Comentários

Usar várias políticas Windows Defender controle de aplicativo

  • Artigo
  • 5 minutos para ler

Aplica-se a:

  • Windows 10
  • Windows 11
  • Windows Server 2016 e mais recente

Observação

Alguns recursos do Windows Defender WDAC (Controle de Aplicativo) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade Windows Defender recursos do Controle de Aplicativos.

Antes do Windows 10 1903, o Windows Defender Application Control só era compatível com uma única política ativa em um sistema a qualquer momento. Isso limita os clientes em situações em que várias políticas com intenções diferentes seriam úteis. A partir Windows 10 versão 1903, o WDAC dá suporte a até 32 políticas ativas em um dispositivo de uma só vez para habilitar os seguintes cenários:

  1. Impor e auditar lado a lado
    • Para validar as alterações de política antes da implantação no modo de imposição, os usuários agora podem implantar uma política base de modo de auditoria lado a lado com uma política base de modo de imposição existente
  2. Várias políticas base
    • Os usuários podem impor duas ou mais políticas base simultaneamente para permitir um direcionamento de política mais simples para políticas com escopo/intenção diferentes
    • Se duas políticas base existirem em um dispositivo, um aplicativo deverá ser permitido por ambos para execução
  3. Políticas complementares
    • Os usuários podem implantar uma ou mais políticas complementares para expandir uma política base
    • Uma política complementar expande uma única política base e várias políticas complementares podem expandir a mesma política base
    • Para políticas complementares, os aplicativos permitidos pela política base ou sua política/políticas complementares têm permissão para serem executados

Observação

Sistemas pré-1903 não dão suporte ao uso de políticas WDAC de formato de política múltipla.

Interação de políticas básicas e complementares

  • Várias políticas base: interseção
    • Somente aplicativos permitidos por ambas as políticas são executados sem gerar eventos de bloco
  • Base + política complementar: união
    • Os arquivos permitidos pela política base ou pela política complementar não são bloqueados

Criando políticas do WDAC em formato de política múltipla

Para permitir que várias políticas existam e entre em vigor em um único sistema, as políticas devem ser criadas usando o novo Formato de Política Múltipla. A opção "MultiplePolicyFormat" em New-CIPolicy resulta em 1) GUIDs exclusivos sendo gerados para a ID da política e 2) o tipo de política que está sendo especificado como base. O exemplo abaixo descreve o processo de criação de uma nova política no formato de política múltipla.

New-CIPolicy -MultiplePolicyFormat -ScanPath "<path>" -UserPEs -FilePath ".\policy.xml" -Level Publisher -Fallback Hash

Opcionalmente, você pode optar por fazer com que a nova política base permita políticas complementares.

Set-RuleOption -FilePath <string> -Option 17

Para que as políticas base assinadas permitam políticas complementares, verifique se os signaários complementares estão definidos. Use a opção Complementar em Add-SignerRule para fornecer signatários complementares.

Add-SignerRule -FilePath <string> -CertificatePath <string> [-Kernel] [-User] [-Update] [-Supplemental] [-Deny]  [<CommonParameters>]

Criação de política complementar

Para criar uma política complementar, comece criando uma nova política no Formato de Política Múltipla, conforme mostrado acima. A partir daí, use Set-CIPolicyIdInfo convertê-la em uma política complementar e especifique qual política base ela expande. Você pode usar SupplementsBasePolicyID ou BasePolicyToSupplementPath para especificar a política base.

  • "SupplementsBasePolicyID": GUID da política base à qual a política complementar se aplica
  • "BasePolicyToSupplementPath": caminho para o arquivo de política base ao qual a política complementar se aplica
Set-CIPolicyIdInfo [-FilePath] <string> [-PolicyName <string>] [-SupplementsBasePolicyID <guid>] [-BasePolicyToSupplementPath <string>] [-ResetPolicyID] [-PolicyId <string>]  [<CommonParameters>]

Observação

ResetPolicyId reverte uma política complementar para uma política base e redefine os GUIDs de política de volta para um GUID aleatório.

Mesclando políticas

Quando você está mesclando políticas, o tipo de política e a ID da política mais à esquerda/primeira especificada são usadas. Se a extrema esquerda for uma política base com ID <ID>, independentemente de quais são os GUIDs e tipos para quaisquer políticas subsequentes, a política mesclada será uma política base com ID <ID>.

Implantando várias políticas

Para implantar várias políticas de Controle de Aplicativo do Windows Defender, você deve implantá-las localmente *.cip copiando os arquivos de política para a pasta apropriada ou usando o CSP ApplicationControl, que é compatível com o recurso OMA-URI personalizado do Microsoft Endpoint Manager Intune.

Implantando várias políticas localmente

Para implantar políticas localmente usando o novo formato de política múltipla, siga estas etapas:

  1. Verifique se os arquivos de política binária têm o formato de nomenclatura correto de {PolicyGUID}.cip.
    • Verifique se o nome do arquivo de política binária é exatamente o mesmo que o GUID de PolicyID na política
    • Por exemplo, se o XML da política tivesse a ID <PolicyID>{A6D7FBBF-9F6B-4072-BF37-693741E1D745}</PolicyID>como , o nome correto para o arquivo de política binária seria {A6D7FBBF-9F6B-4072-BF37-693741E1D745}.cip.
  2. Copiar políticas binárias para C:\Windows\System32\CodeIntegrity\CiPolicies\Active.
  3. Reinicialize o sistema.

Implantando várias políticas por meio do CSP applicationControl

Várias Windows Defender de Controle de Aplicativo podem ser gerenciadas de um servidor MDM por meio do provedor de serviços de configuração (CSP) ApplicationControl. O CSP também fornece suporte para implantação de política sem reinicialização.

No entanto, quando as políticas forem cancelar o registro de um servidor MDM, o CSP tentará remover todas as políticas dos dispositivos, não apenas as políticas adicionadas pelo CSP. O motivo para isso é que o CSP applicationControl não rastreia fontes de registro para políticas individuais, mesmo que ele consulte todas as políticas em um dispositivo, independentemente de elas ter sido implantadas pelo CSP.

Para obter mais informações sobre como implantar várias políticas, opcionalmente usando o recurso OMA-URI personalizado do Microsoft Endpoint Manager Intune, consulte ApplicationControl CSP.

Observação

No momento, o WMI e a GP não dão suporte a várias políticas. Em vez disso, os clientes que não podem acessar diretamente a pilha de MDM devem usar o CSP ApplicationControl por meio do Provedor WMI de Ponte de MDM para gerenciar várias políticas de formato de Windows Defender de controle de aplicativo.

Problemas conhecidos no formato de várias políticas

  • Se o número máximo de políticas for excedido, o dispositivo poderá usar a tela azul ci.dll com um valor de verificação de bug de 0x0000003b.
  • Se as políticas forem carregadas sem a necessidade de uma reinicialização PS_UpdateAndCompareCIPolicycomo, elas ainda contarão para esse limite.
  • Isso poderá representar um desafio especialmente grande se o valor das alterações {PolicyGUID}.cip entre as versões. Isso pode resultar em uma janela longa entre uma alteração e a reinicialização resultante.