Distribuire criteri WDAC tramite Mobile Gestione dispositivi (MDM)

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

È possibile usare una soluzione MDM (Mobile Gestione dispositivi), ad esempio Microsoft Intune, per configurare Windows Defender Controllo applicazioni (WDAC) nei computer client. Intune include il supporto nativo per WDAC, che può essere un punto di partenza utile, ma i clienti potrebbero trovare le opzioni di circle-of-trust disponibili troppo limitanti. Per distribuire un criterio personalizzato tramite Intune e definire il proprio cerchio di attendibilità, è possibile configurare un profilo usando l'URI OMA personalizzato. Se l'organizzazione usa un'altra soluzione MDM, rivolgersi al provider di soluzioni per i passaggi di distribuzione dei criteri WDAC.

Importante

A causa di un problema noto, è consigliabile attivare sempre i nuovi criteri di base WDAC firmaticon un riavvio nei sistemi con l'integrità della memoria abilitata. Anziché Mobile Gestione dispositivi (MDM), distribuire nuovi criteri di base WDAC firmati tramite script e attivare i criteri con un riavvio del sistema.

Questo problema non influisce sugli aggiornamenti dei criteri di base firmati già attivi nel sistema, sulla distribuzione di criteri non firmati o sulla distribuzione di criteri supplementari (firmati o non firmati). Inoltre, non influisce sulle distribuzioni in sistemi che non eseguono l'integrità della memoria.

Usare i criteri predefiniti di Intune

il supporto predefinito Windows Defender Controllo applicazioni di Intune consente di configurare i computer client Windows solo per l'esecuzione:

• Componenti Windows
• Driver del kernel hardware e software di terze parti
• App firmate in Microsoft Store
• [Facoltativo] App affidabili come definite da Intelligent Security Graph (ISG)

Nota

I criteri predefiniti di Intune usano la versione pre-1903 del formato a criteri singoli dei criteri DefaultWindows. Usare l'esperienza WDAC di Intune migliorata, attualmente in anteprima pubblica, per creare e distribuire file di formato con più criteri. In alternativa, è possibile usare la funzionalità OMA-URI personalizzata di Intune per distribuire criteri WDAC con più criteri e sfruttare le funzionalità disponibili in Windows 10 1903 o Windows 11, come descritto più avanti in questo argomento.

Nota

Intune usa attualmente il CSP AppLocker per distribuire i criteri predefiniti. Il provider di servizi di configurazione AppLocker richiede sempre il riavvio del dispositivo quando applica i criteri WDAC. Usare l'esperienza WDAC di Intune migliorata, attualmente in anteprima pubblica, per distribuire criteri WDAC personalizzati senza riavviare. In alternativa, è possibile usare la funzionalità URI OMA personalizzata di Intune con il CSP ApplicationControl.

Per usare i criteri WDAC predefiniti di Intune, configurare Endpoint Protection per Windows 10 (e versioni successive).

Distribuire criteri WDAC con URI OMA personalizzato

Nota

I criteri distribuiti tramite Intune URI OMA personalizzato sono soggetti a un limite di 350.000 byte. I clienti devono creare criteri di controllo delle applicazioni Windows Defender che usano regole basate su firma, Intelligent Security Graph e programmi di installazione gestiti, laddove pratico. I clienti i cui dispositivi eseguono oltre 1903 build di Windows sono invitati a usare più criteri che consentono criteri più granulari.

È ora necessario convertire uno o più criteri WDAC in formato binario. In caso contrario, seguire la procedura descritta in Distribuzione di criteri WDAC (Application Control) Windows Defender.

Distribuire criteri WDAC personalizzati in Windows 10 1903+

A partire da Windows 10 1903, la distribuzione di criteri URI OMA personalizzati può usare il CSP ApplicationControl, che supporta più criteri e criteri senza riavvio.

Nota

Prima di eseguire la distribuzione con l'URI OMA, è necessario convertire il codice XML dei criteri personalizzati in formato binario.

I passaggi per usare la funzionalità OMA-URI personalizzata di Intune sono:

1. Aprire il portale di Microsoft Intune e creare un profilo con impostazioni personalizzate.

2. Specificare un nome e una descrizione e usare i valori seguenti per le impostazioni OMA-URI personalizzate rimanenti:

   • URI OMA: ./Vendor/MSFT/ApplicationControl/Policies/_Policy GUID_/Policy
   • Tipo di dati: Base64 (file)
   • File di certificato: caricare il file dei criteri di formato binario. A tale scopo, modificare il file {GUID}.cip in {GUID}.bin. Non è necessario caricare un file Base64, perché Intune converte il file .bin caricato in Base64 per conto dell'utente.

   

Nota

Per il valore GUID dei criteri, non includere le parentesi graffe.

Rimuovere i criteri WDAC in Windows 10 1903+

Dopo l'eliminazione, i criteri distribuiti tramite Intune tramite applicationcontrol CSP vengono rimossi dal sistema, ma rimangono attivi fino al riavvio successivo. Per disabilitare Windows Defender'imposizione del controllo applicazione, sostituire prima di tutto i criteri esistenti con una nuova versione del criterio che "Allow *", come le regole nei criteri di esempio in %windir%\schemas\CodeIntegrity\ExamplePolicies\AllowAll.xml. Dopo aver distribuito i criteri aggiornati, è possibile eliminare i criteri dal portale di Intune. Questa eliminazione impedirà il blocco di qualsiasi elemento e rimuoverà completamente i criteri WDAC al riavvio successivo.

Per i sistemi pre-1903

Distribuzione di criteri

I passaggi per usare la funzionalità OMA-URI personalizzata di Intune per applicare il CSP AppLocker e distribuire un criterio WDAC personalizzato nei sistemi precedenti al 1903 sono i seguenti:

1. Convertire il codice XML dei criteri in formato binario usando il cmdlet ConvertFrom-CIPolicy per la distribuzione. I criteri binari possono essere firmati o non firmati.

2. Aprire il portale di Microsoft Intune e creare un profilo con impostazioni personalizzate.

3. Specificare un nome e una descrizione e usare i valori seguenti per le impostazioni OMA-URI personalizzate rimanenti:

   • URI OMA: ./Vendor/MSFT/AppLocker/ApplicationLaunchRestrictions/_Grouping_/CodeIntegrity/Policy
   • Tipo di dati: Base64 (file)
   • File di certificato: caricare il file dei criteri di formato binario

   Nota

   La distribuzione dei criteri tramite il CSP AppLocker forza il riavvio durante la Configurazione guidata.

Rimozione di criteri

I criteri distribuiti tramite Intune tramite il CSP AppLocker non possono essere eliminati tramite la console di Intune. Per disabilitare Windows Defender'imposizione dei criteri di controllo delle applicazioni, distribuire un criterio in modalità di controllo o usare uno script per eliminare i criteri esistenti.