Table of Contents

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1

Reforzar Windows con el control de aplicaciones de Windows Defender (WDAC) ## Notas: - Windows Server 2016/2019 o cualquier versión anterior a la 1903 solo admite una única política heredada a la vez. - La edición Windows Server Core es compatible con WDAC, pero algunos componentes que dependen de AppLocker no funcionan. - Lea la Lectura recomendada antes de implementar o incluso probar. ## Una lista de scripts y herramientas que utiliza esta colección: - MicrosoftDocs - WDAC-Toolkit - Microsoft - Actualizar política de CI ## Se consideraron configuraciones adicionales de: - Microsoft - Reglas de bloqueo recomendadas - [Microsoft: reglas de bloqueo de controladores recomendados] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block- normas) - [Microsoft - Control de aplicaciones de Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control- diseño-guía) ## Explicación: ### XML frente a BIN: - En pocas palabras, las políticas “XML” son para aplicarlas a una máquina localmente y los archivos “BIN” son para aplicarlas con [Política de grupo]( https://docs.microsoft.com /en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control-policies-using-group-policy) o [Microsoft Intune](https://docs .microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control-policies-using-intune). Si bien puede usar políticas XML, BIN o CIP en una implementación local, en términos generales, debe ceñirse a XML siempre que sea posible, y especialmente durante la auditoría o la resolución de problemas. ### Descripciones de políticas: - Políticas establecidas: - Las políticas “predeterminadas” utilizan solo las funciones disponibles en WDAC-Toolkit. - Políticas recomendadas: - Las políticas “Recomendadas” utilizan las funciones predeterminadas, así como los [bloques] recomendados por Microsoft ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control /microsoft -recommended-block-rules) y [driver block]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver -bloque -reglas) reglas. - Políticas de Auditoría: - Las políticas de “Auditoría”, solo registran las excepciones a las reglas. Esto es para realizar pruebas en su entorno, de modo que pueda modificar las políticas, a voluntad, para adaptar a las necesidades de su entorno. - Políticas aplicadas: - Las políticas “Obligatorias” no permitirán ninguna excepción a las reglas, las aplicaciones, drivers, dlls, etc. estarán bloqueadas si no las cumplen. ### Políticas disponibles: - XML: - Solo auditoría: - WDAC_V1_Default_Audit_{versión}.xml - WDAC_V1_Recommended_Audit_{versión}.xml - Obligatorio: - WDAC_V1_Default_Enforced_{versión}.xml - WDAC_V1_Recommended_Enforced_{versión}.xml - PAPELERA: - Solo auditoría: - WDAC_V1_Default_Audit_{versión}.bin - WDAC_V1_Recommended_Audit_{versión}.bin - Obligatorio: - WDAC_V1_Default_Enforced_{versión}.bin - WDAC_V1_Recommended_Enforced_{versión}.bin - CIP: - Solo auditoría: - WDAC_V1_Default_Audit\{uid}.cip - WDAC_V1_Recommended_Audit\{uid}.cip - Obligatorio: - WDAC_V1_Default_Enforced\{uid}.cip - WDAC_V1_Recommended_Enforced\{uid}.cip Actualice la siguiente línea en el script para usar la política que desee localmente: Como alternativa, puede utilizar [Política de grupo]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control - políticas-usando-directiva-de-grupo) o [Microsoft Intune]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows -defender- application-control-policies-using-intune) para hacer cumplir las políticas de WDAC. ## Auditoría: Puede ver los registros de eventos de WDAC en el visor de eventos en: Registros de aplicaciones y servicios\Microsoft\Windows\CodeIntegrity\Operational ## Lectura recomendada: - Argonsys - Implementación de la política de control de aplicaciones de Windows 10 - [Microsoft: auditar las políticas de control de aplicaciones de Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/audit-windows- defender-aplicación-políticas de control) - [Microsoft: cree una política WDAC para dispositivos de carga de trabajo fija usando una computadora de referencia]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application- controlar/crear -política-inicial-predeterminada) - [Microsoft - Implementar políticas de control de aplicaciones de Windows Defender mediante la política de grupo]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/ deployment-windows- defender-aplicación-control-políticas-usando-grupo-directiva) - [Microsoft - Implementar políticas de control de aplicaciones de Windows Defender mediante Microsoft Intune]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy- windows- defender-aplicación-control-políticas-usando-intune) - [Microsoft - Implementar políticas WDAC mediante script]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with -guión) - [Microsoft - Aplicar políticas de control de aplicaciones de Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/enforce-windows-defender -aplicación- políticas de control) - [Microsoft - Guía para crear políticas de denegación de WDAC]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/create-wdac-deny- político) - [Microsoft: usar varias políticas de control de aplicaciones de Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-multiple- windows-defender-politicas-de-control-de-aplicaciones) ##ejecutar cómo el script: ### Manual de instalación: Si se descarga manualmente, el script debe iniciarse desde un powershell administrativo en el directorio que contiene todos los archivos del [repositorio de GitHub] ( https://github.com/simeononsecurity/Windows-Defender-Application-Control-Hardening/archive/ directora .cremallera)