Table of Contents

Versterk Windows met Windows Defender Application Control WDAC

Opmerkingen:

  • Windows Server 2016/2019 of alles vóór versie 1903 ondersteunen slechts één legacybeleid tegelijk.
  • Windows Server Core editie ondersteunt WDAC, maar sommige onderdelen die afhankelijk zijn van AppLocker zullen niet werken.
  • Lees de Recommended Reading alvorens te implementeren of zelfs te testen.

Een lijst van scripts en gereedschappen die deze collectie gebruikt:

- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy

Aanvullende configuraties werden overwogen van:

- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control

Verklaring:

XML vs. BIN:

  • Simpel gezegd zijn de “XML” beleidsregels om lokaal op een machine toe te passen en de “BIN” bestanden om ze af te dwingen met ofwel Group Policy or Microsoft Intune Hoewel u XML-, BIN- of CIP-beleid kunt gebruiken in een lokale implementatie, moet u het in het algemeen waar mogelijk bij XML houden, vooral bij audits en probleemoplossing.

Beleidsbeschrijvingen:

  • Standaardbeleid:
    • De “Standaard” policies gebruiken alleen de standaard functies die beschikbaar zijn in de WDAC-Toolkit.
  • Aanbevolen beleid:
    • De “Aanbevolen” beleidsregels gebruiken de standaardfuncties en de aanbevolen functies van Microsoft. blocks and driver block regels.
  • Audit Policies:
    • Het “Audit”-beleid logt alleen uitzonderingen op de regels. Dit is om te testen in uw omgeving, zodat u het beleid naar believen kunt aanpassen aan de behoeften van uw omgeving.
  • Afgedwongen beleid:**
    • De “Enforced” policies staan geen uitzonderingen toe op de regels, applicaties, drivers, dlls, etc. worden geblokkeerd als ze niet voldoen.

Beschikbare beleidsregels:

  • XML:**
    • Alleen controle: -WDAC_V1_Default_Audit_{version}.xml -WDAC_V1_Recommended_Audit_{version}.xml
    • Ontslagen: -WDAC_V1_Default_Enforced_{version}.xml -WDAC_V1_Recommended_Enforced_{version}.xml
  • BIN:
    • Alleen controle: -WDAC_V1_Default_Audit_{version}.bin -WDAC_V1_Recommended_Audit_{version}.bin
    • Ontslagen: -WDAC_V1_Default_Enforced_{version}.bin -WDAC_V1_Recommended_Enforced_{version}.bin
  • CIP:
    • Alleen controle: -WDAC_V1_Default_Audit\{uid}.cip -WDAC_V1_Recommended_Audit\{uid}.cip
    • Ontslagen: -WDAC_V1_Default_Enforced\{uid}.cip -WDAC_V1_Recommended_Enforced\{uid}.cip

Pas de volgende regel in het script aan om het lokaal gewenste beleid te gebruiken:

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

U kunt ook Group Policy or Microsoft Intune om het WDAC-beleid te handhaven.

Auditing:

U kunt de WDAC-gebeurtenislogboeken bekijken in gebeurtenisviewer onder:

Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational

Aanbevolen lectuur:

- Argonsys - Deploying Windows 10 Application Control Policy - Microsoft - Audit Windows Defender Application Control Policies - Microsoft - Create a WDAC policy for fixed-workload devices using a reference computer - Microsoft - Deploy Windows Defender Application Control policies by using Group Policy - Microsoft - Deploy Windows Defender Application Control policies by using Microsoft Intune - Microsoft - Deploy WDAC policies using script - Microsoft - Enforce Windows Defencer Application Control Policies - Microsoft - Guidance on Creating WDAC Deny Policies - Microsoft - Use multiple Windows Defender Application Control Policies

Hoe voer je het script uit:

Handmatig installeren:

Indien handmatig gedownload, moet het script gestart worden vanuit een administratieve powershell in de directory die alle bestanden van de GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1