Share via

Implantar políticas de controle de aplicativo Windows Defender usando Política de Grupo

Observação

Alguns recursos do WDAC (Controle de Aplicativo) Windows Defender estão disponíveis apenas em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Importante

Devido a um problema conhecido, você sempre deve ativar novas políticas de Base WDAC assinadascom uma reinicialização em sistemas com integridade de memória habilitada. Em vez de Política de Grupo, implante novas políticas de Base WDAC assinadas por meio de script e ative a política com uma reinicialização do sistema.

Esse problema não afeta as atualizações de políticas base assinadas que já estão ativas no sistema, a implantação de políticas não assinadas ou a implantação de políticas suplementares (assinadas ou não assinadas). Também não afeta implantações em sistemas que não estão executando a integridade da memória.

O formato de política única Windows Defender políticas de Controle de Aplicativo (esquema de política pré-1903) pode ser facilmente implantado e gerenciado com Política de Grupo.

Importante

Política de Grupo implantação baseada em Windows Defender políticas de Controle de Aplicativo dá suporte apenas a políticas WDAC de formato de política única. Para usar o WDAC em dispositivos que executam Windows 10 1903 e superior, ou Windows 11, recomendamos usar um método alternativo para implantação de política.

Agora você deve ter uma política WDAC convertida em formulário binário. Caso contrário, siga as etapas descritas em Implantar políticas do WDAC (Controle de Aplicativos Windows Defender).

O procedimento a seguir orienta como implantar uma política WDAC chamada SiPolicy.p7b em uma OU de teste chamada PCs habilitados para WDAC usando um GPO chamado Teste GPO contoso.

Para implantar e gerenciar uma política de Controle de Aplicativo Windows Defender com Política de Grupo:

  1. Em um computador cliente no qual o RSAT está instalado, abra o GPMC executando GPMC.MSC

  2. Crie um novo GPO: clique com o botão direito do mouse em uma OU e selecione Criar um GPO neste domínio e vincule-o aqui.

    Observação

    Você pode usar qualquer nome da U. Além disso, a filtragem de grupo de segurança é uma opção quando você considera diferentes maneiras de combinar políticas WDAC (ou mantê-las separadas), conforme discutido em Planejar para Windows Defender gerenciamento de política de ciclo de vida do Controle de Aplicativo.

    Política de Grupo Management, crie um GPO.

  3. Nomeie o novo GPO. Você pode escolher qualquer nome.

  4. Abra o Editor de Gerenciamento de Política de Grupo: clique com o botão direito do mouse no novo GPO e selecione Editar.

  5. No GPO selecionado, navegue até Configuração do Computador\Modelos Administrativos\Sistema\Proteção de Dispositivos. Clique com o botão direito do mouse em Implantar Windows Defender Controle de Aplicativo e selecione Editar.

    Edite o Política de Grupo para Windows Defender Controle de Aplicativo.

  6. Na caixa de diálogo Implantar Windows Defender Controle de Aplicativo, selecione a opção Habilitado e especifique o caminho de implantação da política WDAC.

    Nesta configuração de política, você especifica o caminho local em que a política existirá em cada computador cliente ou em um caminho UNC (Convenção Universal de Nomenclatura) que os computadores cliente procurarão para recuperar a versão mais recente da política. Por exemplo, o caminho para SiPolicy.p7b usando as etapas descritas em Implantar políticas de WDAC (Controle de Aplicativo Windows Defender) seria %USERPROFILE%\Desktop\SiPolicy.p7b.

    Observação

    Esse arquivo de política não precisa ser copiado para todos os computadores. Em vez disso, você pode copiar as políticas do WDAC em um compartilhamento de arquivos a que todas as contas do computador tenham acesso. Todas as políticas selecionadas aqui são convertidas em SIPolicy.p7b quando ele é implantado em computadores cliente individuais.

    Política de Grupo chamado Implantar Windows Defender Controle de Aplicativo.

    Observação

    Você deve ter notado que a configuração de GPO faz referência a um arquivo .p7b, mas a extensão de arquivo e o nome do binário de política não importam. Independentemente do nome do binário de política, todos eles são convertidos em SIPolicy.p7b quando aplicados aos computadores cliente que executam Windows 10. Se você estiver implantando políticas diferentes do WDAC em diferentes conjuntos de dispositivos, talvez queira dar a cada uma de suas políticas WDAC um nome amigável e permitir que o sistema converta os nomes da política para você para garantir que as políticas sejam facilmente distinguíveis quando exibidas em um compartilhamento ou em qualquer outro repositório central.

  7. Feche o Editor de Gerenciamento de Política de Grupo e reinicie o computador de teste do Windows. Reiniciar o computador atualiza a política do WDAC.