Usare più criteri di controllo delle applicazioni Windows Defender

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

A partire da Windows 10 versione 1903 e Windows Server 2022, è possibile distribuire più criteri WDAC (Application Control) Windows Defender side-by-side in un dispositivo. Per consentire più di 32 criteri attivi, installare l'aggiornamento della sicurezza di Windows rilasciato il 9 aprile 2024 o dopo il 9 aprile 2024 e quindi riavviare il dispositivo. Con questi aggiornamenti, non esiste alcun limite per il numero di criteri che è possibile distribuire contemporaneamente in un determinato dispositivo. Fino a quando non installi l'aggiornamento della sicurezza di Windows rilasciato il 9 aprile 2024 o dopo, il dispositivo è limitato a 32 criteri attivi e non devi superare tale numero.

Nota

Il limite dei criteri non è stato rimosso in Windows 11 21H2 e rimarrà limitato a 32 criteri.

Ecco alcuni scenari comuni in cui sono utili più criteri side-by-side:

1. Applicare e controllare side-by-side
   • Per convalidare le modifiche dei criteri prima della distribuzione in modalità di imposizione, gli utenti possono ora distribuire un criterio di base in modalità di controllo affiancato a un criterio di base esistente in modalità di imposizione
2. Più criteri di base
   • Gli utenti possono applicare due o più criteri di base contemporaneamente per consentire una selezione più semplice dei criteri per i criteri con ambito/finalità diversi
   • Se esistono due criteri di base in un dispositivo, un'applicazione deve passare entrambi i criteri per l'esecuzione
3. Criteri supplementari
   • Gli utenti possono distribuire uno o più criteri supplementari per espandere un criterio di base
   • Un criterio supplementare espande un singolo criterio di base e più criteri supplementari possono espandere lo stesso criterio di base
   • Per i criteri supplementari, le applicazioni consentite dai criteri di base o dai relativi criteri supplementari vengono eseguite

Nota

I sistemi pre-1903 non supportano l'uso di più criteri WDAC per il formato dei criteri.

Interazione con criteri di base e supplementari

• Più criteri di base: intersezione
  • Solo le applicazioni consentite da entrambi i criteri vengono eseguite senza generare eventi di blocco
• Base + politica supplementare: unione
  • File consentiti dai criteri di base o dall'esecuzione dei criteri supplementari

Creazione di criteri WDAC in più formati di criteri

Per consentire l'esistenza di più criteri e l'effetto su un singolo sistema, è necessario creare criteri usando il nuovo formato di criteri multipli. L'opzione "MultiplePolicyFormat" in New-CIPolicy restituisce 1) valori univoci generati per l'ID criterio e 2) il tipo di criterio impostato come criterio di base. Nell'esempio seguente viene descritto il processo di creazione di un nuovo criterio nel formato di più criteri.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level FilePublisher -Fallback SignedVersion,Publisher,Hash

Facoltativamente, è possibile scegliere di rendere i nuovi criteri di base consentiti per i criteri supplementari.

Set-RuleOption -FilePath ".\policy.xml" -Option 17

Per i criteri di base firmati per consentire criteri supplementari, assicurarsi che siano definiti i firmatari supplementari. Usare l'opzione Supplementare in Add-SignerRule per fornire firmatari supplementari.

Add-SignerRule -FilePath ".\policy.xml" -CertificatePath <certificate_path_> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]

Creazione di criteri supplementari

Per creare un criterio supplementare, iniziare creando un nuovo criterio nel formato Più criteri, come illustrato in precedenza. Da qui, usare Set-CIPolicyIdInfo per convertirlo in un criterio supplementare e specificare quale criterio di base espande. È possibile usare SupplementsBasePolicyID o BasePolicyToSupplementPath per specificare i criteri di base.

• "SupplementsBasePolicyID": GUID dei criteri di base a cui si applica il criterio supplementare
• "BasePolicyToSupplementPath": percorso del file di criteri di base a cui si applicano i criteri supplementari

Set-CIPolicyIdInfo -FilePath ".\supplemental_policy.xml" [-SupplementsBasePolicyID <BasePolicyGUID>] [-BasePolicyToSupplementPath <basepolicy_path_>] -PolicyId <policy_Id> -PolicyName <PolicyName>

Unione di criteri

Quando si uniscono i criteri, vengono usati il tipo di criterio e l'ID del criterio più a sinistra/primo specificato. Se il criterio più a sinistra è un criterio di base con ID<>, indipendentemente dai GUID e dai tipi per i criteri successivi, il criterio unito è un criterio di base con ID<>.

Distribuzione di più criteri

Per distribuire più criteri di controllo delle applicazioni Windows Defender, è necessario distribuirli in locale copiando i file dei *.cip criteri nella cartella appropriata o usando il CSP ApplicationControl.

Distribuzione di più criteri in locale

Per distribuire i criteri in locale usando il nuovo formato di più criteri, seguire questa procedura:

1. Verificare che i file di criteri binari abbiano il formato di denominazione corretto di {PolicyGUID}.cip.
   • Assicurarsi che il nome del file di criteri binari sia esattamente lo stesso del GUID PolicyID nei criteri
   • Ad esempio, se il codice XML dei criteri ha l'ID come <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>, il nome corretto per il file di criteri binari sarà {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
2. Copiare criteri binari in C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
3. Riavviare il sistema.

Distribuzione di più criteri tramite ApplicationControl CSP

È possibile gestire più criteri di controllo delle applicazioni Windows Defender da un server MDM tramite il provider di servizi di configurazione ApplicationControl (CSP). Il CSP fornisce anche il supporto per la distribuzione di criteri senza riavvio.

Tuttavia, quando i criteri vengono annullati da un server MDM, il CSP tenta di rimuovere tutti i criteri non distribuiti attivamente, non solo i criteri aggiunti dal CSP. Questo comportamento si verifica perché il sistema non sa quali metodi di distribuzione sono stati usati per applicare i singoli criteri.

Per altre informazioni sulla distribuzione di più criteri, facoltativamente usando la funzionalità OMA-URI personalizzata di Microsoft Intune, vedere ApplicationControl CSP.

Nota

WMI e Criteri di gruppo non supportano attualmente più criteri. I clienti che non possono accedere direttamente allo stack MDM devono invece usare applicationcontrol CSP tramite il provider WMI del bridge MDM per gestire più formati di criteri Windows Defender i criteri di controllo delle applicazioni.