Sugestões de Administrador do WDAC & Problemas Conhecidos

Observação

Algumas capacidades do Controlo de Aplicações do Windows Defender só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Este artigo aborda sugestões e truques para administradores e problemas conhecidos com o Controlo de Aplicações do Windows Defender (WDAC). Teste esta configuração no laboratório antes de a ativar na produção.

Localizações do ficheiro de política WDAC

Encontram-se várias políticas WDAC de formato de política nas seguintes localizações, consoante a política esteja ou não assinada e o método de implementação de políticas utilizado.

  • <Volume> do SO\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId GUID}.cip
  • <Partição> do Sistema EFI\Microsoft\Boot\CiPolicies\Active\{PolicyId GUID}.cip

O valor de {PolicyId GUID} é exclusivo pela política e definido no XML da política com o <elemento PolicyId> .

Para políticas WDAC de formato de política única, além das duas localizações anteriores, procure também um ficheiro chamado SiPolicy.p7b nas seguintes localizações:

  • <Partição> do Sistema EFI\Microsoft\Boot\SiPolicy.p7b
  • <Volume> do SO\Windows\System32\CodeIntegrity\SiPolicy.p7b

Observação

Uma política WDAC de formato de política múltipla que utilize o GUID {A244370E-44C9-4C06-B551-F6016E563076} de formato de política única pode existir em qualquer uma das localizações do ficheiro de política.

Ordem de Precedência da Regra de Ficheiro

Quando o motor WDAC avalia ficheiros relativamente ao conjunto ativo de políticas no dispositivo, as regras são aplicadas pela seguinte ordem. Assim que um ficheiro encontrar uma correspondência, o WDAC deixa de ser processado.

  1. Regras de negação explícitas – um ficheiro é bloqueado se existir uma regra de negação explícita para o mesmo, mesmo que sejam criadas outras regras para tentar permitir. As regras de negação podem utilizar qualquer nível de regra. Utilize o nível de regra mais específico prático ao criar regras de negação para evitar bloquear mais do que pretende.

  2. Regras de permissão explícitas – se existir uma regra de permissão explícita para o ficheiro, o ficheiro é executado.

  3. Em seguida, o WDAC verifica o atributo expandido do Instalador Gerido (EA) ou o EA do Gráfico de Segurança Inteligente (ISG) no ficheiro. Se existir um EA e a política ativar a opção correspondente, o ficheiro é permitido.

  4. Por fim, o WDAC faz uma chamada na cloud para o ISG para obter reputação sobre o ficheiro, se a política ativar a opção ISG.

  5. Qualquer ficheiro não permitido por uma regra explícita ou baseado em ISG ou MI é bloqueado implicitamente.

Problemas conhecidos

Falha na paragem de arranque (ecrã azul) ocorre se estiverem ativas mais de 32 políticas

Até aplicar a atualização de segurança do Windows disponibilizada em ou depois de 9 de abril de 2024, o seu dispositivo está limitado a 32 políticas ativas. Se o número máximo de políticas for excedido, os ecrãs azuis do dispositivo referenciam ci.dll com um valor de verificação de erros de 0x0000003b. Considere este limite máximo de contagem de políticas ao planear as suas políticas WDAC. Todas as políticas de caixa de entrada do Windows que estejam ativas no dispositivo também contam para este limite. Para remover o limite máximo de políticas, instale a atualização de segurança do Windows disponibilizada em ou depois de 9 de abril de 2024 e, em seguida, reinicie o dispositivo. Caso contrário, reduza o número de políticas no dispositivo para permanecer abaixo das 32 políticas.

Nota: O limite de políticas não foi removido no Windows 11 21H2 e permanecerá limitado a 32 políticas.

As políticas do modo de auditoria podem alterar o comportamento de algumas aplicações ou causar falhas de aplicações

Embora o modo de auditoria WDAC tenha sido concebido para evitar o impacto nas aplicações, algumas funcionalidades estão sempre ativadas/sempre impostas com qualquer política WDAC que ative a integridade do código do modo de utilizador (UMCI) com a opção 0 Ativada:UMCI. Eis uma lista de alterações conhecidas do sistema no modo de auditoria:

  • Alguns anfitriões de script podem bloquear código ou executar código com menos privilégios mesmo no modo de auditoria. Veja Imposição de scripts com o WDAC para obter informações sobre comportamentos de anfitrião de scripts individuais.
  • Opção 19 Ativada: a Segurança de Código Dinâmico é sempre imposta se qualquer política UMCI incluir essa opção. Veja WDAC e .NET.

As imagens nativas de .NET podem gerar eventos de bloco falsos positivos

Em alguns casos, os registos de integridade do código em que os erros e avisos do Controlo de Aplicações do Windows Defender são escritos incluem eventos de erro para imagens nativas geradas para assemblagens .NET. Normalmente, os blocos de imagens nativos são funcionalmente benignos, uma vez que uma imagem nativa bloqueada reverte para a assemblagem correspondente e o .NET regenera a imagem nativa na próxima janela de manutenção agendada.

As assinaturas que utilizam criptografia de curva elíptica (ECC) não são suportadas

As regras baseadas no signatário do WDAC só funcionam com criptografia RSA. Os algoritmos ECC, como ECDSA, não são suportados. Se o WDAC bloquear um ficheiro baseado em assinaturas ECC, os eventos de informações de assinatura 3089 correspondentes mostram VerificationError = 23. Em vez disso, pode autorizar os ficheiros através de regras de atributos de ficheiros ou hash ou através de outras regras de signatário se o ficheiro também estiver assinado com assinaturas através de RSA.

Os instaladores MSI são tratados como graváveis pelo utilizador no Windows 10 quando permitidos pela regra FilePath

Os ficheiros do instalador MSI são sempre detetados como graváveis pelo utilizador no Windows 10 e no Windows Server 2022 e anterior. Se precisar de permitir ficheiros MSI com regras filePath, tem de definir a opção 18 Desativado:Runtime FilePath Rule Protection na sua política WDAC.

As instalações MSI iniciadas diretamente a partir da Internet são bloqueadas pelo WDAC

Falha ao instalar .msi ficheiros diretamente da Internet para um computador protegido pelo WDAC. Por exemplo, este comando falha:

msiexec -i https://download.microsoft.com/download/2/E/3/2E3A1E42-8F50-4396-9E7E-76209EA4F429/Windows10_Version_1511_ADMX.msi

Como solução, transfira o ficheiro MSI e execute-o localmente:

msiexec -i c:\temp\Windows10_Version_1511_ADMX.msi

Arranque lento e desempenho com políticas personalizadas

O WDAC avalia todos os processos que são executados, incluindo os processos do Windows na caixa de entrada. Pode causar tempos de arranque mais lentos, desempenho degradado e possivelmente problemas de arranque se as políticas não forem baseadas nos modelos WDAC ou não confiarem nos signatários do Windows. Por estes motivos, deve utilizar os modelos base do WDAC sempre que possível para criar as suas políticas.

Considerações sobre a política de Etiquetagem de AppId

As políticas de Etiquetagem AppId que não são criadas com base nos modelos base do WDAC ou que não permitem os signatários da caixa de entrada do Windows podem causar um aumento significativo nos tempos de arranque (~2 minutos).

Se não conseguir adicionar os signatários do Windows à lista de permissões ou criar os modelos base do WDAC, adicione a seguinte regra às suas políticas para melhorar o desempenho:

Permitir todas as dlls na política.

Permitir todos os ficheiros dll na política xml.

Uma vez que as políticas de Etiquetagem AppId são avaliadas, mas não podem etiquetar ficheiros dll, esta regra abreviada a avaliação dll e melhora o desempenho da avaliação.