Table of Contents

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1

Absichern von Windows mit Windows Defender Application Control (WDAC) ## Anmerkungen: – Windows Server 2016/2019 oder alles vor Version 1903 unterstützt jeweils nur eine einzige Legacy-Richtlinie. – Windows Server Core Edition unterstützt WDAC, aber einige Komponenten, die von AppLocker abhängen, funktionieren nicht – Bitte lesen Sie die Empfohlene Lektüre , bevor Sie sie implementieren oder sogar testen. ## Eine Liste von Skripten und Tools, die diese Sammlung verwendet: - MicrosoftDocs - WDAC-Toolkit - Microsoft – CI-Richtlinie aktualisieren ## Zusätzliche Konfigurationen wurden berücksichtigt von: - Microsoft – Empfohlene Sperrregeln Microsoft – Empfohlene Treiberblockierungsregeln – [Microsoft – Windows Defender Application Control]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control-design- Führung) ## Erläuterung: ### XML vs. BIN: - Einfach lesen, die “XML”-Richtlinien dienen der lokalen Anwendung auf Computer und die “BIN”-Dateien dienen der Durchsetzung prozessual mit [Gruppenrichtlinie]( https://docs.microsoft.com / en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control-policies-using-group-policy) oder [Microsoft Intune](https://docs . microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control-policies-using-intune). While SIE XML-, BIN- oder CIP-Richtlinien in Einer lokalen Bereitstellung verwenden can, sollte SIE Sich im Allgemeinen nach Möglichkeit an XML halten, insbesondere bei der Überwachung oder Fehlerbehebung. ### Richtlinienbeschreibungen: - Standardrichtlinien: - Die “Standard”-Richtlinien verwenden nur die im WDAC-Toolkit verfügbaren Standardfunktionen. - Empfohlene Richtlinien: - Die “empfohlenen” Richtlinien verwenden die Standardfunktionen sowie die von Microsoft empfohlenen [Blöcke] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft - Recommended-Block-Rules) und [Driver Block]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block - Regeln) Regeln. - Auditrichtlinien: - Die “Audit”-Richtlinien protokollieren nur Ausnahmen von den Regeln. Dies dient zum Testen in Ihrer Umgebung, sodass SIE die Richtlinien nach Belieben an die Anforderungen Ihrer Umgebung anpassen können. - Durchgesetzte Richtlinien: - Die “Erzwungenen” Richtlinien lassen keine Ausnahmen von den Regeln zu, Anwendungen, Treiber, DLLs usw. zu. zu. zu. Werden blockiert, wenn sie sich nicht daran halten. ### Verfügbare Richtlinien: - XML: - Nur Prüfung: - WDAC_V1_Default_Audit_{Version}.xml - WDAC_V1_Recommended_Audit_{Version}.xml - Erzwungen: - WDAC_V1_Default_Enforced_{Version}.xml - WDAC_V1_Recommended_Enforced_{Version}.xml - BEHÄLTER: - Nur Prüfung: - WDAC_V1_Default_Audit_{Version}.bin - WDAC_V1_Recommended_Audit_{Version}.bin - Erzwungen: - WDAC_V1_Default_Enforced_{Version}.bin - WDAC_V1_Recommended_Enforced_{Version}.bin - CIP: - Nur Prüfung: - WDAC_V1_Default_Audit\{uid}.cip - WDAC_V1_Recommended_Audit\{uid}.cip - Erzwungen: - WDAC_V1_Default_Enforced\{uid}.cip - WDAC_V1_Recommended_Enforced\{uid}.cip Aktualisieren Sie die folgende Zeile im Skript, um die gewünschte Richtlinie lokal zu verwenden: Alternativ können Sie [Gruppenrichtlinie]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control- policies-using -group-policy) oder [Microsoft Intune]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control -policies-using-intune), um die WDAC-Richtlinien durchzusetzen. ##Prüfung: Sie können die WDAC-Ereignisprotokolle in der Ereignisanzeige unter anzeigen: „Anwendungs- und Diensteprotokolle\Microsoft\Windows\CodeIntegrity\Operational“. ## Literatur-Empfehlungen: – Argonsys – Bereitstellen der Windows 10-Anwendungssteuerungsrichtlinie – [Microsoft – Richtlinien zur Windows Defender-Anwendungssteuerung prüfen]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/audit-windows-defender-application - Kontroll-Richtlinien) – [Microsoft – Erstellen einer WDAC-Richtlinie für Geräte mit fester Workload mithilfe eines Referenzcomputers]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/create -initial-default-policy) – [Microsoft – Bereitstellen von Windows Defender-Anwendungssteuerungsrichtlinien anhand von Gruppenrichtlinien]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-Defender -Application-Control-Policies-Using-Group-Policy) – [Microsoft – Bereitstellen von Windows Defender-Anwendungssteuerungsrichtlinien mithilfe von Microsoft Intune]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows- Defender-Application-Control-Policies-Using-Intune) – [Microsoft – Bereitstellen von WDAC-Richtlinien mithilfe von Skript]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac- Richtlinien mit Skript) – [Microsoft – Richtlinien zur Windows Defender-Anwendungssteuerung erzwingen]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/enforce-windows-defender-application - Kontroll-Richtlinien) – Microsoft – Anleitung zum Erstellen von WDAC-Verweigerungsrichtlinien - [Microsoft – Verwenden Sie mehrere Windows Defender-Anwendungssteuerungsrichtlinien]( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-multiple-windows-defender -Anwendungssteuerungsrichtlinien) ## So führen Sie das Skript aus: ### Manuelle Installation: Wenn es manuell heruntergeladen wird, muss das Skript von einer administrativen Powershell in dem Verzeichnis gestartet werden, das alle Dateien aus dem [GitHub-Repository] enthält ( https://github.com/simeononsecurity/Windows-Defender-Application-Control-Hardening /archive/main .Reißverschluss)