当我有强制模式时,我正在使用命令应用wdac,我尝试将其更改为强制模式,但如果没有重启激活的规则16,它就不起作用,我尝试使用gpupdate/force,但它也不起作用,有什么想法吗?
(W10版本1809)
策略已正确启用
这是我使用的代码:
$Policy="C:PoliciesPolicy.xml"
$DeviceGuardPolicy="C:PoliciesDeviceGuardPolicy.bin"
$LGPOTxt="C:PoliciesLGPOLGPO.txt" #Txt generated after lgpo backup
$WL="C:Policies"
$SIPolicy="C:WindowsSystem32CodeIntegritySiPolicy.p7b"
Disable-WdacPolicy
rm $SiPolicy
Set-RuleOption -FilePath $Policy -Option 3
ConvertFrom-CIPolicy $Policy $DeviceGuardPolicy
ConvertFrom-CIPolicy -XmlFilePath $Policy -BinaryFilePath $SIPolicy
Enable-WdacPolicy
$ActivatePolicy="Computer`r`nSOFTWAREPoliciesMicrosoftWindowsDeviceGuard`r`nDeployConfigCIPolicy`r`nDWORD:1`r`n`r`nComputer`r`nSOFTWAREPoliciesMicrosoftWindowsDeviceGuard`r`nConfigCIPolicyFilePath`r`nSZ:C:\WL\politicas\DeviceGuardPolicy.bin"
$DesactivatePolicy="Computer`r`nSOFTWAREPoliciesMicrosoftWindowsDeviceGuard`r`nDeployConfigCIPolicy`r`nDELETE`r`n`r`nComputer`r`nSOFTWAREPoliciesMicrosoftWindowsDeviceGuard`r`nConfigCIPolicyFilePath`r`nDELETE"
function Enable-WdacPolicy
{
(Get-Content -path $LGPOTxt -Raw).replace($DesactivatePolicy, $ActivatePolicy) | Set-Content -Path $LGPOTxt
cd $WL
.LGPO.exe /t $LGPOTxt
ConvertFrom-CIPolicy -XmlFilePath $Policy -BinaryFilePath $SIPolicy
gpupdate /force
}
}
function Disable-WdacPolicy
{
(Get-Content -path $LGPOTxt -Raw).replace($ActivatePolicy, $DesactivatePolicy) | Set-Content -Path $LGPOTxt
cd $WL
.LGPO.exe /t $LGPOTxt
gpupdate /force
}
}
我找到了这个解决方案
Invoke-CimMethod -Namespace rootMicrosoftWindowsCI -ClassName PS_UpdateAndCompareCIPolicy -MethodName Update -Arguments @{FilePath = $DestinationBinary}
在msinfo32.exe
的gpupdate/force refresh策略后添加这行代码从Windows 11 22H2开始,使用CITool,您可以重新启动部署和激活策略(有符号和无符号),只有删除策略需要重新启动。
您可以使用相同的工具来刷新WDAC策略,删除它们,列出它们等。
已签名的WDAC策略提高了安全性,甚至对系统管理员提供了篡改保护,部署在EFI分区中。
您也可以重新启动地修改已经部署的(签名和未签名的)WDAC策略,您只需要它们的策略XML文件,以及在签名策略的情况下,用于签名它们的证书(带有私钥)。
如果你想了解更多关于Windows Defender Application Control