如何使用 WDAC 逐步创建本地零信任策略

传统周界安全 认为网络内部所有东西都是安全的这种想法早已过时；如今，用户可以在任何地方工作， 手提移动设备、虚拟机和云服务，这迫使我们彻底重新思考如何保护设备和应用程序。

微软的零信任模型 它完美契合这种新场景：它基于“永不信任，始终核实”的理念，并结合了身份验证、设备状态、风险和上下文信息。在本文中，您将了解如何利用它。 Windows Defender的 应用程序控制 (WDAC) 是本地实施零信任的关键组件，它与 Intune、Microsoft Defender for Endpoint、条件访问和 Microsoft 安全生态系统的其他部分集成。

WDAC是什么？为什么它与零信任架构如此契合？

Windows Defender 应用程序控制 这是现代 Windows 10/11 企业版和 Windows Server 的一项功能，允许您精确定义哪些二进制文件、脚本、驱动程序和应用程序可以在设备上运行。任何未经策略授权的内容都将无法运行，这与零信任方法完美契合，并有助于解决安全问题。 未经测试的应用程序出现错误.

与仅基于杀毒软件的模型相比WDAC 采用积极的应用程序控制策略：它不尝试检测恶意软件，而是声明一个允许的应用程序列表，并阻止其余应用程序。这大大缩小了攻击面，并减缓了勒索软件的传播速度。 恶意软件 无文件操作、滥用合法工具和横向移动。

微软推荐WDAC 作为零信任端点保护的支柱之一，WDAC 与 Defender for Endpoint 的攻击面缩减 (ASR) 功能、漏洞管理和下一代保护一起，从字面上讲，是操作系统内部的守门人。

WDAC的另一个重要优势 它与平台的其他部分集成良好：可以使用 Microsoft Intune 进行部署和管理，使用 Configuration Manager 进行编排，结合 ASR 规则，并利用 Defender for Endpoint 传感器来了解正在运行的内容和被阻止的内容。

零信任模型在设备中的应用基础

零信任基于三个原则 这些规则应用于 Windows 设备时，决定了我们如何设计和实施 WDAC 策略和其他安全控制措施：

显式和持续验证每个资源访问请求都会使用用户身份、设备合规状态、位置、登录风险和应用程序上下文等信号进行验证。WDAC 提供“正在运行什么”信号以及二进制文件是否可信。

权限较低的访问 对于用户和应用程序而言：访问权限仅限于必要的最小权限（JIT/JEA），网络进行分段，并且限制了可在终端上运行的进程。使用了WDAC以及其他机制，例如AppLocker和SELinux/AppArmor。 Linux Windows 系统中的 ASR 降低了应用程序的自由度，同时现代身份验证方法（例如）也限制了应用程序的自由度。 Windows Hello企业版.

假设可能存在差距该模型假设某些控制措施可能会失效，因此采用分段、加密、高级监控和 XDR 等技术来最大限度地降低其影响。Defender XDR、Microsoft Sentinel 以及警报和事件关联功能均符合此框架。

如果我们比较零信任，就会发现它与零信任体系有着异曲同工之妙。 与以往以边界为中心的模型相比，我们看到了明显的差异：不再对“内部”的内容抱有隐性信任，边界不再是静态的，而是变成了设备本身和身份，控制变得精细化，组织从被动的、基于事件的立场转变为主动的、基于预防和基于早期检测的立场。

CISA 的设备支柱零信任成熟度模型

CISA的零信任成熟度模型（ZTMM）指南 它定义了组织在设备支柱方面应如何发展，从初始状态到最佳水平。微软已将其建议与此模型保持一致，并在每个阶段提供具体的解决方案：Intune、Defender for Endpoint、条件访问、Defender for Cloud、Defender for IoT、XDR、Sentinel 等。

在设备方面CISA涵盖连接到网络的所有资源：台式机和笔记本电脑、服务器、打印机、移动电话、平板电脑、物联网 (IoT)、运营技术 (OT)、网络设备以及虚拟资源。这种广泛的方法需要一个统一的视图。 硬件固件、操作系统和已安装软件。

WDAC 在这里扮演着非常特殊的角色。它位于“端点保护”支柱中，作为应用程序执行控制，并且在成熟度模型的高级阶段，使用 Intune 进行大规模管理，并与合规性策略、条件访问和漏洞管理相结合。

功能 2.1：政策合规性和监控

在初始成熟阶段 该公司只掌握了部分信息：设备会自行报告（密钥、令牌、用户），并且有一些基本的软件审批、推送更新或调整设置流程，但自动化或集成程度不高。

微软在此推荐使用 Intune 和 Configuration Manager。 作为设备管理的基础：库存管理、配置变更、软件更新部署和云连接，以实现环境现代化。它还可以与集成到 Intune 的第三方 MDM 解决方案整合，利用列表…… 操作系统 以及兼容的浏览器。

达到高级阶段 大多数设备都需要进行管理并符合相关法规。Intune 允许您定义配置策略、设备配置文件、合规性报告和自动设备注册，因此初始访问权限已与合规性挂钩；而 WDAC 则作为一种特定的控制手段，仅批准允许的软件。

借助 Intune，您可以部署 WDAC 策略 通过管理控制台，控制应用程序使用情况，在合适的地方使用 AppLocker，并将其与移动应用程序保护策略结合使用，以控制数据共享方式。 应用 在手机和平​​板电脑上，Windows Autopilot 进一步简化了已符合这些策略的新设备的加入流程。

Defender for Endpoint 与 Intune 集成 提供漏洞管理、安全评分和暴露评分，并持续清点软件、证书、硬件和固件（包括浏览器扩展）。Defender for Cloud 和 Azure Arc 将该模型扩展到 Azure 外部的虚拟资源和服务器。 Defender for IoT 涵盖物联网和运营技术设备 没有代理人。

在最佳阶段 合规性不再是一次性事件，而是持续性的：Microsoft Conditional Access Entra 根据设备状态应用策略（仅允许来自合规设备的访问），而 Defender 漏洞管理则在本地计算机和使用 Defender for Servers 的多云资源中，持续进行评估、基于风险的优先级排序和修复。

功能 2.2：供应链和资产风险管理

IT供应链管理 一切始于了解自身拥有哪些资源这一基本要素。在初始阶段，组织会对实物资产和部分虚拟资产进行合理的跟踪，遵循诸如NIST SCRM之类的框架，并为供应商制定采购政策和控制基线。

Intune 有助于实现这种可视化。 因为它集中管理来自受管设备的数据： 硬件规格已安装的应用、合规状态等。与 Defender for Endpoint 集成后，它提供了更丰富的受保护资产清单，包括物理资产和虚拟资产。

达到高级阶段需要全面了解各个提供商和平台的情况：Intune 可以注册 Windows、macOS 和其他设备。 iOS, 安卓等等，创建单一清单并启用与 Windows Autopilot 或 Apple 的 DEP 的自动注册。Defender for Endpoint 增加了对网络上未托管设备的检测以及针对 CVE 和第三方评估的漏洞管理功能。

在最优成熟度模型中条件访问需要兼容 Intune 的设备或集成的 MDM，以确保近乎实时的设备群可见性。Intune 与 Defender for Endpoint 的组合，通过服务间连接，可提供最新的资产快照；而 Defender for IoT 和 Defender EASM 则将控制范围扩展到 IoT/OT 设备和外部攻击面，帮助发现未知资产、确定风险优先级并缓解防火墙之外的威胁。

功能 2.3：访问 WDAC 资源和角色

应用程序和数据的访问控制 它不再仅仅依赖用户，而是开始考虑设备的健康状况和使用环境。在初始阶段，设备只需注册到 Microsoft Entra ID（加入、混合或注册），并在条件访问中使用位置或设备属性等基本信号。

当组织成熟时设备通过 Intune 进行管理，并由 Defender for Endpoint 提供保护。访问资源需要设备处于特定状态（例如，混合加入或合规设备）。应用程序与 Entra ID 集成，应用程序代理或安全混合访问 (SHA) 合作伙伴可用于通过零信任网络访问 (ZTNA) 方法将条件访问扩展到传统的本地应用程序。

在最佳状态下Microsoft Entra ID Protection 提供实时风险分析（用户、登录和设备），条件访问利用这些信息来强制执行防钓鱼的多因素身份验证 (MFA)、阻止高风险访问或定制访问控制。Intune 和 Defender for Endpoint 共享一个服务间通道，允许使用基于设备的风险评分作为直接访问标准。

这里，WDAC 成为等式的一部分。如果本地策略阻止执行未经授权的二进制文件，则设备从低风险状态转变为高风险状态的可能性会降低。Defender for Endpoint 可以检测到应用程序无法控制的异常行为，并且当设备的风险级别升高时，条件访问功能可以按需终止访问权限。

功能 2.4：设备威胁检测

设备上的威胁检测 初始阶段，只需在终端用户计算机上简单部署 Defender for Endpoint，并将其与 Defender for Cloud 集成，即可对 Azure VM 施加保护，从而自动部署和更新保护功能。

通过晋升到下一级别Intune 用于定义合规性策略，其中包括 Defender for Endpoint 提供的风险评分；它已集成到移动威胁防御 (MTD) 解决方案中，并为使用 Configuration Manager 管理的传统设备启用云连接。XDR Defense 开始试点阶段，随后将进行更广泛的部署，连接其组件（端点、身份、云应用、Purview 信息保护），以实现统一的方法。

Azure Arc 和 Defender for Cloud 它们为 Azure 之外的物理服务器和虚拟机增加了保护，使您可以为服务器启用 Defender，从而将威胁检测和高级防御扩展到 Windows 和 Linux、本地和多云环境。

在最佳成熟阶段Defender XDR 成为安全运营的核心：来自各种传感器的警报被关联起来，形成代表完整攻击的事件；高级搜索用于威胁搜寻；它还与 Microsoft Sentinel 连接，用于分析、关联规则和响应编排。Defender IT 则添加威胁情报、攻击者画像和 IoC，以丰富调查内容。

功能 2.5：设备可见性和分析

如果没有透明度，就没有零信任。在初始阶段，许多组织依靠基本数字标识符（IP、标签等）和人工盘点，并辅以一些自动化分析来检测部分设备和虚拟资源中的异常情况。

使用 Intune 和 Defender for Endpoint 试点项目正开始利用 Defender for Endpoint 收集的设备标识符和遥测数据，基于风险分析异常情况。Intune 提供每个设备的详细清单，包括配置、软件和合规性状态，这大大简化了这一过程。

在高级阶段Defender for Endpoint 可自动收集标准设备（PC、笔记本电脑、手机、平板电脑）及其虚拟资源的清单并进行异常检测。它会检测未经授权的设备，并将其与 Intune 数据进行交叉比对，以了解哪些设备在管理范围内，哪些不在。

达到最佳成熟度条件访问配置用于强制所有访问网络的设备遵守合规性要求；Intune 或兼容的 MDM 合作伙伴负责管理这些设备，为组织提供近乎实时的、与身份相关的状态更新，以辅助访问决策。Defender XDR 已集成，用于检测用户、设备和应用程序异常，而 Microsoft Entra ID Protection 则提供风险信号，并将其检测功能与 XDR 集成，以改进基于风险的决策。

Microsoft Sentinel with Fusion 进入高级多阶段攻击检测：通过连接多个数据源，Fusion 能够将看似孤立的事件串联成一个连贯的攻击故事，这对于处理如此广泛的设备和虚拟资源生态系统至关重要。

功能 2.6：自动化和编排

自动化是粘合剂。 这使得零信任架构能够大规模应用。在初始阶段，它从简单的脚本和工具入手，实现设备和虚拟资源的自动化配置、注册和取消配置，通常围绕 Intune、Microsoft Entra ID、Defender for Endpoint 和 Sentinel 等健康监控工具展开。

在高级阶段Intune 已经能够集中执行合规策略并配置设备；Defender for Endpoint 能够检测并响应漏洞和合规性问题；Sentinel 能够收集和分析数据，发出高级警报，帮助监控和执行策略。

最佳目标 其目标是实现完全自动化的生命周期：Intune 管理配置、注册、监控和停用；Microsoft Entra ID 将身份和访问与设备管理集成；Defender XDR 提供自动检测和响应；Sentinel 通过自动化剧本和工作流协调监控、合规性和事件响应。

功能 2.7：设备和资源的管理

治理带来秩序。 除上述内容外，初始阶段还包括制定新设备（包括非传统设备）和虚拟资源的购置和生命周期管理策略，并建立监控和定期审查这些资产的流程。Intune 和 Defender for Endpoint 用于应用基本配置和审查漏洞，而 Sentinel 则作为可观测性层。

达到高级水平全球企业策略涵盖设备和虚拟资源的枚举、问责和生命周期，并包含一些自动化合规机制。Intune 整合了这些策略的应用，Defender for Endpoint 通过自动化机制增强了安全性和合规性，而 Sentinel 则用于提供设备的详细视图并将其与合规性关联起来。

在最佳阶段该组织对所有联网设备和虚拟资产的生命周期策略进行自动化管理：Intune 处理获取、配置、监控和取消配置；Microsoft Entra ID 通过集成身份和访问控制确保无缝体验；Defender XDR 强制执行高级策略检测、响应和执行；Sentinel 则自动执行端到端监控、合规性和治理。

WDAC实践：创建和部署本地零信任策略

超越理论许多管理员已经记录了如何在实际环境中实施 WDAC。一种典型的方法是使用一台“干净”的参考机器作为基础，从中生成允许安装标准企业软件的策略，然后逐步将其部署到其余机器。

微软自身的文档 它涵盖了为固定工作负载设备（例如自助服务终端或专用工作站）创建 WDAC 策略、使用脚本部署和更新策略以及为不同用例（普通用户计算机、关键服务器、管理工作站等）组合多个策略等场景。

此外，还有关于拒付政策的指导原则。这种方法从相对开放的配置开始，逐步添加规则来阻止被认为不需要的特定软件，从而帮助理解“只允许受信任的软件运行，拒绝其他软件运行”的模型是如何运作的。许多公司一开始会将 WDAC 设置为审计模式，以避免出现任何问题；一旦完成微调，他们就会切换到严格执行模式。

技术社区 （例如，像 WDAC 加固库这样的项目）深入研究了官方文档，并发布了脚本、模板和最佳实践，这些都对微软提供的开箱即用功能进行了补充。这些实践经验强化了以下观点：WDAC 是零信任环境下 Windows 加固的关键组件，前提是它与良好的管理实践和分阶段、受控的部署相结合。

零信任、Intune 和 Defender：它们如何与 WDAC 协同工作

Intune 是天生的编曲家 对于以 Microsoft 设备为中心的零信任模型：它允许您注册企业和 BYOD 设备，应用合规性策略（BitLocker、防病毒、最低操作系统版本、安全设置），部署 WDAC 和 ASR，并根据设备状态控制谁可以访问什么。

Microsoft 登录 ID 中的条件访问 它使用来自 Intune 和 Defender for Endpoint 的信号（例如，设备是否合规、会话风险是否高、是否从异常位置连接）来决定是否允许、阻止或限制（例如，要求 MFA）对资源的访问，例如： SHAREPOINTOneDrive、Teams 或第三方 SaaS 应用程序。

Endpoint Defender 增加了一层风险。 通过机器风险评分（低、中、高），如果检测到恶意软件或可疑活动，该系统可以将设备标记为不合规，并切断其资源访问权限，直至问题解决。其行为分析、漏洞管理、攻击面缩减、下一代防护、EDR 和高级威胁搜寻功能完善了整个安全体系。

在移动办公和自带设备办公场景中Intune 的应用保护策略 (MAM) 可帮助您保护数据免受攻击。 微软365 即使在非托管设备上：您也可以阻止复制/粘贴到未经授权的应用、强制加密应用内的静态数据，或阻止保存到 存储 非企业用户。要访问本地应用程序，您可以使用 Microsoft Tunnel，它提供了一种…… VPN 通过条件访问控制的微分割，并支持现代协议，例如： SMB on QUIC.

攻击面缩减（ASR） 可通过 Intune 进行配置，添加如下规则 在 Office 中阻止恶意宏对脚本执行的限制或对 USB 设备使用的限制，与 WDAC 完美互补：WDAC 控制哪些二进制文件可以执行，而 ASR 则限制这些二进制文件的行为方式。

在 WDAC 中实施本地零信任时，最佳实践和挑战是什么？

采用 WDAC 的零信任机制 这不仅仅是一个技术问题，它还涉及文化、流程和治理方面的变革。建议首先进行初步的基础设施评估，清点设备和应用程序，识别漏洞，并审查当前的监控和响应能力。

关于WDAC明智的做法是先以审计模式部署策略，收集事件，调整规则，然后逐步在试点组中过渡到应用模式。至关重要的是，要与定义明确的参考团队合作，按设备类型（普通用户、管理员、关键服务器、自助服务终端）区分策略，并维护完善的变更管理系统，以避免生产停机。

复杂性和成本 以下是一些常见的障碍：零信任需要协调多种工具（例如 Intune、Entra ID、Defender for Endpoint、Defender XDR、Sentinel、Azure Arc、Defender for Cloud、Defender for IoT 等），而且并非所有组织都具备必要的内部技能。培训、分阶段实施、使用自动化工具（例如 Ansible、脚本、API）以及来自专业合作伙伴的支持可以帮助克服这些挑战。

抵抗变化 用户和部分技术团队的抵触情绪也很常见：更严格的策略、强制多因素身份验证 (MFA)、传统应用程序的屏蔽或横向移动限制都可能造成阻力。经验表明，良好的沟通、持续的培训、精心设计的试点项目以及对益处（减少安全事件、降低勒索软件影响、提高合规性）的清晰解释，能够显著降低这种抵触情绪。

如果WDAC合并 通过良好的补丁实践、漏洞管理、网络分段、持续监控、静态和传输中数据加密以及跨职能安全文化，该组织正在接近真正的零信任模型，其中每个设备、应用程序和访问都被视为潜在的可疑行为，直到证明并非如此，但又不会过度影响日常生产力。