Различия

Здесь показаны различия между двумя версиями данной страницы.

--- wdac [2021/12/08 16:34]
vladimir [Настройка]
+++ wdac [2022/12/30 13:18] (текущий)
vladimir [Официальная документация]
@@ Строка 1: / Строка 1: @@
 ====== WDAC ======
-WDAC - Windows Defender Application Control, он позволяет в режиме ядра и при загрузке ОС контролировать запуск: приложений, драйверов, компонентов системы. Установленные правила будут действовать на всю систему и не могут быть настроены для конкретных пользователей или групп. При необходимости настроить правила для конкретных пользователей или групп можно использовать AppLocker.
+WDAC - Windows Defender Application Control, позволяет в режиме ядра и при загрузке ОС контролировать запуск: приложений, драйверов, компонентов системы. Установленные правила будут действовать на всю систему и не могут быть настроены для конкретных пользователей или групп. При необходимости настроить правила для конкретных пользователей или групп можно использовать AppLocker.
 ===== Настройка =====
 WDAC можно настроить с помощью «PowerShell» или с помощью «[[+tab|https://webapp-wdac-wizard.azurewebsites.net/|WDAC Policy Wizard]]».\\
@@ Строка 6: / Строка 6: @@
 Конфигурационный файл WDAC’а – XML файл, примеры таких файлов можно найти в каталоге «C:\Windows\schemas\CodeIntegrity\ExamplePolicies».\\
 \\
-Можно создать свой конфигурационный файл, например, с разрешениями для текущей конфигурации системы «New-CIPolicy -
+Можно создать свой конфигурационный файл, например, с разрешениями для текущей конфигурации системы. Для этого запустите среду "PowerShell" [[+tab|run-dialog-box|выполнив команду]] "powershell" с правами администратора. А затем выполните нижеуказанную команду.
 <code>
-MultiplePolicyFormat -FilePath Example.xml -ScanPath C: -Level FilePublisher -UserPEs -Fallback Hash»
+MultiplePolicyFormat -FilePath Example.xml -ScanPath C: -Level FilePublisher -UserPEs -Fallback Hash
 </code>
-===== Официальная документация =====
+==== Режим аудита ====
+Для настройки правил можно использовать режим аудита, он позволяет системе запускать то, что было запрещено, при этом запуск записывается в журналы:
+  * Просмотр событий > Журналы приложений и служб > Windows > AppLocker > MSI сценарий
+  * Просмотр событий > Журналы приложений и служб > Windows > CodeIntegrity > Operational
+Данный режим можно включить с помощью команды в среде «PowerShell»
+<code>
+Set-RuleOption -FilePath Example.xml -Option 3
+</code>
+Или отключить с помощью команды в среде «PowerShell»
+<code>
+Set-RuleOption -FilePath Example.xml -Delete -Option 3
+</code>
+Перечень других возможностей можно найти [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create#table-1-windows-defender-application-control-policy---policy-rule-options|здесь]]. Обратите внимание на возможность «10» - загрузка в режиме аудита при неработоспособности драйвера.
+==== Применение правил к системе ====
+Для применения правил к системе необходимо из XML файла сделать бинарный файл с помощью команды в среде «PowerShell»
+<code>
+ConvertFrom-CIPolicy –XmlFilePath Example.xml –BinaryFilePath Example.p7b
+</code>
+Полученный файл необходимо скопировать в папку «C:\Windows\System32\CodeIntegrity», файл должен называться «SIPolicy.p7b» иначе политика не будут работать. Чтобы политики вступили в силу необходимо перезагрузить систему.
+Можно создавать дополнительные политики с расширением «cip» с помощью команды в среде «PowerShell»
+<code>
+ConvertFrom-CIPolicy –XmlFilePath Example.xml –BinaryFilePath Example.cip
+</code>
+Название cip файла должно быть таким же как значение «PolicyID», которое находится в исходном XML файле, но без фигурных скобок. Файл дополнительных политик необходимо разместить в папку «C:\Windows\System32\CodeIntegrity\CIPolicies\Active»\\
+\\
+Политики контроля могут быть созданы на основании пути, имени файла, издателе и других параметрах
+[[+tab|https://learn.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create#table-2-windows-defender-application-control-policy---file-rule-levels|других параметрах]]
+====== Официальная документация ======
+  * [[+tab|https://docs.microsoft.com/ru-ru/windows/security/threat-protection/windows-defender-application-control/|Управление приложениями для Windows]]
   * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create|Understand Windows Defender Application Control]]
+    * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create#table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - policy rule options]]
+    * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create#table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - file rule levels]]
   * [[+tab|https://docs.microsoft.com/ru-ru/powershell/module/configci|ConfigCI]]
-  * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create#table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - policy rule options]]
-  * [[+tab|https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/select-types-of-rules-to-create#table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - file rule levels]]
   * [[+tab|https://webapp-wdac-wizard.azurewebsites.net/|WDAC Policy Wizard]]

Windows IoTAstra Linux Embedded

Инструменты пользователя

Инструменты сайта

Различия

Инструменты страницы

Windows IoT
Astra Linux Embedded