Основи управління програмами Windows Defender (WDAC)

Управління програмами Windows Defender (WDAC) Це ще одна технологія, яка дозволяє підвищити безпеку Windows, контролюючи запуск виконуваних файлів, створюючи білі списки дозволених програм. Функціональність WDAC доступна на Windows 10.11 (Enterprise and Professional Editorial Office) та Windows Server 2016+. Необхідна умова - наявність УЕФІ.

WDAC дозволяє визначити, які драйвери та програми дозволяють запускати на пристрої Windows. Політика цілісності коду (CI) WDAC Виконайте перевірку запущених програм як у режимі ядра (драйвери та компоненти Windows), так і в режимі користувача (як Applocker).

У чомусь функціональність WDAC схожа на політику обмеження програмного забезпечення (SRP) та Applocker. Недоліком SRP є складність налаштування, і якщо у вас є права місцевого адміністратора, ви можете відключити Applocker. Основна перевага контролю програми Windows Defender - це можливість контролювати запуск драйверів та компонентів у режимі ядра та при завантаженні ОС, простота інтеграції в концепцію сучасної робочої станції Microsoft, можливості централізованого управління програмами для програм для програм для програм для програм для програм для програм для програм для програм для програм для програм для програм для програм для програм для програм на комп’ютерах через Intune/Microsoft Endpoint Manager.

Як застосувати стандартну політику безпеки WDAC у Windows?

У Windows немає інструментів управління параметрами WDAC, будь -які налаштування здійснюються через PowerShell.

Політика WDAC - це XML -файл з цілісністю коду. Кілька готових шаблонів - політик WDAC, що зберігається в каталозі C: \ Windows \ schemas \ codeIntegrity \ examplePolicies .

Наприклад, шаблони Defaultwindows_audit.XML і Defaultwindows_enforced.XML Дозвольте запустити всі програми, підписані Microsoft та програмами з хорошою репутацією. Відмінності в шаблонах - це той факт, що defaultwindows_audit.XML застосовує політику WDAC в режимі аудиту (цей режим використовується для аналізу прикладних налаштувань та налагодження додатків для подій у подій). У виконаному режимі програми запуску політики використовуються у продуктивному режимі та блокують запуск додатків, які не відповідають політиці.

Давайте спробуємо активувати цю політику на тестовому комп’ютері. Щоб застосувати політику XML з описом політики, вам потрібно відрегулювати до бінарного формату сиполітики.P7B за допомогою PowerShell Commanding ConvertFrom-Cipolacy:

Convertfrom -cipolicy -xmlfilepath c: \ windows \ schemas \ codeintegry \ examplepolicies \ defaultwindows_enforced.Xml "-binaryfilepath" c: \ windows \ system32 \ codeIntegry \ sipolacy.P7b "

У каталозі \ System32 \ codeIntegrity З’явиться файл Сиполітика.P7B Зі своєю політикою.

Залишається перезапустити Windows, щоб використовувати політику WDAC.

Тепер запуск будь -якої недовірливої ​​програми в Windows (наприклад, завантажений користувачем з Інтернету) буде заблоковано повідомленням:

Ваша організація USSED Windows Windows Defender Control, щоб заблокувати цю програму.  Для отримання додаткової інформації зверніться до своєї особистої особи.

Якщо політика WDAC включена в режим аудиту, то обмеження на запуск програм не застосовуються. Але коли ви запускаєте будь -яку програму в журналах подій, з’являться помилки для додатків, запуск яких заблокований.

Цілісність коду визначила, що процес (\ пристрій \ harddiskvolume3 \ windows \ system32 \ svchost.exe) намагається завантажити \ пристрій \ harddiskvolume3 \ xxx.Exe, який не відповідав відновленню рівня підписання Window. Однак, завдяки політиці аудиту цілісності коду, зображення було дозволено завантажувати.

C: \ ps \ powershellmoudule.PSM1 був розподілений для запуску Wold Wold, якщо застосовуватися політика CI CI.

Такі події доступні в таких журналах перегляду подій:

• Журнали додатків та служб> Microsoft> Windows> CodeIntegrity> Operational (EventID 3076, 3077)
• Журнали програм та служб> Microsoft> Windows> Applocker> MSI та сценарій

Адміністратору потрібно проаналізувати журнали та визначити, чи є події для блокування потрібних програм. Такі програми повинні бути додані до списку довірених у файлі XML.

Ми створюємо власну політику WDAC для корпоративних пристроїв Windows

Давайте спробуємо описати типовий план впровадження для додатків WDAC для пристроїв з Windows у корпоративному середовищі:

Створення Bazelans для кожної комп'ютерної моделі

Встановіть Windows на стандартний комп'ютер, встановіть усі необхідні драйвери та програми. Ми вважаємо, що таку конфігурацію Windows з програмами та драйверами довіряють. Щоб зафіксувати поточне зображення Windows, вам потрібно виконати команду:

$ Wdacxmlpolicy = "c: \ ps \ wdac \ hp322_base.Xml "
New -cipolacy -multiplepolacyformat $ wdacxmlpolcy -scanpath c: -Велі filepublisher -fallback hash

Команда скануватиме всі виконувані файли, драйвери та бібліотеки, додасть їх до XML -політики, дорученої XML (займе тривалий час).

Включіть варіанти політики:

• Варіант 14 - Використовувати графік Microsoft Intelligent Security
• Варіант 16 - дозволяє політиці застосовувати без перезавантаження
• Варіант 17 - Дозволяє об'єднати політику

Використовуючи графік Microsoft Intelligent Security, ви можете автоматично довіряти програмам, яким Microsoft Trusts. Це дозволяє спростити створення політичного діяча WDAC.

Set -Cruleoption -filepath $ wdacxmlpolcy -Option 14
Set -Cruleoption -filepath $ wdacxmlpolpolice -Option 16
Set -Cruleoption -filepath $ wdacxmlpolcy -Option 17

Об'єднання кількох без долів у загальному

Після того, як ви отримали Bazleins з усіх комп’ютерів, ви можете поєднати їх в один файл.

$ Mergedxml = "C: \ ps \ wdac \ mergged_base.Xml "
$ MERGEDBIN = "C: \ PS \ WDAC \ MENGED_BASE.Cip "
MERGE -CIPOLACY -utputFilePath $ MERGEDXML -POLACYPATHS "C: \ PS \ WDAC \ HP300_BASE.Xml "," c: \ ps \ wdac \ lenovo900_base.Xml "," C: \ ps \ wdac \ dell15_base.Xml "

Відрегулюйте політику WDAC до бінарного формату:

Convertfrom -cipolicy -xmlfilepath $ merggedxml -binaryfilepath $ merggedbin

Тепер вам потрібно скопіювати посвідчення політики з <PolicyID> Розділи файлів MENGED_BASE.XML і використовуйте це ім'я як ім'я файлу CIP.

Створіть додаткову політику

Тепер вам потрібно створити політику WDAC, яка визначатиме додаткові правила.

Починаючи з версії Windows 10 1903, а також у Windows 11 та Windows Server 2022 WDAC підтримує до 32 активних політик на одному пристрої.

Наприклад, ми хочемо дозволити запускати програми з надійних способів (каталоги програмних файлів та з певного файлового сервера):

$ Suplementalxmlpolicy = "c: \ ps \ wdac \ suplemental.Xml "
$ Supraplementabin = "C: \ ps \ wdac \ suplemental.Бункер "
$ Правила = new -cipolcyrule -filepathrule "C: \ Program Files \*"
$ Правила += new -cipolicyrule -filepathrule "C: \ Program Files (x86) \*"
$ Правила += new-cipolcyrule -filepathrule "\\ msk-fso1 \ tools \*"
НОВА -CIPOLACY –filepath $ suplementalxmlpolpol -Crules $ Правила -userpes
SET -CIPOLICYIDINFO -filePath $ Додатково.Xml "
Convertfrom -cipolicy -xmlfilepath $ uxpementalxmlpolcy $ доповнення

Перейменуйте файл відповідно до політики ідентифікатора в розділі Додатковий файл.XML.

Щоб застосувати дві політики WDAC, потрібно скопіювати обидва файли бін у каталог C: \ Windows \ system32 \ codeIntegrity \ cipolicies \ Active

Перезавантажте комп'ютер, щоб застосувати політику WDAC або виконати наступну команду PowerShell, щоб застосувати політику CI без перезавантаження:

Invoke -cimmethod -namespace root \ microsoft \ windows \ ci -classname ps_updateandcomparecipolicy -methodname update -arguments @filepath = 'c: \ windows \ system32 \ codeintegrity \ cipolicies \ active \ guid.Cip '

Перевірте політику в режимі аудиту

Перевірте політику WDAC в режимі аудиту. Визначте, чи є події блокуючих додатків, яким слід дозволити користуватися користувачами. При необхідності створіть додаткових політиків.

Щоб відключити режим аудиту для політики WDAC, використовуйте команду:

Set -Cruleoption -filepath $ wdacxmlpololete -delete -option 3

Розподіл політики WDAC на пристрої

Ви можете розповсюдити файл за допомогою політики WDAC на інші пристрої компанії, використовуючи Intune, Microsoft Endpoint Manager, групові політики або сценарії. WDAC вже вбудований у Windows, і вам не доведеться платити за це як частину підписки на Intune.

Для створення та редагування дозволу та заборони правил WDAC ви можете використовувати спеціальну програму Майстер політики WDAC (https: // webapp-wdac-wizard.Azurewebsites.NET/). Це сучасний додаток APPX, що надається у формі файлу MSIX.

В інтерфейсі магістра ви можете включити/вимкнути параметри політики WDAC.

Використовуючи майстра політики управління програмами Windows Defender, ви можете редагувати правила. Наприклад, я додав до стандартної політики DefaultWinds_Enforced Правило, яке дозволяє запустити файл шпаклівки.Екзе.

Технологія WDAC є досить складною, і час споживає час під час впровадження, але при належній настройці вона забезпечує високий рівень захисту від Windows від запуску третій партії, вірусів та шифрування. Політика WDAC застосовується до всього пристрою, а не користувача. Якщо вам потрібно застосувати додаткові правила для користувачів, Microsoft рекомендує використовувати Applocker.