

Creare criteri di base personalizzati per ridurre al minimo l'impatto dell'utente sui dispositivi client in uso

Alice ha creato in precedenza un criterio per i dispositivi completamente gestiti dell'organizzazione. Alice ha incluso i criteri del dispositivo completamente gestiti come parte del processo di compilazione del dispositivo di Lamna, quindi tutti i nuovi dispositivi ora iniziano con WDAC abilitato. Si sta preparando a distribuire i criteri ai sistemi già in uso, ma è preoccupata di causare interruzioni della produttività degli utenti. Per ridurre al minimo tale rischio, Alice decide di adottare un approccio diverso per tali sistemi. Continuerà a distribuire i criteri del dispositivo completamente gestiti in modalità di controllo a tali dispositivi, ma per la modalità di imposizione unirà le regole dei criteri del dispositivo completamente gestite con un criterio creato analizzando il dispositivo per tutto il software installato in precedenza. In questo modo, ogni dispositivo viene considerato come il proprio sistema "golden".

Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i dispositivi in uso completamente gestiti di Lamna:

• Tutto ciò che viene descritto per i dispositivi completamente gestiti di Lamna;
• Gli utenti hanno installato app che devono continuare a eseguire.

In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:

1. Tutti gli elementi inclusi nei criteri Dispositivi completamente gestiti
2. Regole per i file analizzati che autorizzano tutti i file binari dell'app preesistenti trovati nel dispositivo

Per i dispositivi esistenti in uso di Lamna, Alice distribuisce uno script insieme al codice XML dei criteri dei dispositivi completamente gestiti (non il file binario dei criteri WDAC convertito). Lo script genera quindi un criterio personalizzato in locale nel client come descritto nella sezione precedente, ma invece di eseguire l'unione con il criterio DefaultWindows, lo script si unisce ai criteri Dispositivi completamente gestiti di Lamna. Alice modifica anche i passaggi precedenti per soddisfare i requisiti di questo diverso caso d'uso.