Impor políticas de Controlo de Aplicações do Windows Defender (WDAC)

Agora, deverá ter uma ou mais políticas de Controlo de Aplicações do Windows Defender amplamente implementadas no modo de auditoria. Analisou os eventos recolhidos dos dispositivos com essas políticas e está pronto para impor. Utilize este procedimento para preparar e implementar as suas políticas WDAC no modo de imposição.

Converter a política de base do WDAC da auditoria para imposta

Conforme descrito em cenários comuns de implementação do Controlo de Aplicações do Windows Defender, vamos utilizar o exemplo da Lamna Healthcare Company (Lamna) para ilustrar este cenário. A Lamna está a tentar adotar políticas de aplicação mais fortes, incluindo a utilização do controlo de aplicações para impedir que aplicações indesejadas ou não autorizadas sejam executadas nos respetivos dispositivos geridos.

Alice Pena é a líder da equipa de TI responsável pela implementação da Lamna no WDAC.

A Alice criou e implementou anteriormente uma política para os dispositivos totalmente geridos da organização. Atualizaram a política com base nos dados de eventos de auditoria, conforme descrito em Utilizar eventos de auditoria para criar regras de política do WDAC e implementá-la novamente. Todos os eventos de auditoria restantes estão conforme esperado e Alice está pronta para mudar para o modo de imposição.

1. Inicialize as variáveis que serão utilizadas e crie a política imposta ao copiar a versão de auditoria.

   $EnforcedPolicyName = "Lamna_FullyManagedClients_Enforced"
   $AuditPolicyXML = $env:USERPROFILE+"\Desktop\Lamna_FullyManagedClients_Audit.xml"
   $EnforcedPolicyXML = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyName+".xml"
   cp $AuditPolicyXML $EnforcedPolicyXML
   

2. Utilize Set-CIPolicyIdInfo para dar à nova política um ID exclusivo e um nome descritivo. Alterar o ID e o nome permite-lhe implementar a política imposta lado a lado com a política de auditoria. Efetue este passo se planear proteger a política do WDAC ao longo do tempo. Se preferir substituir a política de auditoria no local, pode ignorar este passo.

   $EnforcedPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedPolicyXML -PolicyName $EnforcedPolicyName -ResetPolicyID
   $EnforcedPolicyID = $EnforcedPolicyID.Substring(11)
   

3. [Opcionalmente] Utilize Set-RuleOption para ativar as opções de regra 9 ("Menu Opções de Arranque Avançadas") e 10 ("Auditoria de Arranque com Falha"). A opção 9 permite que os utilizadores desativem a imposição do WDAC para uma única sessão de arranque a partir de um menu de pré-arranque. A opção 10 instrui o Windows a mudar a política de imposição para auditoria apenas se um controlador de modo kernel crítico de arranque estiver bloqueado. Recomendamos vivamente estas opções ao implementar uma nova política imposta na sua primeira cadência de implementação. Em seguida, se não forem encontrados problemas, pode remover as opções e reiniciar a implementação.

   Set-RuleOption -FilePath $EnforcedPolicyXML -Option 9
   Set-RuleOption -FilePath $EnforcedPolicyXML -Option 10
   

4. Utilize Set-RuleOption para eliminar a opção de regra do modo de auditoria, que altera a política para a imposição:

   Set-RuleOption -FilePath $EnforcedPolicyXML -Option 3 -Delete
   

5. Utilize ConvertFrom-CIPolicy para converter a nova política WDAC em binário:

   Observação

   Se não utilizou -ResetPolicyID no Passo 2 acima, tem de substituir $EnforcedPolicyID no seguinte comando pelo atributo PolicyID encontrado no XML da política base.

   $EnforcedPolicyBinary = $env:USERPROFILE+"\Desktop\"+$EnforcedPolicyID+".cip"
   ConvertFrom-CIPolicy $EnforcedPolicyXML $EnforcedPolicyBinary
   

Efetuar cópias de quaisquer políticas suplementares necessárias para utilizar com a política de base imposta

Uma vez que a política imposta recebeu um PolicyID exclusivo no procedimento anterior, tem de duplicar todas as políticas suplementares necessárias para utilizar com a política imposta. As políticas suplementares herdam sempre o modo auditoria ou imposição da política base que modificam. Se não tiver reposto o PolicyID da política de base de imposição, pode ignorar este procedimento.

1. Inicialize as variáveis que serão utilizadas e crie uma cópia da política suplementar atual. Também serão utilizadas algumas variáveis e ficheiros do procedimento anterior.

   $SupplementalPolicyName = "Lamna_Supplemental1"
   $CurrentSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Audit.xml"
   $EnforcedSupplementalPolicy = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_Enforced.xml"
   

2. Utilize Set-CIPolicyIdInfo para dar à nova política suplementar um ID exclusivo e um nome descritivo e altere a política de base a complementar.

   $SupplementalPolicyID = Set-CIPolicyIdInfo -FilePath $EnforcedSupplementalPolicy -PolicyName $SupplementalPolicyName -SupplementsBasePolicyID $EnforcedPolicyID -BasePolicyToSupplementPath $EnforcedPolicyXML -ResetPolicyID
   $SupplementalPolicyID = $SupplementalPolicyID.Substring(11)
   

   Observação

   Se Set-CIPolicyIdInfo não produzir o novo valor PolicyID na sua versão do Windows 10, terá de obter diretamente o valor PolicyId do XML.

3. Utilize ConvertFrom-CIPolicy para converter a nova política suplementar do Controlo de Aplicações do Windows Defender em binário:

   $EnforcedSuppPolicyBinary = $env:USERPROFILE+"\Desktop\"+$SupplementalPolicyName+"_"+$SupplementalPolicyID+".xml"
   ConvertFrom-CIPolicy $EnforcedSupplementalPolicy $EnforcedSuppPolicyBinary
   

4. Repita os passos acima se tiver outras políticas suplementares para atualizar.

Implementar a política imposta e as políticas suplementares

Agora que a política de base está no modo imposto, pode começar a implementá-la nos pontos finais geridos. Para obter informações sobre a implementação de políticas, veja Implementar políticas de Controlo de Aplicações do Windows Defender (WDAC).