Implantação de políticas de WDAC (Controle de Aplicativo Windows Defender)

Observação

Alguns recursos do Windows Defender Application Control só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.

Agora você deve ter uma ou mais políticas de WDAC (Controle de Aplicativo) Windows Defender prontas para implantação. Se você ainda não concluiu as etapas descritas no Guia de Design do WDAC, faça isso agora antes de prosseguir.

Converter sua política WDAC XML em binária

Antes de implantar suas políticas do WDAC, primeiro você deve converter o XML em seu formulário binário. Você pode fazer isso usando o exemplo do PowerShell a seguir. Você deve definir a variável $WDACPolicyXMLFile para apontar para o arquivo XML da política WDAC.

 ## Update the path to your WDAC policy XML
 $WDACPolicyXMLFile = $env:USERPROFILE + "\Desktop\MyWDACPolicy.xml"
 [xml]$WDACPolicy = Get-Content -Path $WDACPolicyXMLFile
 if (($WDACPolicy.SiPolicy.PolicyID) -ne $null) ## Multiple policy format (For Windows builds 1903+ only, including Server 2022)
 {
     $PolicyID = $WDACPolicy.SiPolicy.PolicyID
     $PolicyBinary = $PolicyID+".cip"
 }
 else ## Single policy format (Windows Server 2016 and 2019, and Windows 10 1809 LTSC)
 {
     $PolicyBinary = "SiPolicy.p7b"
 }
 
 ## Binary file will be written to your desktop
 ConvertFrom-CIPolicy -XmlFilePath $WDACPolicyXMLFile -BinaryFilePath $env:USERPROFILE\Desktop\$PolicyBinary

Planejar sua implantação

Como acontece com qualquer alteração significativa no ambiente, a implementação do controle do aplicativo pode ter consequências não intencionais. Para garantir a melhor chance de sucesso, você deve seguir práticas de implantação seguras e planejar sua implantação cuidadosamente. Identifique os dispositivos que você gerenciará com o WDAC e divida-os em anéis de implantação. Dessa forma, você pode controlar a velocidade e a escala da implantação e responder se algo der errado. Defina os critérios de sucesso que determinarão quando é seguro continuar de um anel para o outro.

Todas as alterações Windows Defender política de controle de aplicativo devem ser implantadas no modo de auditoria antes de prosseguir para a execução. Monitore cuidadosamente os eventos de dispositivos em que a política foi implantada para garantir que os eventos de bloco observados correspondam à sua expectativa antes de ampliar a implantação para outros anéis de implantação. Se sua organização usar Microsoft Defender para Ponto de Extremidade, você poderá usar o recurso De Caça Avançada para monitorar eventos relacionados ao WDAC centralmente. Caso contrário, recomendamos usar uma solução de encaminhamento de log de eventos para coletar eventos relevantes de seus pontos de extremidade gerenciados.

Escolha como implantar políticas do WDAC

Importante

Devido a um problema conhecido, você sempre deve ativar novas políticas de Base WDAC assinadas com uma reinicialização em sistemas com integridade de memória habilitada. Recomendamos implantar por meio de script nesse caso.

Esse problema não afeta as atualizações de políticas base assinadas que já estão ativas no sistema, a implantação de políticas não assinadas ou a implantação de políticas suplementares (assinadas ou não assinadas). Também não afeta implantações em sistemas que não estão executando a integridade da memória.

Há várias opções para implantar Windows Defender políticas de Controle de Aplicativo em pontos de extremidade gerenciados, incluindo: