উইন্ডোজ ডিফেন্ডার অ্যাপ্লিকেশন কন্ট্রোল WDAC-এর সাথে উইন্ডোজ শক্ত করার সম্পূর্ণ নির্দেশিকা
Table of Contents
উইন্ডোজ ডিফেন্ডার অ্যাপ্লিকেশন কন্ট্রোল ডব্লিউডিএসি সহ হার্ড উইন্ডোজ
মন্তব্য:
- উইন্ডোজ সার্ভার 2016/2019 বা সংস্করণ 1903 এর আগে যেকোন কিছু শুধুমাত্র একবারে একটি একক উত্তরাধিকার নীতি সমর্থন করে।
- উইন্ডোজ সার্ভার কোর সংস্করণ WDAC সমর্থন করে তবে অ্যাপলকারের উপর নির্ভর করে এমন কিছু উপাদান কাজ করবে না
- অনুগ্রহ করে পড়ুন Recommended Reading বাস্তবায়ন বা এমনকি পরীক্ষার আগে।
এই সংগ্রহটি ব্যবহার করে স্ক্রিপ্ট এবং সরঞ্জামগুলির একটি তালিকা:
- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy
থেকে অতিরিক্ত কনফিগারেশন বিবেচনা করা হয়েছিল:
- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control
ব্যাখ্যাঃ
XML বনাম BIN:
- সহজ কথায়, “XML” নীতিগুলি একটি মেশিনে স্থানীয়ভাবে আবেদন করার জন্য এবং “BIN” ফাইলগুলি যেকোন একটি দিয়ে প্রয়োগ করার জন্য Group Policy or Microsoft Intune আপনি যখন স্থানীয় স্থাপনায় XML, BIN, বা CIP নীতিগুলি ব্যবহার করতে পারেন, সাধারণভাবে বলতে গেলে আপনাকে XML-এ লেগে থাকা উচিত যেখানে সম্ভব এবং বিশেষ করে অডিট বা সমস্যা সমাধানের সময়।
নীতি বর্ণনা:
- ডিফল্ট নীতি:
- “ডিফল্ট” নীতিগুলি শুধুমাত্র WDAC-Toolkit-এ উপলব্ধ ডিফল্ট বৈশিষ্ট্যগুলি ব্যবহার করে৷
- প্রস্তাবিত নীতি:
- “প্রস্তাবিত” নীতিগুলি ডিফল্ট বৈশিষ্ট্যগুলির পাশাপাশি Microsoft-এর প্রস্তাবিত বৈশিষ্ট্যগুলি ব্যবহার করে৷ blocks and driver block নিয়ম
- অডিট নীতি:
- “অডিট” নীতিগুলি, নিয়মগুলির ব্যতিক্রমগুলি লগ করুন৷ এটি আপনার পরিবেশে পরীক্ষার জন্য, যাতে আপনি আপনার পরিবেশের প্রয়োজনের সাথে মানানসই নীতিগুলি পরিবর্তন করতে পারেন।
- প্রবর্তিত নীতি:
- “প্রবর্তিত” নীতিগুলি নিয়মগুলির কোনও ব্যতিক্রমের অনুমতি দেবে না, অ্যাপ্লিকেশন, ড্রাইভার, dll, ইত্যাদি মেনে না চললে ব্লক করা হবে৷
উপলব্ধ নীতি:
- XML:
- শুধুমাত্র নিরীক্ষা:
WDAC_V1_Default_Audit_{version}.xml
WDAC_V1_Recommended_Audit_{version}.xml
- জোরপূর্বক:
WDAC_V1_Default_Enforced_{version}.xml
WDAC_V1_Recommended_Enforced_{version}.xml
- শুধুমাত্র নিরীক্ষা:
- বিন:
- শুধুমাত্র নিরীক্ষা:
WDAC_V1_Default_Audit_{version}.bin
WDAC_V1_Recommended_Audit_{version}.bin
- জোরপূর্বক:
WDAC_V1_Default_Enforced_{version}.bin
WDAC_V1_Recommended_Enforced_{version}.bin
- শুধুমাত্র নিরীক্ষা:
- সিআইপি:
- শুধুমাত্র নিরীক্ষা:
WDAC_V1_Default_Audit\{uid}.cip
WDAC_V1_Recommended_Audit\{uid}.cip
- জোরপূর্বক:
WDAC_V1_Default_Enforced\{uid}.cip
WDAC_V1_Recommended_Enforced\{uid}.cip
- শুধুমাত্র নিরীক্ষা:
আপনি স্থানীয়ভাবে যে নীতিটি চান তা ব্যবহার করতে স্ক্রিপ্টে নিম্নলিখিত লাইনটি আপডেট করুন:
$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
$PolicyBinary = "$Policy"
$DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
$RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
& $RefreshPolicyTool
}
Alternatively, you may use Group Policy or Microsoft Intune to enforce the WDAC policies.
Auditing:
You can view the WDAC event logs in event viewer under:
Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational
Recommended Reading:
- Argonsys - Deploying Windows 10 Application Control Policy
- Microsoft - Audit Windows Defender Application Control Policies
- Microsoft - Create a WDAC policy for fixed-workload devices using a reference computer
- Microsoft - Deploy Windows Defender Application Control policies by using Group Policy
- Microsoft - Deploy Windows Defender Application Control policies by using Microsoft Intune
- Microsoft - Deploy WDAC policies using script
- Microsoft - Enforce Windows Defencer Application Control Policies
- Microsoft - Guidance on Creating WDAC Deny Policies
- Microsoft - Use multiple Windows Defender Application Control Policies
How to run the script:
Manual Install:
If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the GitHub Repository
Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1