Table of Contents

Harden Windows z Windows Defender Application Control WDAC.

Uwagi:

  • Windows Server 2016/2019 lub cokolwiek przed wersją 1903 obsługuje tylko jedną politykę legacy w danym czasie.
  • Edycja Windows Server Core wspiera WDAC, ale niektóre komponenty zależne od AppLockera nie będą działać.
  • Prosimy o zapoznanie się z. Recommended Reading przed wdrożeniem, a nawet przetestowaniem.

Lista skryptów i narzędzi, które ta kolekcja wykorzystuje:

- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy

Dodatkowe konfiguracje były rozważane od:

- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control

Explanation:

XML vs. BIN:

  • Po prostu, polityki “XML “ są do zastosowania na maszynie lokalnie, a pliki “BIN “ są do egzekwowania ich za pomocą albo Group Policy or Microsoft Intune Podczas gdy w lokalnym wdrożeniu można używać polityk XML, BIN lub CIP, ogólnie rzecz biorąc, należy trzymać się XML, jeśli to możliwe, a zwłaszcza podczas audytu lub rozwiązywania problemów.

Opisy polityk:

  • Polisy domyślne:
    • Polityki “Domyślne” używają tylko domyślnych funkcji dostępnych w WDAC-Toolkit.
  • Recommended Policies:
    • Zasady “Zalecane” wykorzystują funkcje domyślne, jak również zalecane przez Microsoft blocks and driver block zasady.
  • Audit Policies:
    • Zasady “Audytu” rejestrują jedynie wyjątki od reguł. Służy to do testowania w środowisku, dzięki czemu można modyfikować zasady, aby dopasować je do potrzeb środowiska.
  • Wymuszone polityki:
    • Zasady “Enforced” nie pozwalają na żadne wyjątki od reguł, aplikacje, sterowniki, dlls, itp. będą blokowane, jeśli nie będą zgodne.

Dostępne polityki:

  • XML:
    • Audit Only: -WDAC_V1_Default_Audit_{version}.xml -WDAC_V1_Recommended_Audit_{version}.xml
    • Wykonane: -WDAC_V1_Default_Enforced_{version}.xml -WDAC_V1_Recommended_Enforced_{version}.xml
  • BIN:
    • Audit Only: -WDAC_V1_Default_Audit_{version}.bin -WDAC_V1_Recommended_Audit_{version}.bin
    • Wykonane: -WDAC_V1_Default_Enforced_{version}.bin -WDAC_V1_Recommended_Enforced_{version}.bin
  • CIP:
    • Audit Only: -WDAC_V1_Default_Audit\{uid}.cip -WDAC_V1_Recommended_Audit\{uid}.cip
    • Wykonane: -WDAC_V1_Default_Enforced\{uid}.cip -WDAC_V1_Recommended_Enforced\{uid}.cip

Zaktualizuj następującą linię w skrypcie, aby użyć polityki, którą chcesz lokalnie:

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Alternatywnie, możesz użyć Group Policy or Microsoft Intune do egzekwowania polityki WDAC.

Audyt:

Dzienniki zdarzeń WDAC można przeglądać w przeglądarce zdarzeń pod:

Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational

- Argonsys - Deploying Windows 10 Application Control Policy - Microsoft - Audit Windows Defender Application Control Policies - Microsoft - Create a WDAC policy for fixed-workload devices using a reference computer - Microsoft - Deploy Windows Defender Application Control policies by using Group Policy - Microsoft - Deploy Windows Defender Application Control policies by using Microsoft Intune - Microsoft - Deploy WDAC policies using script - Microsoft - Enforce Windows Defencer Application Control Policies - Microsoft - Guidance on Creating WDAC Deny Policies - Microsoft - Use multiple Windows Defender Application Control Policies

Jak uruchomić skrypt:

Manual Install:

W przypadku ręcznego pobrania, skrypt należy uruchomić z administracyjnego powershella w katalogu zawierającym wszystkie pliki z. GitHub Repository 

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1