Hướng dẫn đầy đủ về Windows Defender Application Control (WDAC)

windows Defender Kiểm soát ứng dụng (WDAC) Nó đã trở thành một trong những yếu tố then chốt trong chiến lược tăng cường bảo mật Windows dành cho các công ty muốn vượt ra ngoài phạm vi chống virus đơn thuần và triển khai một hệ thống bảo mật mạnh mẽ hơn. Kiểm soát ứng dụng thông minh trong Windows 11Chúng ta không chỉ nói về việc "không cho phép chạy phần mềm độc hại", mà là về việc quyết định chính xác những tập lệnh, trình điều khiển và ứng dụng nào được phép chạy trên mỗi máy. Được cấu hình đúng cách, WDAC có thể ngăn chặn nhiều kỹ thuật tấn công hiện đại, nhưng nó cũng có thể gây ra những vấn đề nghiêm trọng nếu được triển khai mà không có kế hoạch cẩn thận.

Trong những dòng sau đây bạn sẽ tìm thấy một hướng dẫn rất đầy đủ về WDAC là gì, nó hoạt động như thế nào, nó khác với AppLocker ra sao, các định dạng chính sách của nó là gì, nó được ký và triển khai như thế nào, và nó thường gặp phải những vấn đề gì? và cách sử dụng nó trong cả các kịch bản Windows truyền thống và các thiết bị cụ thể như HoloLens 2. Chúng tôi sẽ kết hợp tất cả các khái niệm mà bạn đã thấy rải rác trên các nguồn khác nhau của Microsoft và cộng đồng, nhưng được giải thích bằng các thuật ngữ khác nhau và với cách tiếp cận thực tế, để bạn có thể quyết định xem WDAC có phù hợp với môi trường của mình hay không và nếu có, làm thế nào để bắt đầu mà không gây ra bất kỳ lỗi nào.

WDAC (Windows Defender Application Control) là gì?

WDAC là một công nghệ điều khiển ứng dụng. Được giới thiệu cùng với Windows 10, tính năng này được thiết kế để xác định chính xác mã nào có thể chạy trên thiết bị. Các quy tắc được áp dụng ở cấp hệ thống, chứ không phải cấp người dùng, vì vậy chúng ảnh hưởng đến bất kỳ ai đăng nhập vào máy. Ý tưởng cơ bản rất đơn giản: bất cứ thứ gì không được cho phép rõ ràng đều bị chặn.

Để quyết định xem một việc gì đó được cho phép hay bị từ chối, WDAC có thể dựa vào... nhiều thuộc tính tệp hoặc ngữ cảnh:

• Đặc điểm của chứng chỉ ký mã (Cơ quan cấp chứng chỉ hành nghề, đối tượng, v.v.).
• Siêu dữ liệu nhị phân đã ký (tên tệp gốc, phiên bản) hoặc trực tiếp là mã băm của tệp.
• Uy tín của kho lưu trữ theo Biểu đồ Bảo mật Thông minh (ISG) của Microsoft.
• Nguồn gốc của công trình lắp đặtsử dụng khái niệm “trình cài đặt được quản lý” (ví dụ: phần mềm được triển khai bởi Intune hoặc SCCM).
• Đường dẫn khởi chạy của tệp thực thi hoặc DLLCó sẵn từ Windows 10 phiên bản 1903.
• Quy trình phụ huynh đã khởi chạy tệp nhị phân.

Các chính sách của WDAC hoạt động theo cả hai cách: chế độ người dùng (UMCI) và chế độ hạt nhânDo đó, chúng không chỉ có thể kiểm soát các tập lệnh và tệp thực thi (EXE) mà còn cả trình điều khiển và một số thành phần hệ thống rất nhạy cảm. Chính chiều sâu này là điều khiến WDAC mạnh mẽ hơn nhiều so với các phương pháp chỉ kiểm soát ở mức độ bề mặt như AppLocker.

Sự khác biệt giữa WDAC và AppLocker

AppLocker đã tồn tại nhiều năm nay. Và nó vẫn hữu ích, nhưng Microsoft coi nó như một lớp bảo mật bổ sung hơn là giải pháp chính để kiểm soát ứng dụng. WDAC được thiết kế như một rào cản bảo mật "cứng rắn", trong khi AppLocker linh hoạt và dễ dãi hơn.

Sự khác biệt chính giữa WDAC và AppLocker âm thanh:

• Khu vực ứng dụngWDAC áp dụng cho toàn bộ thiết bị; AppLocker cho phép áp dụng các chính sách khác nhau cho từng người dùng hoặc nhóm.
• Độ sâu kiểm soátWDAC có thể ảnh hưởng đến trình điều khiển, DLL và các thành phần nhân hệ điều hành; AppLocker tập trung vào các tập tin EXE, tập lệnh, trình cài đặt và hầu như không có tác dụng gì khác.
• Mô hình tin cậyWDAC được thiết kế cho phương pháp danh sách trắng "không tin tưởng" (chặn các hoạt động trái phép), trong khi AppLocker thường được sử dụng như một danh sách đen.
• Khả năng tương thíchAppLocker hữu ích nếu bạn có môi trường hỗn hợp với các phiên bản Windows cũ hơn; WDAC hoạt động tốt trên các phiên bản Windows 10/11 và Server hiện đại.

Microsoft khuyến nghị WDAC là giải pháp chính. Về việc kiểm soát ứng dụng, điều đó không có nghĩa là AppLocker sẽ biến mất. Trên thực tế, một sự kết hợp rất phổ biến trong các công ty lâu đời là sử dụng WDAC làm nền tảng bảo mật vững chắc và thêm AppLocker để tinh chỉnh các hạn chế cho từng người dùng hoặc để kiểm soát các hành vi cụ thể (ví dụ: chặn). PowerShell (Dành cho người dùng thông thường).

Định dạng chính sách WDAC: đơn lẻ so với nhiều định dạng

Chính sách WDAC thực chất chỉ là một tập tin XML. Sau đó, nó được biên dịch thành một tập tin nhị phân có chữ ký (.cip hoặc .p7b) mà Windows sẽ diễn giải khi khởi động hoặc khi làm mới các chính sách. Cấu trúc của các chính sách này đã phát triển, và ngày nay có hai định dạng cùng tồn tại:

1. Định dạng chính sách đơn lẻ

Trong mô hình này chỉ có một chính sách đang hoạt động cho mỗi thiết bịĐây là phương pháp lâu đời nhất và cũng là phương pháp mang lại khả năng tương thích tốt nhất:

• Nó hoạt động trên mọi phiên bản Windows 10 và trên Windows Server 2016 và 2019.
• Tệp cuối cùng có tên là SiPolicy.p7b và được lưu trữ trong:
  <EFI System Partition>\Microsoft\Boot\SiPolicy.p7b
<OS Volume>\Windows\System32\CodeIntegrity\SiPolicy.p7b
• Đây là định dạng mà Group Policy sử dụng theo mặc định.

2. Định dạng nhiều chính sách

Với mô hình này, bạn có thể có được một số chính sách đồng thời Chúng kết hợp lại để tạo thành bộ quy tắc hiệu quả. Nó cung cấp độ chi tiết cao hơn nhiều, nhưng đòi hỏi các hệ thống hiện đại:

• Yêu cầu hệ điều hành Windows 10/11 phiên bản 1903 trở lên.
• Trước bản cập nhật tháng 4 năm 2024, giới hạn thực tế là khoảng 32 hợp đồng bảo hiểm đang hoạt động; kể từ ngày đó trở đi, giới hạn này đã được nâng lên.
• Các tệp được lưu dưới dạng {PolicyId GUID}.cip trong:
  <OS Volume>\Windows\System32\CodeIntegrity\CiPolicies\Active\
<EFI System Partition>\Microsoft\Boot\CiPolicies\Active\

Trong kế hoạch này có hai loại chính sách:

• Chính sách cơ bảnChúng là "nền tảng" mà mọi thứ khác được xây dựng trên đó. Chúng xác định khuôn khổ tổng thể (ví dụ: chỉ có Windows + Store + trình điều khiển đã được ký).
• Chính sách bổ sungChúng mở rộng hoặc tinh chỉnh một chính sách cơ bản mà không sửa đổi nó. Chúng được sử dụng để thêm các ngoại lệ, các quy tắc cụ thể cho một bộ phận, v.v.

Theo logic thông thường, chính sách hà khắc nhất sẽ luôn thắng thế.Nếu một lớp cơ bản cho phép điều gì đó nhưng một lớp bổ sung lại từ chối, thì một khóa sẽ được tạo ra. Điều này giúp xây dựng các kiến ​​trúc rất linh hoạt, nhưng đồng thời cũng khiến việc bảo trì trở nên phức tạp hơn.

Các mẫu WDAC cơ bản và chế độ tin cậy

Để tránh phải bắt đầu lại từ đầu, Windows bao gồm một số tính năng. mẫu chính sách trong lộ trình %windir%\schemas\CodeIntegrity\ExamplePoliciesCác công cụ như WDAC Wizard cũng cho phép bạn chọn chúng một cách trực quan. Những thiết bị được sử dụng phổ biến nhất là:

• Chế độ Windows mặc địnhCấp phép cho các tệp nhị phân hệ điều hành, ứng dụng Microsoft Store, Office 365, OneDrive, Teams và trình điều khiển tương thích với Windows. Hàng sắt thép.
• Cho phép Chế độ MicrosoftBao gồm tất cả những điều trên và hơn thế nữa. Tất cả phần mềm đều được Microsoft ký điện tử..
• Chế độ đã ký và đáng tin cậy: thêm vào phần trên các tập tin có uy tín tốt theo đánh giá của ISG từ Microsoft.

Tùy thuộc vào mức độ bảo mật bạn yêu cầu, bạn có thể chọn mẫu nghiêm ngặt hơn (Chế độ Windows mặc định) hoặc mẫu thân thiện hơn với người dùng (Đã ký và có uy tín). Trong môi trường kinh doanh nhạy cảm, thường nên bắt đầu với mẫu mặc định. Chế độ Windows mặc định ở chế độ kiểm toán và bổ sung các quy tắc tin cậy khi nhu cầu thực tế được xác định.

WDAC trên HoloLens 2 và tên các gói phần mềm.

HoloLens 2 sử dụng WDAC theo cách rất giống với hệ điều hành Windows 10 truyền thống.Nhưng cần lưu ý một số điểm khác biệt. Một trong những điểm quan trọng là nhiều biện pháp kiểm soát dựa trên... Tên họ gói (PFN) trong số các ứng dụng UWP đã được cài đặt.

Ví dụ, trong HoloLens, WDAC được sử dụng để: chặn việc khởi chạy các ứng dụng cụ thể Giữ cho chúng hiển thị trên giao diện. Không giống như chế độ kiosk, nơi giao diện người dùng ẩn các ứng dụng bị cấm, trong WDAC bạn vẫn có thể thấy biểu tượng của chúng, nhưng khi bạn cố gắng chạy chúng thì chúng sẽ không khởi chạy.

Danh sách ứng dụng và tên nhóm gói trong HoloLens 2

Trong nhiều môi trường doanh nghiệp, các chính sách như sau: newPolicy.xml Thêm các quy tắc dựa trên PFN cho các ứng dụng chỉ tồn tại trên HoloLens. Một số ví dụ điển hình về các ứng dụng tích hợp là:

• Trình xem 3D: Microsoft.Microsoft3DViewer_8wekyb3d8bbwe
• Trình cài đặt ứng dụng: Microsoft.DesktopAppInstaller_8wekyb3d8bbwe (Việc chặn chỉ ngăn việc sử dụng ứng dụng đó, chứ không ngăn việc cài đặt từ App Store hoặc MDM)
• Lịch và Thư: microsoft.windowscommunicationsapps_8wekyb3d8bbwe
• Máy ảnh: HoloCamera_cw5n1h2txyewy
• Cortana: Microsoft.549981C3F5F10_8wekyb3d8bbwe
• Hướng dẫn động 365: Microsoft.Dynamics365.Guides_8wekyb3d8bbwe
• Hỗ trợ từ xa Dynamics 365: Microsoft.MicrosoftRemoteAssist_8wekyb3d8bbwe
• Trung tâm phản hồi: Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe
• File Explorer: c5e2524a-ea46-4f67-841f-6a9465d9d515_cw5n1h2txyewy
• Microsoft Store: Microsoft.WindowsStore_8wekyb3d8bbwe
• Hình ảnh: Microsoft.Windows.Photos_8wekyb3d8bbwe
• cấu hình: HolographicSystemSettings_cw5n1h2txyewy
• Mẹo: Microsoft.HoloLensTips_8wekyb3d8bbwe

Các chuỗi ký tự này được sử dụng trong chính sách WDAC. Để tạo ra các quy tắc cho phép hoặc từ chối ứng dụng UWP trên HoloLens. Trong môi trường được quản lý bởi Intune, thông thường người ta sẽ xuất các PFN này từ một thiết bị thử nghiệm rồi áp dụng chúng cho toàn bộ hệ thống.

Cách tìm tên họ gói (Package Family Name) của một ứng dụng

Nếu ứng dụng không có trong danh sách tài liệu tham khảo, bạn có thể lấy mã số PFN của ứng dụng đó bằng cách... Cổng thông tin thiết bị Windows Đã kết nối với HoloLens 2 có cài đặt ứng dụng:

1. cài đặt ứng dụng trong bài kiểm tra HoloLens 2.
2. Trên thiết bị, hãy vào Cài đặt > Cập nhật và bảo mật > Dành cho nhà phát triển và hoạt động Chế độ nhà phát triển y cổng thiết bị.
3. Kết nối với Cổng thiết bị từ trình duyệt trên cùng mạng và vào phần Lượt xem > Ứng dụng.
4. Trong mục ứng dụng đã cài đặt, chọn ứng dụng từ menu thả xuống.
5. Xác định vị trí trường PackageRelativeID.
6. Sao chép mọi thứ xuất hiện trước ký tự “!”Phần đó là Tên Họ Gói mà bạn sẽ sử dụng trong chính sách WDAC.

Sử dụng PowerShell để định vị các gói và quy trình

PowerShell là công cụ đa năng để chuẩn bị các chính sách WDAC.Đặc biệt là khi bạn cần tìm tên gói UWP trên một máy tính Windows 10 "thông thường". Một cách phổ biến để định vị ứng dụng là:

Ví dụ lệnh: $package1 = Get-AppxPackage -name *<NombreApp>*

Nếu bạn không nhớ chính xác tên gói, bạn có thể thử với người pha trò cho đến khi chúng ta tìm thấy anh ta. Ví dụ, để xác định vị trí Microsoft cạnh hiện đại:

Chỉ huy: Get-AppxPackage -name *edge*

Lệnh này có thể trả về nhiều kết quả, nhưng trong số đó bạn sẽ thấy tên gói đầy đủ Sau đó, bạn có thể tái sử dụng chúng trong các quy tắc WDAC hoặc các tập lệnh kiểm tra.

Chặn ứng dụng cụ thể: ví dụ với Microsoft Edge

Đôi khi, mục tiêu không phải là định nghĩa toàn bộ chiến lược danh sách trắng, mà là Chặn một tệp thực thi cụ thể mà bạn cho là có vấn đề.Một ví dụ điển hình là trình duyệt Microsoft Edge mới trong các môi trường mà việc sử dụng một trình duyệt khác của công ty là bắt buộc.

Trong những trường hợp đó, và để tránh lỗi với các ứng dụng chưa được kiểm thửcó thể thêm một cái nữa quy tắc từ chối trực tiếp Ví dụ về hệ nhị phân:

Ví dụ về quy tắc XML: <Deny FriendlyName="C:\Data\Programs FileRule" PackageVersion="65535.65535.65535.65535" FileName="msedge.exe" />

Hướng dẫn này, được nhúng trong tệp XML của chính sách, cho biết rằng bất kỳ tệp nào có tên msedge.exe Bất kỳ quyền nào phù hợp với ngữ cảnh của quy tắc đó sẽ bị chặn, bất kể các quyền khác có thể được suy ra từ các quy tắc tổng quát hơn.

Ký kết các chính sách của WDAC: khi nào và tại sao

Ký chính sách của WDAC Đây là bước khiến nó trở nên "gần như bất khả xâm phạm". Một khi chính sách đã được ký kết và áp dụng, được bảo vệ bởi Secure Boot, việc chỉ xóa tệp khỏi ổ đĩa là không đủ để vô hiệu hóa nó. Điều này tốt cho bảo mật, nhưng lại nguy hiểm nếu bạn không có quy trình cập nhật và khôi phục được xác định rõ ràng.

Bằng việc ký tên, bạn xác nhận rằng:

• Chính sách này không thể được sửa đổi nếu không sử dụng chứng chỉ được ủy quyền. trong chính sách đó (UpdatePolicySigners).
• Chỉ những tập tin nhị phân chính sách mà Windows có thể xác thực bằng mật mã mới được tải..
• Kẻ tấn công có quyền quản trị cục bộ sẽ gặp khó khăn hơn nhiều trong việc vô hiệu hóa WDAC.

Ngược lại, nếu xảy ra lỗi nghiêm trọng (ví dụ: chính sách đã ký của phân vùng EFI bị xóa), bạn có thể gặp phải vấn đề sau: Máy tính không khởi động cho đến khi chính sách hợp lệ được cài đặt lại thủ công.Đó là lý do tại sao người ta rất chú trọng đến việc thử nghiệm trong phòng thí nghiệm trước tiên.

Điều kiện tiên quyết để ký kết

Điều kiện tiên quyết Để ký các chính sách của WDAC:

• Thiết bị Đã được cấu hình với UEFI và Secure Boot được bật..
• Un chứng chỉ ký mã (được cấp từ CA công cộng hoặc do PKI nội bộ của bạn cấp).
• Xác định các quy tắc trong chính sách Điều đó cho phép chứng chỉ đó ký các phiên bản mới của chính sách.
• Các công cụ như SignTool.exe và các cmdlet WDAC trong PowerShell (ConvertFrom-CIPolicy, Add-SignerRule, Vv).

Quy trình làm việc điển hình là: tạo tệp XML, điều chỉnh các quy tắc, thêm người ký trong UpdatePolicySigner, loại bỏ tùy chọn chính sách chưa được ký, chuyển đổi sang dạng nhị phân, ký bằng... Dấu hiệuCông cụ và đổi tên kết quả thành {GUID}.cip Sử dụng PolicyId từ XML.

Triển khai WDAC: Chính sách nhóm (GPO), Intune, Tập lệnh và Công cụ

Việc triển khai WDAC cũng quan trọng không kém việc thiết kế một chính sách tốt.Cùng một chính sách có thể được quản lý theo nhiều cách khác nhau tùy thuộc vào công cụ quản lý bạn sử dụng.

Đối tượng chính sách nhóm (GPO)

Nếu bạn sử dụng Active Directory cổ điển, cách trực tiếp nhất là... nhóm GPO Trỏ đến một tệp chính sách ở định dạng duy nhất:

• Lộ trình chỉ thị: Equipo > Plantillas administrativas > Sistema > Device Guard > Deploy Windows Defender Application Control.
• Tại đó, bạn bật tùy chọn và chỉ định đường dẫn đến tệp chính sách (nó sẽ được chuyển đổi thành...) SiPolicy.p7b tự động).
• Sau khi áp dụng GPO, cần phải khởi động lại để chính trị có thể được kích hoạt.

Nhược điểm là Nó chỉ hỗ trợ định dạng chính sách đơn lẻ.Đối với các kiến ​​trúc có nhiều chính sách khác nhau, bạn phải sử dụng các tập lệnh hoặc công cụ chuyên dụng.

Intune và việc sử dụng CSPs

Trong môi trường hiện đại, phương pháp phổ biến nhất là triển khai WDAC thông qua... Trong giai điệuhoặc bằng cách sử dụng cấu hình Endpoint Protection hoặc thông qua Kiểm soát ứng dụng CSPPhương án linh hoạt nhất là phương án thứ hai:

• Một chính sách cấu hình tùy chỉnh được tạo bằng OMA-URI như sau:
  ./Vendor/MSFT/ApplicationControl/Policies//Policy
• Cái Tệp .bin/.cip được tạo từ XML.
• Nên đưa tùy chọn này vào chính sách. “Cập nhật chính sách mà không cần khởi động lại” (Tùy chọn 16) để tránh việc phải khởi động lại bắt buộc trong các bản cập nhật tương lai.

Mẫu Endpoint Protection của Intune cũng cho phép bạn nhanh chóng kích hoạt WDAC bằng cách kích hoạt "Chính sách kiểm soát tính toàn vẹn mã ứng dụng" và, tùy chọn, "Tin tưởng các ứng dụng có uy tín tốt". Cấu hình này dựa trên ISG, nhưng nó có hai nhược điểm: nó buộc phải khởi động lại và thường tạo ra nhiều sự cố không mong muốn nếu không được bổ sung thêm các quy tắc khác.

Các tập lệnh, CiTool và các phương pháp khác

Khi bạn không có sẵn MDM hoặc GPO, hoặc khi bạn muốn thực hiện các triển khai tùy chỉnh cao, Bạn luôn có kịch bản. và các công cụ cụ thể:

• CiTool.exe (cửa sổ 11 22H2+): Cho phép áp dụng và gỡ bỏ các chính sách WDAC bằng GUID từ dòng lệnh. lệnh.
• WMI: Có thể được sử dụng để áp dụng các chính sách theo một định dạng duy nhất trên các hệ thống cũ hơn.
• Sao chép trực tiếp vào các đường dẫn CodeIntegrity và phân vùng EFI.Đây là phương pháp thủ công hơn, thường được gói gọn trong các tập lệnh PowerShell.

Giám sát, kiểm tra và khắc phục sự cố

Trước khi buộc WDAC vào chế độ khóa, bạn phải sống trong chế độ kiểm toán và giám sát các quy trình xung đột như compattelrunner.exe.Đây không phải là một khuyến nghị "nhẹ nhàng": việc áp dụng một chính sách nghiêm ngặt mà không quan sát trước những lỗi phát sinh có thể làm sập các ứng dụng quan trọng... hoặc thậm chí ngăn không cho máy khởi động.

Kiểm tra xem WDAC có đang hoạt động hay không.

Có nhiều cách để kiểm tra trạng thái của WDAC:

• MINFO32Trong mục “Thông tin hệ thống”, có một trường gọi là “Trạng thái kiểm soát ứng dụng Windows Defender” cho biết liệu nó có bị vô hiệu hóa, ở chế độ kiểm tra hay đã được áp dụng hay không.
• Thư mục CodeIntegrity: Trong C:\Windows\System32\CodeIntegrity\ Bạn có thể xem liệu có SiPolicy.p7b (chính sách đơn lẻ) hoặc các tệp .cip dưới CiPolicies\Active.
• Nhật ký sự kiệnnhật ký Microsoft-Windows-CodeIntegrity/Operational Tập trung các sự kiện của WDAC.
• PowerShell: với
  Get-CimInstance -ClassName Win32_DeviceGuard -Namespace root\Microsoft\Windows\DeviceGuard | FL *codeintegrity*
  Bạn có thể kiểm tra, trong số những thứ khác, Trạng thái thực thi chính sách toàn vẹn mã chế độ người dùng (giá trị 2 = đã áp dụng).

Các sự kiện chính trong trình xem sự kiện

Nhật ký CodeIntegrity Nó là người bạn tốt nhất giúp bạn nắm được mọi diễn biến. Các ID quan trọng nhất là:

• 3076Tệp tin đáng lẽ đã bị chặn, nhưng đã được cho phép vì chính sách đang ở chế độ kiểm toán.
• 3077Tệp tin đã bị khóa ở chế độ ứng dụng.
• 3089 và các mã khác: chúng báo cáo tải trọng chính sách, lỗi, v.v.

Lọc theo 3076 Khi bạn đang kiểm thử trong quá trình kiểm toán, đây là một cách rất hiệu quả để xem những gì bạn sẽ làm hỏng nếu chuyển sang chế độ thực thi vào thời điểm đó.

Kiểm thử với các tệp thực thi đã ký và nội bộ

Trong nhiều trường hợp, người ta mong muốn rằng các ứng dụng nội bộ được ký bằng CA của công ty được WDAC cho phép. Quy trình điển hình sẽ như sau:

• Tạo ra một chứng chỉ ký mã nội bộ (và giữ an toàn).
• Ký tệp thực thi bằng SignTool.exe hoặc các công cụ tương đương.
• Trong Trình hướng dẫn WDAC, hãy thêm một quy tắc thuộc loại Nhà xuất bản Sử dụng tệp nhị phân đó làm tham chiếu và chọn các thuộc tính như Nhà phát hành và Nhà xuất bản.
• Nếu trình hướng dẫn cảnh báo rằng nó không thể lấy được một số thuộc tính, nó cho phép bạn tạo quy tắc cho thuộc tính đó. băm làm phương án dự phòng.
• Tạo chính sách ở chế độ kiểm toán, triển khai nó, xác minh trong nhật ký rằng tệp EXE đã ký được cho phép và phiên bản chưa ký sẽ được ghi lại như một khả năng bị chặn.

Tạo chính sách tùy chỉnh: đường cơ sở, quét và "ảnh mẫu"

Không phải lúc nào bắt đầu chỉ từ... cũng là một ý tưởng hay. Mẫu của MicrosoftTrong môi trường có nhiều phần mềm cũ hoặc phần mềm chuyên dụng, việc xây dựng chính sách từ một "ảnh mẫu" có thể thiết thực hơn: một máy tham chiếu đã cài đặt tất cả phần mềm của công ty.

Một cách tiếp cận rất phổ biến là:

• Chuẩn bị một đội dọn dẹp với tất cả các ứng dụng cần thiết đã được cài đặt.
• Thực thi các lệnh như sau:
  New-CIPolicy -MultiplePolicy -FilePath C:\temp\wdacpolicybaseline.xml -ScanPath C: -Level FilePublisher -UserPEs -Fallback Hash
• Hãy chờ (quá trình này có thể mất một lúc, tùy thuộc vào số lượng tệp).
• Mở tệp XML vừa tạo bằng Trình hướng dẫn WDAC, xem lại các tùy chọn (đảm bảo bạn đã chọn đúng các tùy chọn). Chế độ kiểm tra lúc đầu và Cập nhật mà không cần khởi động lại (đã kích hoạt) và dọn dẹp các quy tắc trùng lặp hoặc vô lý.

Các loại chính sách này thường có xu hướng rất lớn và hơi "bẩn"Do đó, trong nhiều trường hợp, việc dựa vào các mẫu chính thức (Chế độ Windows mặc định, v.v.) và thêm các quy tắc tin cậy cụ thể hoặc quét một phần sẽ thực tế hơn. Program Files y Program Files (x86):

Lệnh: New-CIPolicy -FilePath .\ProgramFiles.xml -ScanPath $env:ProgramFiles -Level Publisher -UserPEs -Fallback Hash
New-CIPolicy -FilePath .\ProgramFiles86.xml -ScanPath ${env:ProgramFiles(x86)} -Level Publisher -UserPEs -Fallback Hash

Sau đó bạn có thể hợp nhất XML (ví dụ: cấu hình cơ bản của Microsoft + quy tắc trình điều khiển bị khóa + quy tắc ứng dụng nội bộ) bằng cách sử dụng chính Trình hướng dẫn WDAC hoặc các lệnh cmdlet cụ thể.

Sử dụng kết hợp Managed Installer, ISG và AppLocker

WDAC Anh ấy không sống trên đảo.Tốt nhất là bạn nên tận dụng khả năng tích hợp với các thành phần khác của Windows để tránh phải liên tục cập nhật thủ công và để tích hợp các chiến lược nhằm... Quản lý tình trạng bảo mật ứng dụng.

• Trình cài đặt được quản lý (tùy chọn 13)Nếu bạn chọn tùy chọn này và xác định chính xác "trình cài đặt được quản lý" (ví dụ: dịch vụ Intune Management Extension đi kèm với chính sách AppLocker liên kết), WDAC sẽ tự động cho phép những gì trình cài đặt đó triển khai.
• Đồ thị bảo mật thông minh (tùy chọn 14)Điều này cho phép WDAC kiểm tra độ tin cậy của tập tin. Bất kỳ tập tin nào mà ISG coi là "đã biết và tốt" đều có thể được thực thi ngay cả khi không có quy tắc rõ ràng, giảm thiểu sự cản trở nhưng cũng làm giảm nhẹ mức độ bảo mật.
• Ứng dụng lockerNó có thể được sử dụng song song để tinh chỉnh hành vi người dùng, chặn các ứng dụng UWP cụ thể như... Netflix o Spotifyhoặc giới hạn quyền sử dụng PowerShell chỉ cho quản trị viên.

Điều quan trọng cần lưu ý là mặc dù các mẫu của Microsoft cho phép truy cập ứng dụng Store theo mặc định, việc chặn hoàn toàn Microsoft Store hoặc các ứng dụng Store cụ thể bằng WDAC thuần túy có thể phức tạp và dễ bị xâm phạm. Trên thực tế, AppLocker hoặc các chính sách Store cụ thể thường được sử dụng để kiểm soát chi tiết hơn.

Khôi phục và xóa các chính sách WDAC

Việc tháo gỡ thiết bị WDAC được lắp đặt kém chất lượng cũng khó khăn như việc lắp đặt nó. đặc biệt nếu các chính sách đã được ký kếtKhuyến nghị của Microsoft luôn là:

• Trước tiên, hãy triển khai chính sách thay thế (ví dụ: dựa trên...) AllowAll.xml) than kích hoạt tùy chọn “Chính sách toàn vẹn hệ thống chưa được ký” và chuyển chế độ sang chế độ kiểm toán.
• Hãy xác minh rằng chính sách mới đã được thực hiện chính xác trước khi gỡ bỏ chính sách cũ.
• Sau đó, hãy xóa chính sách khỏi cơ chế triển khai (GPO, MDM, tập lệnh) để ngăn không cho chính sách đó được áp dụng lại cho các máy tính.

đến chính sách chưa kýTừ phiên bản Windows 11 22H2 trở đi, nó có thể được sử dụng. CiTool.exe Để gỡ cài đặt bằng GUID hoặc xóa tệp theo cách thủ công:

• Nhiều định dạng:
  <EFI System Partition>\Microsoft\Boot\CiPolicies\Active\{PolicyId}.cip
<OS Volume>\Windows\System32\CodeIntegrity\CiPolicies\Active\{PolicyId}.cip
• Định dạng đơn:
  <EFI System Partition>\Microsoft\Boot\SiPolicy.p7b
<OS Volume>\Windows\System32\CodeIntegrity\SiPolicy.p7b

Trong tất cả trường hợp, Việc khởi động lại là bắt buộc. Để nhóm ngừng áp dụng chính sách đã bị xóa. Trong nhiều môi trường, chính sách trước tiên được "vô hiệu hóa" (cho phép mọi thứ, chế độ kiểm toán) và sau đó được xóa một cách nhẹ nhàng.

WDAC là một công cụ rất mạnh mẽ. Để kiểm soát những gì chạy trên Windows, từ HoloLens đến các máy trạm cao cấp, đây là một công cụ mạnh mẽ, nhưng cũng đòi hỏi nhiều: nó yêu cầu hiểu biết thấu đáo về môi trường, kiểm tra bảo mật, duy trì vòng đời chính sách (có chữ ký hoặc không có chữ ký), và kết hợp nó với các thành phần khác như AppLocker, ISG hoặc Managed Installer. Nếu được sử dụng một cách khôn ngoan, nó sẽ giảm đáng kể bề mặt tấn công; nếu được kích hoạt một cách tùy tiện, người phản kháng không phải là kẻ tấn công. phần mềm độc hại Nhưng người dùng của bạn… và cả đội ngũ CNTT của chính bạn nữa.