Table of Contents

$PolicyPath = "C:\temp\Windows Defender\CIP\WDAC_V1_Recommended_Enforced\*.cip"
#https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies-with-script
ForEach ($Policy in (Get-ChildItem -Recurse $PolicyPath).Fullname) {
  $PolicyBinary = "$Policy"
  $DestinationFolder = $env:windir+"\System32\CodeIntegrity\CIPolicies\Active\"
  $RefreshPolicyTool = "./Files/EXECUTABLES/RefreshPolicy(AMD64).exe"
  Copy-Item -Path $PolicyBinary -Destination $DestinationFolder -Force
  & $RefreshPolicyTool
}

Set-ExecutionPolicy -ExecutionPolicy RemoteSigned -Force
Get-ChildItem -Recurse *.ps1 | Unblock-File
.\sos-wdachardening.ps1

تصلب النوافذ مع التحكم في تطبيق Windows Defender (WDAC) ## ملحوظات: - يدعم Windows Server 2016/2019 أو أي شيء قبل الإصدار 1903 سياسة قديمة فقط في كل مرة. - يدعم إصدار Windows Server Core WDAC ولكن بعض تعتمد على AppLocker لن تعمل - يرجى قراءة [خشبة القراءة] ( https://github.com/simeononsecurity/Windows-Defender-Application-Control-Hardening#recommended-reading ) قبل التنفيذ أو حتى الاختبار. ## النصوص والأدوات التي تستخدمها هذه المجموعة: - [MicrosoftDocs - WDAC-Toolkit] ( https://github.com/MicrosoftDocs/WDAC-Toolkit ) - [Microsoft - Refresh CI Policy] ( https://www.microsoft.com/en-us/download/details.aspx ؟id=102925) ## تم اعتبار التكوينات الإضافية من: - [Microsoft - قواعد الحظر بها] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-block-rules ) - [Microsoft - قواعد حظر برنامج التشغيل الخاص بها] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver-block - قواعد) - [Microsoft - التحكم في تطبيق Windows Defender] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/windows-defender-application-control-design - مرشد) ## توضيح: ### XML مقابل BIN: - ببساطة ، سياسات ** “XML” ** تنطبق على جهاز محليًا وملفات ** “BIN” ** لفرضها باستخدام نهج المجموعة] ( https://docs.microsoft.com / en-us / windows / security / التهديدات -protection / windows-defender-application-control / publish-windows-defender-application-control-policies-using-group-policy) أو [Microsoft Intune] (https: // docs .microsoft.com / en-us / windows / security / التهديدات- Protection / windows-defender-application-control / publish-windows-defender-application-control-policies-using-intune). سياسات استخدام سياسات XML أو BIN أو CIP في النشر المحلي ، ### أوصاف السياسة: - ** التفاعل: ** - مَظهر الصورة. - ** براقها: ** تستخدم -recommended-block-rules) و [driver block] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/microsoft-recommended-driver- كتلة القواعد) القواعد. - ** سياسات التدقيق: ** - سياسات “التدقيق” ، ما عليك سوى تسجيل الاستثناءات من القواعد. هذا النوع من التجارة يجعلهم مناسبين. - ** التنفيذ: ** - لن تنص على تعديلها. ### الفرص المتاحة: - ** XML: ** - ** التدقيق فقط: ** - WDAC_V1_Default_Audit_ {version} .xml - WDAC_V1_Recommended_Audit_ {version} .xml - ** فرض: ** - WDAC_V1_Default_Enforced_ {version} .xml - WDAC_V1_Recommended_Enforced_ {version} .xml - ** سلة مهملات: ** - ** التدقيق فقط: ** - WDAC_V1_Default_Audit_ {version} .bin - WDAC_V1_Recommended_Audit_ {version} .bin - ** فرض: ** - WDAC_V1_Default_Enforced_ {version} .bin - WDAC_V1_Recommended_Enforced_ {version} .bin - ** CIP: ** - ** التدقيق فقط: ** - WDAC_V1_Default_Audit \ {uid} .cip - WDAC_V1_Recommended_Audit \ {uid} .cip - ** فرض: ** - WDAC_V1_Default_Enforced \ {uid} .cip - WDAC_V1_Recommended_Enforced \ {uid} .cip قم بتحديث السطر التالي في البرنامج الذي تريده محليًا: أو استخدام [نهج المجموعة] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender-application-control - سياسات- استخدام -group-policy) أو [Microsoft Intune] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows-defender - سياسات التحكم في التطبيق يستخدم intune) لفرض سياسات WDAC. ## التدقيق: يمكنك عرض أحداث أحداث WDAC في عارض الأحداث ضمن: التطبيقات والجهاز \ Microsoft \ Windows \ CodeIntegrity \ Operational " ## اقتراحات للقراءة: - [Argonsys - نشر سياسة التحكم في تطبيق Windows 10] ( https://argonsys.com/microsoft-cloud/library/deploying-windows-10-application-control-policy/ ) - [Microsoft - تدقيق سياسات التحكم في تطبيق Windows Defender] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/audit-windows-defender-application - سياسات الرقابة) - [Microsoft - إنشاء سياسة WDAC للأجهزة ذات حمل العمل باستخدام كمبيوتر مرجعي] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/create سياسة التقصيرئي ) - [Microsoft - نشر سياسات التحكم في تطبيق Windows Defender باستخدام نهج المجموعة] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows- defender-application-control-policies-using-group-policy) - [Microsoft - نشر سياسات التحكم في تطبيق Windows Defender باستخدام Microsoft Intune] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-windows- defender-application-control-policies-using-intune) - [Microsoft - نشر سياسات WDAC التي تظهر البرنامج] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deployment/deploy-wdac-policies- مع -النصي) - [Microsoft - فرض سياسات التحكم في تطبيق Windows Defencer] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/enforce-windows-defender-application - سياسات الرقابة) - [Microsoft - أرشفة إنشاء سياسات رفض WDAC] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/create-wdac-deny-policy ) - [Microsoft - استخدام سياسات التحكم في تطبيق Windows Defender المتعددة] ( https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-defender-application-control/deploy-multiple-windows- مدافع-التطبيق-التحكم-الظهيرة) ## كيفية تشغيل البرنامج: ### التثبيت اليدوي: الدليل الذي تم تطويره من [GitHub Repository] ( https://github.com/simeononsecurity/Windows-Defender-Application-Control-Hardening/archive/main .