Table of Contents

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1

Renforcez Windows avec Windows Defender Application Control (WDAC) ##Remarques : - Windows Server 2016/2019 ou toute version antérieure à la version 1903 ne prend en charge qu’une seule stratégie transmise à la fois. - L’édition Windows Server Core prend en charge WDAC mais certains composants qui dépendent d’AppLocker ne fonctionneront pas - Veuillez lire la [Lecture recommandée] ( https://github.com/simeononsecurity/Windows-Defender-Application-Control-Hardening#recommended-reading ) avant de mettre en œuvre ou même de tester. ## Une liste de scripts et d’outils utilisés par cette collection : - MicrosoftDocs - WDAC-Toolkit - Microsoft - Actualiser la politique CI ## Des configurations supplémentaires ont été prises en charge à partir de : - Microsoft - Règles de blocage recommandées - [Microsoft - Règles de blocage des pilotes recommandés]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block- règles) - [Microsoft - Contrôle des applications Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control-design - guide) ## Explication : ### XML contre BIN : - En termes simples, les stratégies “XML” sont destinées à être appliquées localement à une machine et les fichiers “BIN” sont destinés à les appliquer avec [la stratégie de groupe] (https:// docs.microsoft.com /en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control-policies-using-group-policy) ou Microsoft Intune . Bien que vous puissiez utiliser des stratégies XML, BIN ou CIP dans un déploiement local, en règle générale, vous devez tenir en XML dans la mesure du possible, en particulier lors de l’audit ou du dépannage. ### Description des règles : - Règles par défaut : - Les politiques “par défaut” utilisent uniquement les fonctionnalités par défaut disponibles dans le WDAC-Toolkit. - Politiques recommandées : - Les stratégies “recommandées” utilisent les fonctionnalités par défaut ainsi que les [blocs] recommandés par Microsoft ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control /microsoft -recommended-block-rules) et [driver block]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver -bloc -règles) règles. - Politiques d’audit : - Les politiques “Audit”, il suffit de consigner les exceptions aux règles. Ceci est destiné aux tests dans votre environnement, afin que vous puissiez modifier les politiques, à volonté, pour répondre aux besoins de votre environnement. - Règles appliquées : - Les politiques “Enforced” n’autoriseront aucune exception aux règles, les applications, les pilotes, les dll, etc. seront bloqués s’ils ne sont pas conformes. ### Politiques disponibles : - XML : - Audit uniquement : - WDAC_V1_Default_Audit_{version}.xml - WDAC_V1_Recommended_Audit_{version}.xml - Forcée : - WDAC_V1_Default_Enforced_{version}.xml - WDAC_V1_Recommended_Enforced_{version}.xml - POUBELLE : - Audit uniquement : - WDAC_V1_Default_Audit_{version}.bin - WDAC_V1_Recommended_Audit_{version}.bin - Forcée : - WDAC_V1_Default_Enforced_{version}.bin - WDAC_V1_Recommended_Enforced_{version}.bin - CPE : - Audit uniquement : - WDAC_V1_Default_Audit\{uid}.cip - WDAC_V1_Recommended_Audit\{uid}.cip - Forcée : - WDAC_V1_Default_Enforced\{uid}.cip - WDAC_V1_Recommended_Enforced\{uid}.cip Mettez à jour la ligne suivante dans le script pour utiliser la stratégie requise localement : Vous pouvez également utiliser la [stratégie de groupe]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control - politiques-using-group-policy) ou [Microsoft Intune]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender - application-control-policies-using-intune) pour appliquer les stratégies WDAC. ## Audit : Vous pouvez afficher les journaux d’événements WDAC dans l’observateur d’événements sous : Journaux des applications et des services\Microsoft\Windows\CodeIntegrity\Operational ## Conférence recommandée : - Argonsys - Déploiement de la politique de contrôle des applications Windows 10 - [Microsoft - Auditer les politiques de contrôle des applications Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/audit-windows-defender -application-politiques de contrôle) - [Microsoft - Créer une stratégie WDAC pour les appareils à charge de travail fixe à l’aide d’un ordinateur de référence] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/ windows-defender-application-control/create-stratégie-par-défaut-initiale) - [Microsoft - Déployer les stratégies de contrôle des applications Windows Defender à l’aide de la stratégie de groupe] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender- application-control/deploy-windows-defenseur-application-control-politiques-utilisant-groupe-politique) - [Microsoft - Déployer les stratégies de contrôle des applications Windows Defender à l’aide de Microsoft Intune]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application- control/deploy-windows-defender-application-contrôle-politiques-utilisant-intune) - [Microsoft - Déployeur des stratégies WDAC à l’aide d’un script] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/ déployer-wdac-politiques-avec-scénario) - [Microsoft - Appliquer les politiques de contrôle des applications Windows Defencer]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/enforce-windows-defender -application-politiques de contrôle) - [Microsoft - Conseils sur la création de stratégies de refus WDAC]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/create-wdac-deny -politique) - [Microsoft - Utiliser plusieurs politiques de contrôle des applications Windows Defender]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-multiple-windows -defender -application-control-policies) ## Commentez le script : ### Installation manuelle : S’il est téléchargé manuellement, le script doit être lancé à partir d’un powershell administratif dans le répertoire contenant tous les fichiers du [GitHub Repository]( https://github.com/simeononsecurity/Windows-Defender-Application-Control- Durcissement/archive/main .zipper)