Planear a gestão de políticas de ciclo de vida do Controlo de Aplicações do Windows Defender

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Observação

Algumas capacidades do Controlo de Aplicações do Windows Defender (WDAC) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade da funcionalidade Controlo de Aplicações do Windows Defender.

Este artigo descreve as decisões que tem de tomar para estabelecer os processos de gestão e manutenção de políticas de Controlo de Aplicações do Windows Defender (WDAC).

Gestão do ciclo de vida XML da política

O primeiro passo na implementação do controlo de aplicações é considerar a forma como as políticas serão geridas e mantidas ao longo do tempo. Desenvolver um processo para gerir políticas de Controlo de Aplicações do Windows Defender ajuda a garantir que o WDAC continua a controlar eficazmente a forma como as aplicações são autorizadas a ser executadas na sua organização.

A maioria das políticas de Controlo de Aplicações do Windows Defender irá evoluir ao longo do tempo e prosseguir através de um conjunto de fases identificáveis durante a sua duração. Normalmente, estas fases incluem:

1. Defina (ou refine) o "círculo de confiança" para a política e crie uma versão do modo de auditoria do XML da política. No modo de auditoria, os eventos de bloqueio são gerados, mas os ficheiros não são impedidos de ser executados.
2. Implemente a política do modo de auditoria nos dispositivos pretendidos.
3. Monitorize eventos de bloqueio de auditoria a partir dos dispositivos pretendidos e adicione/edite/elimine regras conforme necessário para resolver blocos inesperados/indesejados.
4. Repita os passos 2 a 3 até que os restantes eventos de bloco satisfaçam as expectativas.
5. Gere a versão do modo imposto da política. No modo imposto, os ficheiros que a política não permite são impedidos de ser executados e são gerados eventos de bloco correspondentes.
6. Implemente a política de modo imposto nos dispositivos pretendidos. Recomendamos a utilização de implementações faseadas para políticas impostas para detetar e responder a problemas antes de implementar a política em geral.
7. Repita os passos 1 a 6 sempre que o "círculo de confiança" pretendido for alterado.

Manter as políticas WDAC numa solução de controlo de código fonte ou gestão de documentos

Para gerir eficazmente as políticas de Controlo de Aplicações do Windows Defender, deve armazenar e manter os documentos XML de política num repositório central acessível a todos os responsáveis pela gestão de políticas do WDAC. Recomendamos uma solução de controlo de código fonte, como o GitHub ou uma solução de gestão de documentos, como o SharePoint do Office 365, que fornece controlo de versões e lhe permite especificar metadados sobre os documentos XML.

Definir metadados policyName, PolicyID e Versão para cada política

Utilize o cmdlet Set-CIPolicyIDInfo para dar a cada política um nome descritivo e definir um ID de política exclusivo. Estes atributos exclusivos ajudam-no a diferenciar cada política ao rever eventos do Controlo de Aplicações do Windows Defender ou ao visualizar o documento XML da política. Embora possa especificar um valor de cadeia para PolicyId, para políticas que utilizem o formato de várias políticas, recomendamos que utilize o comutador -ResetPolicyId para permitir ao sistema gerar automaticamente um ID exclusivo para a política.

Observação

O PolicyID aplica-se apenas a políticas que utilizem o formato de várias políticas em computadores com o Windows 10, versão 1903 e posterior ou Windows 11. Executar -ResetPolicyId numa política criada para computadores anteriores a 1903 irá convertê-lo em múltiplos formatos de política e impedir que seja executado nessas versões anteriores do Windows 10. O PolicyID deve ser definido apenas uma vez por política e utilizar policyID diferentes para as versões de auditoria e modo imposto de cada política.

Além disso, recomendamos que utilize o cmdlet Set-CIPolicyVersion para incrementar o número de versão interna da política quando efetuar alterações à política. A versão tem de ser definida como uma cadeia de versão de quatro partes padrão (por exemplo, "1.0.0.0").

Atualizações de regras de política

Poderá ter de rever a política quando forem implementadas novas aplicações ou as aplicações existentes forem atualizadas pelo fabricante do software para garantir que as aplicações são executadas corretamente. A necessidade de atualizações de regras de políticas dependerá significativamente dos tipos de regras que a sua política inclui. As regras baseadas em certificados de atribuição de códigos proporcionam a maior resiliência em relação às alterações da aplicação, enquanto as regras baseadas em atributos de ficheiro ou hash são mais prováveis de exigir atualizações quando as aplicações são alteradas. Em alternativa, se utilizar a funcionalidade do instalador gerido do WDAC e implementar consistentemente todas as aplicações e as respetivas atualizações através do instalador gerido, é menos provável que precise de atualizações de política.

Gestão de eventos do WDAC

Sempre que o WDAC bloqueia um processo, os eventos são escritos nos registos de eventos do Windows CodeIntegrity\Operational ou AppLocker\MSI e Script. O evento descreve o ficheiro que tentou executar, os atributos desse ficheiro e as respetivas assinaturas e o processo que tentou executar o ficheiro bloqueado.

Recolher estes eventos numa localização central pode ajudá-lo a manter a política de Controlo de Aplicações do Windows Defender e a resolver problemas de configuração de regras. Pode utilizar o Agente do Azure Monitor para recolher automaticamente os seus eventos WDAC para análise.

Além disso, o Microsoft Defender para Endpoint recolhe eventos WDAC que podem ser consultados através da funcionalidade de investigação avançada .

Política de suporte de aplicações e utilizadores

As considerações incluem:

• Que tipo de suporte do utilizador final é fornecido para aplicações bloqueadas?
• Como são adicionadas novas regras à política?
• Como é que as regras existentes são atualizadas?
• Os eventos são reencaminhados para revisão?

Suporte técnico

Se a sua organização tiver um departamento de suporte técnico estabelecido, considere os seguintes pontos ao implementar políticas de Controlo de Aplicações do Windows Defender:

• Que documentação é que o seu departamento de suporte necessita para novas implementações de políticas?
• Quais são os processos críticos em cada grupo empresarial, tanto no fluxo de trabalho como no tempo que serão afetados pelas políticas de controlo de aplicações e como podem afetar a carga de trabalho do departamento de suporte?
• Quem são os contactos no departamento de suporte?
• Como é que o departamento de suporte irá resolver problemas de controlo de aplicações entre o utilizador final e os recursos que mantêm as regras de Controlo de Aplicações do Windows Defender?

Suporte para utilizadores finais

Uma vez que o Controlo de Aplicações do Windows Defender está a impedir a execução de aplicações não aprovadas, é importante que a sua organização planeie cuidadosamente como fornecer suporte ao utilizador final. As considerações incluem:

• Pretende utilizar um site de intranet como linha de frente do suporte para os utilizadores que tentam executar uma aplicação bloqueada?
• Como pretende suportar exceções à política? Irá permitir que os utilizadores executem um script para permitir temporariamente o acesso a uma aplicação bloqueada?

Documentar o seu plano

Depois de decidir como a sua organização irá gerir a sua política de Controlo de Aplicações do Windows Defender, registe as suas conclusões.

• Política de suporte do utilizador final. Documente o processo que irá utilizar para processar chamadas de utilizadores que tentaram executar uma aplicação bloqueada e certifique-se de que o suporte técnico tem passos de escalamento claros para que o administrador possa atualizar a política de Controlo de Aplicações do Windows Defender, se necessário.
• Processamento de eventos. Documente se os eventos serão recolhidos numa localização central chamada arquivo, como esse arquivo será arquivado e se os eventos serão processados para análise.
• Gestão de políticas. Detalhe sobre as políticas planeadas, como serão geridas e como as regras serão mantidas ao longo do tempo.