Table of Contents

Proteja o Windows com o Windows Defender Application Control WDAC

Notas:

  • O Windows Server 2016/2019 ou qualquer versão anterior à 1903 oferece suporte apenas a uma única política herdada por vez.
  • A edição Windows Server Core suporta WDAC, mas alguns componentes que dependem do AppLocker não funcionarão
  • Por favor, leia o Recommended Reading antes de implementar ou mesmo testar.

Uma lista de scripts e ferramentas que esta coleção utiliza:

- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy

Foram consideradas configurações adicionais de:

- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control

Explicação:

XML vs. BIN:

  • Simplificando, as políticas “XML” são para aplicar a uma máquina localmente e os arquivos “BIN” são para aplicá-los com Group Policy or Microsoft Intune Embora você possa usar políticas XML, BIN ou CIP em uma implantação local, em geral, você deve se ater ao XML sempre que possível e especialmente durante a auditoria ou solução de problemas.

Descrições da política:

  • Políticas Padrão:
    • As políticas “Padrão” usam apenas os recursos padrão disponíveis no WDAC-Toolkit.
  • Políticas recomendadas:
    • As políticas “Recomendado” usam os recursos padrão, bem como os recomendados pela Microsoft blocks and driver block regras.
  • Políticas de Auditoria:
    • As políticas de “Auditoria”, apenas registram exceções às regras. Isso é para teste em seu ambiente, para que você possa modificar as políticas, à vontade, para atender às necessidades de seus ambientes.
  • Políticas aplicadas:
    • As políticas “Aplicadas” não permitirão nenhuma exceção às regras, aplicativos, drivers, dlls, etc. serão bloqueados se não cumprirem.

Políticas Disponíveis:

  • XML:
    • Somente auditoria:
      • WDAC_V1_Default_Audit_{versão}.xml
      • WDAC_V1_Recommended_Audit_{versão}.xml
    • Aplicado:
      • WDAC_V1_Default_Enforced_{versão}.xml
      • WDAC_V1_Recommended_Enforced_{versão}.xml
  • BIN:
    • Somente auditoria:
      • WDAC_V1_Default_Audit_{versão}.bin
      • WDAC_V1_Recommended_Audit_{versão}.bin
    • Aplicado:
      • WDAC_V1_Default_Enforced_{versão}.bin
      • WDAC_V1_Recommended_Enforced_{versão}.bin
  • CIP:
    • Somente auditoria:
      • WDAC_V1_Default_Audit\{uid}.cip
      • WDAC_V1_Recommended_Audit\{uid}.cip
    • Aplicado:
      • WDAC_V1_Default_Enforced\{uid}.cip
      • WDAC_V1_Recommended_Enforced\{uid}.cip

Atualize a seguinte linha no script para usar a política que você deseja localmente:

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Alternatively, you may use Group Policy or Microsoft Intune to enforce the WDAC policies.

Auditing:

You can view the WDAC event logs in event viewer under:

Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational

How to run the script:

Manual Install:

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1