Добавить в корзинуПозвонить
Найти в Дзене
PC-Defender

Настройка WDAC (Windows Defender Application Control) в Windows 10 Pro

Главное предупреждение: WDAC — это система, которая управляет разрешением на запуск программ и драйверов на самом низком уровне Windows. Неправильная настройка политики может привести к тому, что после перезагрузки система перестанет загружаться или будут заблокированы критически важные компоненты. Настоятельно рекомендуется иметь резервную копию всех важных данных перед началом любых экспериментов. Перед началом работы необходимо убедиться, что система готова. Microsoft предоставляет несколько готовых шаблонов политик, которые находятся в папке C:\Windows\schemas\CodeIntegrity\ExamplePolicies. Для вашего случая лучше всего начать с одной из двух: Мы создадим политику на основе шаблона и сразу переведем ее в безопасный режим аудита. Важное замечание: После копирования файла в системную папку не используйте никакие команды для "обновления" или "применения". Просто перезагрузите компьютер. При запуске система сама подхватит новую политику и начнет её применять. После перезагрузки ваша с
Оглавление

Главное предупреждение: WDAC — это система, которая управляет разрешением на запуск программ и драйверов на самом низком уровне Windows. Неправильная настройка политики может привести к тому, что после перезагрузки система перестанет загружаться или будут заблокированы критически важные компоненты. Настоятельно рекомендуется иметь резервную копию всех важных данных перед началом любых экспериментов.

Шаг 1: Проверка и подготовка системы

Перед началом работы необходимо убедиться, что система готова.

  • Проверьте версию Windows: Убедитесь, что на вашем компьютере установлена Windows 10 Pro версии 1903 или новее. Это минимальное требование для использования большинства функций WDAC.
  • Создайте точку восстановления системы: Это ваша "страховка". Если что-то пойдет не так, вы сможете откатить систему до рабочего состояния.
  • Временно отключите антивирус: Чтобы избежать конфликтов при создании политики, временно отключите антивирус.

Шаг 2: Выбор базовой политики (шаблона)

Microsoft предоставляет несколько готовых шаблонов политик, которые находятся в папке C:\Windows\schemas\CodeIntegrity\ExamplePolicies. Для вашего случая лучше всего начать с одной из двух:

  • DefaultWindows_Audit.xml: Это самый безопасный и рекомендуемый стартовый шаблон. Он разрешает работу всех компонентов Windows, драйверов, подписанных Microsoft, и приложений из Microsoft Store. Сторонние приложения (например, ваш браузер, игры) он изначально не разрешит, но и не заблокирует, а просто запишет событие в лог. Это идеальный режим для начального этапа.

Шаг 3: Создание и настройка политики в режиме аудита

Мы создадим политику на основе шаблона и сразу переведем ее в безопасный режим аудита.

  1. Скопируйте шаблон: Скопируйте выбранный вами XML-файл (например, DefaultWindows_Audit.xml) из папки C:\Windows\schemas\CodeIntegrity\ExamplePolicies на рабочий стол и переименуйте его, например, в MyWDACPolicy.xml.
  2. Настройте режим аудита (если необходимо):
    Откройте
    PowerShell от имени администратора.
    Выполните команду для преобразования политики в режим аудита. Это позволит WDAC только логировать нарушения, не блокируя работу программ.
    Команда: Set-RuleOption -FilePath "C:\Users\
    Ваше_Имя_Пользователя\Desktop\MyWDACPolicy.xml" -Option 3
    Эта команда добавит в политику правило Enabled:Audit Mode. Если политика уже была создана в этом режиме, команда просто убедится в этом.

Шаг 4: Применение политики к системе

  1. Конвертируйте XML в бинарный файл: WDAC работает не с XML, а с бинарными файлами. Выполните в PowerShell:
    ConvertFrom-CIPolicy -XmlFilePath "C:\Users\
    Ваше_Имя_Пользователя\Desktop\MyWDACPolicy.xml" -BinaryFilePath "C:\Users\Ваше_Имя_Пользователя\Desktop\MyWDACPolicy.bin"
  2. Скопируйте бинарный файл: Скопируйте полученный файл MyWDACPolicy.bin в системную папку:
    Copy-Item "C:\Users\
    Ваше_Имя_Пользователя\Desktop\MyWDACPolicy.bin" -Destination "C:\Windows\System32\CodeIntegrity\"
  3. Активируйте политику: В Windows 10 для вступления политики в силу необходима перезагрузка компьютера.
Важное замечание: После копирования файла в системную папку не используйте никакие команды для "обновления" или "применения". Просто перезагрузите компьютер. При запуске система сама подхватит новую политику и начнет её применять.

Шаг 5: Мониторинг и анализ событий

После перезагрузки ваша система будет работать в обычном режиме, но все, что не разрешено политикой, будет записываться в журнал.

  1. Откройте "Просмотр событий": Нажмите Win + X и выберите "Просмотр событий".
  2. Найдите журналы WDAC: Перейдите по пути: Журналы Windows → Система.
  3. Отфильтруйте события: Нажмите "Фильтровать текущий журнал..." справа. В поле "Коды событий" введите 3076 (для событий блокировки WDAC) и нажмите OK.

Используйте компьютер в обычном режиме несколько дней. Изучайте эти события. Если вы видите, что WDAC хочет заблокировать ваше любимое приложение или драйвер (например, компоненты вашей видеокарты или игры), это означает, что их нужно будет добавить в политику.

Шаг 6: Добавление правил и донастройка политики

Для добавления разрешений используется PowerShell.

  1. Создайте новую политику из логов: Microsoft рекомендует создавать разрешающие правила, анализируя логи работающей системы. Для этого используется команда New-CIPolicy, которая сканирует папки и добавляет обнаруженные приложения в разрешенный список. Обычно это делается на "эталонном" компьютере, где установлены все нужные программы.
  2. Добавьте правило для конкретного файла или папки: Если нужно разрешить конкретную программу, можно использовать:
    Add-SignerRule — для добавления правила по цифровой подписи (предпочтительный способ).
    Add-Content — для добавления правил по пути к файлу или хешу (менее гибко).
  3. Объедините политики: Для объединения нескольких политик используйте Merge-CIPolicy.
  4. Повторите Шаги 3 и 4: После добавления новых правил необходимо снова сконвертировать XML в BIN и заменить файл в C:\Windows\System32\CodeIntegrity\.

Шаг 7: Включение политики в режиме принуждения

Когда вы убедитесь, что все нужные программы работают, а в логах нет ложных срабатываний, можно включить принудительное применение правил.

  1. Откройте ваш XML-файл политики (MyWDACPolicy.xml) в блокноте.
  2. Найдите строку <Rule> с атрибутом Option="3" (это и есть режим аудита). Удалите всю эту строку.
  3. Сохраните файл и снова преобразуйте его в бинарный (ConvertFrom-CIPolicy) и скопируйте в C:\Windows\System32\CodeIntegrity\.
  4. После перезагрузки политика начнет блокировать все, что в нее не включено.

WDAC — это отличный способ поднять безопасность вашей системы на новый уровень, но он требует терпения и внимательности. Если вы не готовы к такому уровню сложности, лучше рассмотреть альтернативные варианты, такие как AppLocker или решения от сторонних производителей.

Надеюсь, эта инструкция поможет вам.

А вы настраивали у себя WDAC (Windows Defender Application Control)?