Table of Contents

Защитите Windows с помощью управления приложениями в Защитнике Windows WDAC

Примечания:

  • Windows Server 2016/2019 или что-либо до версии 1903 одновременно поддерживают только одну устаревшую политику.
  • Редакция Windows Server Core поддерживает WDAC, но некоторые компоненты, зависящие от AppLocker, не будут работать.
  • Пожалуйста, прочтите Recommended Reading перед внедрением или даже тестированием.

Список скриптов и инструментов, которые использует эта коллекция:

- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy

Дополнительные конфигурации рассматривались из:

- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control

Объяснение:

XML против BIN:

  • Проще говоря, политики “XML” предназначены для локального применения к машине, а файлы “BIN” — для принудительного применения их с помощью Group Policy or Microsoft Intune Хотя вы можете использовать политики XML, BIN или CIP в локальном развертывании, вообще говоря, вы должны придерживаться XML, где это возможно, особенно при аудите или устранении неполадок.

Описание политик:

  • Политики по умолчанию:
    • Политики «По умолчанию» используют только функции по умолчанию, доступные в WDAC-Toolkit.
  • Рекомендуемые правила:
    • Политики «Рекомендуемые» используют функции по умолчанию, а также рекомендованные Microsoft blocks and driver block правила.
  • Политика аудита:
    • Политики «Аудит», просто регистрируйте исключения из правил. Это предназначено для тестирования в вашей среде, чтобы вы могли изменять политики по своему усмотрению в соответствии с потребностями вашей среды.
  • Принудительные политики:
    • Политики «Принудительно» не допустят каких-либо исключений из правил, приложения, драйверы, dll и т. д. будут заблокированы, если они не соответствуют.

Доступные политики:

  • XML:
    • Только аудит:
      • WDAC_V1_Default_Audit_{версия}.xml
      • WDAC_V1_Recommended_Audit_{версия}.xml
    • Принудительно:
      • WDAC_V1_Default_Enforced_{версия}.xml
      • WDAC_V1_Recommended_Enforced_{версия}.xml
  • БИН:
    • Только аудит:
      • WDAC_V1_Default_Audit_{версия}.bin
      • WDAC_V1_Recommended_Audit_{версия}.bin
    • Принудительно:
      • WDAC_V1_Default_Enforced_{версия}.bin
      • WDAC_V1_Recommended_Enforced_{версия}.bin
  • СИП:
    • Только аудит:
      • WDAC_V1_Default_Audit\{uid}.cip
      • WDAC_V1_Recommended_Audit\{uid}.cip
    • Принудительно:
      • WDAC_V1_Default_Enforced\{uid}.cip
      • WDAC_V1_Recommended_Enforced\{uid}.cip

Обновите следующую строку в сценарии, чтобы использовать нужную политику локально:

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Alternatively, you may use Group Policy or Microsoft Intune to enforce the WDAC policies.

Auditing:

You can view the WDAC event logs in event viewer under:

Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational

How to run the script:

Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the GitHub Repository 

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1