Implementar políticas de Controlo de Aplicações do Windows Defender com a Política de Grupo

Observação

Algumas capacidades do Controlo de Aplicações do Windows Defender (WDAC) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade da funcionalidade Controlo de Aplicações do Windows Defender.

Importante

Devido a um problema conhecido, deve ativar sempre novas políticas de Base WDAC assinadascom um reinício nos sistemas com a integridade da memória ativada. Em vez da Política de Grupo, implemente novas políticas de Base WDAC assinadas através de script e ative a política com um reinício do sistema.

Este problema não afeta as atualizações às políticas de Base assinadas que já estejam ativas no sistema, na implementação de políticas não assinadas ou na implementação de políticas suplementares (assinadas ou não assinadas). Também não afeta as implementações em sistemas que não estão a executar a integridade da memória.

As políticas de Controlo de Aplicações do Windows Defender (esquema de política anterior a 1903) podem ser facilmente implementadas e geridas com a Política de Grupo.

Importante

A implementação baseada na Política de Grupo das políticas de Controlo de Aplicações do Windows Defender só suporta políticas WDAC de formato de política única. Para utilizar o WDAC em dispositivos com o Windows 10 1903 e superior ou Windows 11, recomendamos que utilize um método alternativo para a implementação de políticas.

Agora, deverá ter uma política WDAC convertida em formato binário. Caso contrário, siga os passos descritos em Implementar políticas de Controlo de Aplicações do Windows Defender (WDAC).

O procedimento seguinte explica como implementar uma política WDAC denominada SiPolicy.p7b numa UO de teste chamada PCs Preparados para WDAC através de um GPO chamado Teste GPO da Contoso.

Para implementar e gerir uma política de Controlo de Aplicações do Windows Defender com a Política de Grupo:

  1. Num computador cliente no qual o RSAT está instalado, abra o GPMC ao executar GPMC.MSC

  2. Crie um novo GPO: clique com o botão direito do rato numa UO e, em seguida, selecione Criar um GPO neste domínio e Ligue-o aqui.

    Observação

    Pode utilizar qualquer nome de UO. Além disso, a filtragem de grupos de segurança é uma opção quando considera diferentes formas de combinar políticas WDAC (ou mantê-las separadas), conforme discutido em Planear a gestão de políticas de ciclo de vida do Controlo de Aplicações do Windows Defender.

    Gestão de Políticas de Grupo, crie um GPO.

  3. Nomeie o novo GPO. Você pode escolher qualquer nome.

  4. Abra o Editor de Gestão de Políticas de Grupo: clique com o botão direito do rato no novo GPO e, em seguida, selecione Editar.

  5. No GPO selecionado, navegue para Configuração do Computador\Modelos Administrativos\Sistema\Device Guard. Clique com o botão direito do rato em Implementar Controlo de Aplicações do Windows Defender e, em seguida, selecione Editar.

    Edite a Política de Grupo para o Controlo de Aplicações do Windows Defender.

  6. Na caixa de diálogo Implementar Controlo de Aplicações do Windows Defender , selecione a opção Ativado e, em seguida, especifique o caminho de implementação da política WDAC.

    Nesta definição de política, especifique o caminho local onde a política existirá em cada computador cliente ou um caminho UNC (Universal Naming Convention) que os computadores cliente procurarão para obter a versão mais recente da política. Por exemplo, o caminho para SiPolicy.p7b através dos passos descritos em Implementar políticas de Controlo de Aplicações do Windows Defender (WDAC) seria %USERPROFILE%\Desktop\SiPolicy.p7b.

    Observação

    Este ficheiro de política não precisa de ser copiado para todos os computadores. Em vez disso, você pode copiar as políticas do WDAC em um compartilhamento de arquivos a que todas as contas do computador tenham acesso. Todas as políticas selecionadas aqui são convertidas em SIPolicy.p7b quando ele é implantado em computadores cliente individuais.

    Política de Grupo denominada Implementar Controlo de Aplicações do Windows Defender.

    Observação

    Poderá ter reparado que a definição de GPO faz referência a um ficheiro .p7b, mas a extensão de ficheiro e o nome do binário da política não importam. Independentemente do nome do binário da sua política, todos eles são convertidos em SIPolicy.p7b quando aplicados aos computadores cliente com o Windows 10. Se estiver a implementar diferentes políticas WDAC em diferentes conjuntos de dispositivos, poderá querer atribuir um nome amigável a cada uma das suas políticas WDAC e permitir que o sistema converta os nomes das políticas para garantir que as políticas são facilmente distinguidas quando vistas numa partilha ou noutro repositório central.

  7. Feche o Editor de Gestão de Políticas de Grupo e, em seguida, reinicie o computador de teste do Windows. Reiniciar o computador atualiza a política do WDAC.