ਵਿੰਡੋਜ਼ ਡਿਫੈਂਡਰ ਐਪਲੀਕੇਸ਼ਨ ਕੰਟਰੋਲ ਡਬਲਯੂਡੀਏਸੀ ਨਾਲ ਵਿੰਡੋਜ਼ ਨੂੰ ਸਖ਼ਤ ਕਰਨ ਲਈ ਪੂਰੀ ਗਾਈਡ

ਵਿੰਡੋਜ਼ ਡਿਫੈਂਡਰ ਐਪਲੀਕੇਸ਼ਨ ਕੰਟਰੋਲ WDAC ਨਾਲ ਵਿੰਡੋਜ਼ ਨੂੰ ਸਖਤ ਕਰੋ

ਨੋਟ: #

• ਵਿੰਡੋਜ਼ ਸਰਵਰ 2016/2019 ਜਾਂ ਸੰਸਕਰਣ 1903 ਤੋਂ ਪਹਿਲਾਂ ਦੀ ਕੋਈ ਵੀ ਚੀਜ਼ ਇੱਕ ਸਮੇਂ ਵਿੱਚ ਸਿਰਫ ਇੱਕ ਵਿਰਾਸਤੀ ਨੀਤੀ ਦਾ ਸਮਰਥਨ ਕਰਦੀ ਹੈ।
• ਵਿੰਡੋਜ਼ ਸਰਵਰ ਕੋਰ ਐਡੀਸ਼ਨ ਡਬਲਯੂਡੀਏਸੀ ਦਾ ਸਮਰਥਨ ਕਰਦਾ ਹੈ ਪਰ ਕੁਝ ਭਾਗ ਜੋ ਐਪਲੌਕਰ ‘ਤੇ ਨਿਰਭਰ ਕਰਦੇ ਹਨ ਕੰਮ ਨਹੀਂ ਕਰਨਗੇ।
• ਕਿਰਪਾ ਕਰਕੇ ਪੜ੍ਹੋ Recommended Reading ਲਾਗੂ ਕਰਨ ਜਾਂ ਟੈਸਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ.

ਸਕ੍ਰਿਪਟਾਂ ਅਤੇ ਸਾਧਨਾਂ ਦੀ ਇੱਕ ਸੂਚੀ ਜੋ ਇਹ ਸੰਗ੍ਰਹਿ ਵਰਤਦਾ ਹੈ: #

- MicrosoftDocs - WDAC-Toolkit - Microsoft - Refresh CI Policy

ਇਸ ਤੋਂ ਵਧੀਕ ਸੰਰਚਨਾਵਾਂ ‘ਤੇ ਵਿਚਾਰ ਕੀਤਾ ਗਿਆ ਸੀ: #

- Microsoft - Recommended block rules - Microsoft - Recommended driver block rules - Microsoft - Windows Defender Application Control

ਵਿਆਖਿਆ: #

XML ਬਨਾਮ BIN: #

• ਸਾਦੇ ਸ਼ਬਦਾਂ ਵਿਚ, “XML” ਨੀਤੀਆਂ ਸਥਾਨਕ ਤੌਰ ‘ਤੇ ਮਸ਼ੀਨ ‘ਤੇ ਲਾਗੂ ਕਰਨ ਲਈ ਹਨ ਅਤੇ “BIN” ਫਾਈਲਾਂ ਉਹਨਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਹਨ। Group Policy or Microsoft Intune ਜਦੋਂ ਤੁਸੀਂ ਸਥਾਨਕ ਤੈਨਾਤੀ ਵਿੱਚ XML, BIN, ਜਾਂ CIP ਨੀਤੀਆਂ ਦੀ ਵਰਤੋਂ ਕਰ ਸਕਦੇ ਹੋ, ਆਮ ਤੌਰ ‘ਤੇ ਤੁਹਾਨੂੰ XML ਨਾਲ ਜੁੜੇ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ ਜਿੱਥੇ ਸੰਭਵ ਹੋਵੇ ਅਤੇ ਖਾਸ ਤੌਰ ‘ਤੇ ਆਡਿਟ ਜਾਂ ਸਮੱਸਿਆ-ਨਿਪਟਾਰਾ ਕਰਨ ਵੇਲੇ।

ਨੀਤੀ ਵਰਣਨ: #

• ਪੂਰਵ-ਨਿਰਧਾਰਤ ਨੀਤੀਆਂ:
  • “ਡਿਫਾਲਟ” ਨੀਤੀਆਂ ਸਿਰਫ WDAC-ਟੂਲਕਿੱਟ ਵਿੱਚ ਉਪਲਬਧ ਡਿਫੌਲਟ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ।
• ਸਿਫਾਰਿਸ਼ ਕੀਤੀਆਂ ਨੀਤੀਆਂ:
  • “ਸਿਫਾਰਿਸ਼ ਕੀਤੀਆਂ” ਨੀਤੀਆਂ ਡਿਫੌਲਟ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦੇ ਨਾਲ-ਨਾਲ ਮਾਈਕ੍ਰੋਸਾੱਫਟ ਦੀਆਂ ਸਿਫ਼ਾਰਿਸ਼ਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀਆਂ ਹਨ blocks and driver block ਨਿਯਮ
• ਆਡਿਟ ਨੀਤੀਆਂ:
  • “ਆਡਿਟ” ਨੀਤੀਆਂ, ਨਿਯਮਾਂ ਦੇ ਅਪਵਾਦਾਂ ਨੂੰ ਲੌਗ ਕਰੋ। ਇਹ ਤੁਹਾਡੇ ਵਾਤਾਵਰਣ ਵਿੱਚ ਜਾਂਚ ਲਈ ਹੈ, ਤਾਂ ਜੋ ਤੁਸੀਂ ਆਪਣੀਆਂ ਵਾਤਾਵਰਣ ਦੀਆਂ ਲੋੜਾਂ ਨੂੰ ਪੂਰਾ ਕਰਨ ਲਈ, ਆਪਣੀ ਮਰਜ਼ੀ ਨਾਲ ਨੀਤੀਆਂ ਨੂੰ ਸੋਧ ਸਕੋ।
• ਲਾਗੂ ਕੀਤੀਆਂ ਨੀਤੀਆਂ:
  • “ਲਾਗੂ” ਨੀਤੀਆਂ ਨਿਯਮਾਂ ਦੇ ਕਿਸੇ ਵੀ ਅਪਵਾਦ ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦੇਣਗੀਆਂ, ਐਪਲੀਕੇਸ਼ਨਾਂ, ਡਰਾਈਵਰਾਂ, dlls, ਆਦਿ ਨੂੰ ਬਲੌਕ ਕੀਤਾ ਜਾਵੇਗਾ ਜੇਕਰ ਉਹ ਪਾਲਣਾ ਨਹੀਂ ਕਰਦੇ ਹਨ।

ਉਪਲਬਧ ਨੀਤੀਆਂ: #

• XML:
  • ਕੇਵਲ ਆਡਿਟ:
    • WDAC_V1_Default_Audit_{version}.xml
    • WDAC_V1_Recommended_Audit_{version}.xml
  • ਲਾਗੂ ਕੀਤਾ:
    • WDAC_V1_Default_Enforced_{version}.xml
    • WDAC_V1_Recommended_Enforced_{version}.xml
• ਬਿਨ:
  • ਕੇਵਲ ਆਡਿਟ:
    • WDAC_V1_Default_Audit_{version}.bin
    • WDAC_V1_Recommended_Audit_{version}.bin
  • ਲਾਗੂ ਕੀਤਾ:
    • WDAC_V1_Default_Enforced_{version}.bin
    • WDAC_V1_Recommended_Enforced_{version}.bin
• ਸੀਆਈਪੀ:
  • ਕੇਵਲ ਆਡਿਟ:
    • WDAC_V1_Default_Audit\{uid}.cip
    • WDAC_V1_Recommended_Audit\{uid}.cip
  • ਲਾਗੂ ਕੀਤਾ:
    • WDAC_V1_Default_Enforced\{uid}.cip
    • WDAC_V1_Recommended_Enforced\{uid}.cip

ਉਸ ਨੀਤੀ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਹੇਠਾਂ ਦਿੱਤੀ ਲਾਈਨ ਨੂੰ ਅੱਪਡੇਟ ਕਰੋ ਜੋ ਤੁਸੀਂ ਸਥਾਨਕ ਤੌਰ ‘ਤੇ ਚਾਹੁੰਦੇ ਹੋ:

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Alternatively, you may use Group Policy or Microsoft Intune to enforce the WDAC policies.

Auditing: #

You can view the WDAC event logs in event viewer under:

Applications and Services Logs\Microsoft\Windows\CodeIntegrity\Operational

Recommended Reading: #

• Argonsys - Deploying Windows 10 Application Control Policy
• Microsoft - Audit Windows Defender Application Control Policies
• Microsoft - Create a WDAC policy for fixed-workload devices using a reference computer
• Microsoft - Deploy Windows Defender Application Control policies by using Group Policy
• Microsoft - Deploy Windows Defender Application Control policies by using Microsoft Intune
• Microsoft - Deploy WDAC policies using script
• Microsoft - Enforce Windows Defencer Application Control Policies
• Microsoft - Guidance on Creating WDAC Deny Policies
• Microsoft - Use multiple Windows Defender Application Control Policies

How to run the script: #

Manual Install: #

If manually downloaded, the script must be launched from an administrative powershell in the directory containing all the files from the GitHub Repository

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1