Table of Contents

Întărește Windows cu Windows Defender Application Control WDAC

Note:

  • Windows Server 2016/2019 sau orice înainte de versiunea 1903 acceptă doar o singură politică moștenită la un moment dat.
  • Ediția Windows Server Core acceptă WDAC, dar unele componente care depind de AppLocker nu vor funcționa
  • Vă rugăm să citiți Recommended Reading înainte de implementare sau chiar testare.

O listă de scripturi și instrumente pe care le utilizează această colecție:

- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy

Au fost luate în considerare configurații suplimentare din:

- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control

Explicație:

XML vs. BIN:

  • Mai simplu spus, politicile “XML” sunt pentru aplicarea la o mașină locală, iar fișierele “BIN” sunt pentru aplicarea lor cu fie Group Policy or Microsoft Intune Deși puteți utiliza politicile XML, BIN sau CIP într-o implementare locală, în general, ar trebui să rămâneți la XML acolo unde este posibil și mai ales atunci când auditați sau depanați.

Descrieri politici:

  • Politicile implicite:
    • Politicile „Default” folosesc numai caracteristicile implicite disponibile în WDAC-Toolkit.
  • Politicile recomandate:
    • Politicile „Recomandate” folosesc caracteristicile implicite, precum și cele recomandate de Microsoft blocks and driver block reguli.
  • Politicile de audit:
    • Politicile „Audit”, doar înregistrați excepțiile de la reguli. Acesta este pentru testare în mediul dumneavoastră, astfel încât să puteți modifica politicile, după bunul plac, pentru a se potrivi nevoilor mediului dumneavoastră.
  • Politicile aplicate:
    • Politicile „Implementate” nu vor permite nicio excepție de la reguli, aplicațiile, driverele, dll-urile etc. vor fi blocate dacă nu se conformează.

Politici disponibile:

  • XML:
    • Numai audit:
      • WDAC_V1_Default_Audit_{versiune}.xml
      • WDAC_V1_Recommended_Audit_{versiune}.xml
    • Implementat:
      • WDAC_V1_Default_Enforced_{versiune}.xml
      • WDAC_V1_Recommended_Enforced_{versiune}.xml
  • COS:
    • Numai audit:
      • WDAC_V1_Default_Audit_{versiune}.bin
      • WDAC_V1_Recommended_Audit_{versiune}.bin
    • Implementat:
      • WDAC_V1_Default_Enforced_{versiune}.bin
      • WDAC_V1_Recommended_Enforced_{versiune}.bin
  • CIP:
    • Numai audit:
      • WDAC_V1_Default_Audit\{uid}.cip
      • WDAC_V1_Recommended_Audit\{uid}.cip
    • Implementat:
      • WDAC_V1_Default_Enforced\{uid}.cip
      • WDAC_V1_Recommended_Enforced\{uid}.cip

Actualizați următoarea linie din script pentru a utiliza politica pe care o doriți local:

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Alternatively, you may use Group Policy or Microsoft Intune to enforce the WDAC policies.

Auditing:

You can view the WDAC event logs in event viewer under:

Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational

How to run the script:

Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1