Инструменты пользователя

Инструменты сайта


wdac

Различия

Здесь показаны различия между двумя версиями данной страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия
Предыдущая версия
wdac [2021/12/08 16:38]
vladimir [Официальная документация]
wdac [2022/12/30 13:18] (текущий)
vladimir [Официальная документация]
Строка 1: Строка 1:
 ====== WDAC ====== ====== WDAC ======
-WDAC - Windows Defender Application Control, ​он позволяет в режиме ядра и при загрузке ОС контролировать запуск:​ приложений,​ драйверов,​ компонентов системы. Установленные правила будут действовать на всю систему и не могут быть настроены для конкретных пользователей или групп. При необходимости настроить правила для конкретных пользователей или групп можно использовать AppLocker.+WDAC - Windows Defender Application Control, позволяет в режиме ядра и при загрузке ОС контролировать запуск:​ приложений,​ драйверов,​ компонентов системы. Установленные правила будут действовать на всю систему и не могут быть настроены для конкретных пользователей или групп. При необходимости настроить правила для конкретных пользователей или групп можно использовать AppLocker.
 ===== Настройка ===== ===== Настройка =====
 WDAC можно настроить с помощью «PowerShell» или с помощью «[[+tab|https://​webapp-wdac-wizard.azurewebsites.net/​|WDAC Policy Wizard]]».\\ WDAC можно настроить с помощью «PowerShell» или с помощью «[[+tab|https://​webapp-wdac-wizard.azurewebsites.net/​|WDAC Policy Wizard]]».\\
Строка 6: Строка 6:
 Конфигурационный файл WDAC’а – XML файл, примеры таких файлов можно найти в каталоге «C:​\Windows\schemas\CodeIntegrity\ExamplePolicies».\\ Конфигурационный файл WDAC’а – XML файл, примеры таких файлов можно найти в каталоге «C:​\Windows\schemas\CodeIntegrity\ExamplePolicies».\\
 \\ \\
-Можно создать свой конфигурационный файл, например,​ с разрешениями для текущей конфигурации системы+Можно создать свой конфигурационный файл, например,​ с разрешениями для текущей конфигурации системы. Для этого запустите среду "​PowerShell"​ [[+tab|run-dialog-box|выполнив команду]] "​powershell"​ с правами администратора. А затем выполните нижеуказанную команду.
 <​code>​ <​code>​
 MultiplePolicyFormat -FilePath Example.xml -ScanPath C: -Level FilePublisher -UserPEs -Fallback Hash MultiplePolicyFormat -FilePath Example.xml -ScanPath C: -Level FilePublisher -UserPEs -Fallback Hash
 </​code>​ </​code>​
-\\+==== Режим аудита ====
 Для настройки правил можно использовать режим аудита,​ он позволяет системе запускать то, что было запрещено,​ при этом запуск записывается в журналы:​ Для настройки правил можно использовать режим аудита,​ он позволяет системе запускать то, что было запрещено,​ при этом запуск записывается в журналы:​
   * Просмотр событий > Журналы приложений и служб > Windows > AppLocker > MSI сценарий   * Просмотр событий > Журналы приложений и служб > Windows > AppLocker > MSI сценарий
   * Просмотр событий > Журналы приложений и служб > Windows > CodeIntegrity > Operational   * Просмотр событий > Журналы приложений и служб > Windows > CodeIntegrity > Operational
-Данный режим можно включить с помощью команды+Данный режим можно включить с помощью команды ​в среде «PowerShell»
 <​code>​ <​code>​
 Set-RuleOption -FilePath Example.xml -Option 3 Set-RuleOption -FilePath Example.xml -Option 3
 </​code>​ </​code>​
-Или отключить с помощью команды+Или отключить с помощью команды ​в среде «PowerShell»
 <​code>​ <​code>​
 Set-RuleOption -FilePath Example.xml -Delete -Option 3 Set-RuleOption -FilePath Example.xml -Delete -Option 3
 </​code>​ </​code>​
 +Перечень других возможностей можно найти [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create#​table-1-windows-defender-application-control-policy---policy-rule-options|здесь]]. Обратите внимание на возможность «10» - загрузка в режиме аудита при неработоспособности драйвера.
 +==== Применение правил к системе ====
 +Для применения правил к системе необходимо из XML файла сделать бинарный файл с помощью команды в среде «PowerShell»
 +<​code>​
 +ConvertFrom-CIPolicy –XmlFilePath Example.xml –BinaryFilePath Example.p7b
 +</​code>​
 +Полученный файл необходимо скопировать в папку «C:​\Windows\System32\CodeIntegrity»,​ файл должен называться «SIPolicy.p7b» иначе политика не будут работать. Чтобы политики вступили в силу необходимо перезагрузить систему.
  
 +Можно создавать дополнительные политики с расширением «cip» с помощью команды в среде «PowerShell»
 +<​code>​
 +ConvertFrom-CIPolicy –XmlFilePath Example.xml –BinaryFilePath Example.cip
 +</​code>​
 +Название cip файла должно быть таким же как значение «PolicyID»,​ которое находится в исходном XML файле, но без фигурных скобок. Файл дополнительных политик необходимо разместить в папку «C:​\Windows\System32\CodeIntegrity\CIPolicies\Active»\\
 +\\
 +Политики контроля могут быть созданы на основании пути, имени файла, издателе и других параметрах
 +[[+tab|https://​learn.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create#​table-2-windows-defender-application-control-policy---file-rule-levels|других параметрах]]
 ====== Официальная документация ====== ====== Официальная документация ======
 +  * [[+tab|https://​docs.microsoft.com/​ru-ru/​windows/​security/​threat-protection/​windows-defender-application-control/​|Управление приложениями для Windows]]
   * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create|Understand Windows Defender Application Control]]   * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create|Understand Windows Defender Application Control]]
 +    * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create#​table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - policy rule options]]
 +    * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create#​table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - file rule levels]]
   * [[+tab|https://​docs.microsoft.com/​ru-ru/​powershell/​module/​configci|ConfigCI]]   * [[+tab|https://​docs.microsoft.com/​ru-ru/​powershell/​module/​configci|ConfigCI]]
-  * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create#​table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - policy rule options]] 
-  * [[+tab|https://​docs.microsoft.com/​en-us/​windows/​security/​threat-protection/​windows-defender-application-control/​select-types-of-rules-to-create#​table-1-windows-defender-application-control-policy---policy-rule-options|Control policy - file rule levels]] 
   * [[+tab|https://​webapp-wdac-wizard.azurewebsites.net/​|WDAC Policy Wizard]]   * [[+tab|https://​webapp-wdac-wizard.azurewebsites.net/​|WDAC Policy Wizard]]
  
wdac.1638970696.txt.gz · Последние изменения: 2021/12/08 16:38 — vladimir