Share via

Criar uma política de integridade de código do Device Guard com base em um dispositivo de referência

  • Artigo

Para implementar a proteção de aplicativo do Device Guard, você precisará criar uma política de integridade do código. As políticas de integridade de código determinam quais aplicativos são considerados confiáveis e podem ser executados em um dispositivo protegido.

Criar uma política de integridade de código do Device Guard com base em um dispositivo de referência

Para criar uma política de integridade de código, primeiro você precisa criar uma imagem de referência que inclua os aplicativos assinados que deseja executar em seus dispositivos protegidos. Para obter informações sobre como assinar aplicativos, consulte Baixando aplicativos para executar em dispositivos protegidos pelo Device Guard.

Observação  Antes de criar uma política de integridade de código, verifique se seu dispositivo de referência está livre de vírus e malware.

 

Mt243445.wedge(pt-br,VS.85).gifPara criar uma política de integridade de código com base em um dispositivo de referência

  1. Em seu dispositivo de referência, inicie o Windows PowerShell como administrador.

  2. No PowerShell, inicialize as variáveis digitando:

    $CIPolicyPath=$env:userprofile+"\Desktop\"
$InitialCIPolicy=$CIPolicyPath+"InitialScan.xml"
$CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"

  3. Verifique os aplicativos instalados em seu dispositivo e crie uma nova política de integridade de código digitando:

    New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt

    Em que <RuleLevel> pode ser definido com qualquer uma das seguintes opções:

    Nível da regra Descrição

    Hash

    Especifica valores hash individuais para cada aplicativo descoberto. Cada vez que um aplicativo é atualizado, o valor hash muda e você precisa atualizar sua política.

    FileName

    Atualmente sem suporte.

    SignedVersion

    Atualmente sem suporte.

    Publisher

    Esse nível é uma combinação do certificado PCA e do nome comum (CN) no certificado secundário. Quando um certificado PCA é usado para assinar aplicativos de várias empresas (como VeriSign), esse nível de regra permite que você confie no certificado PCA, mas apenas da empresa cujo nome esteja no certificado secundário.

    FilePublisher

    Atualmente sem suporte.

    LeafCertificate

    Adiciona signatários confiáveis no nível de certificado de assinatura individual. Quando um aplicativo é atualizado, o valor hash é modificado, mas o certificado de assinatura permanece o mesmo. Você só precisará atualizar sua política se o certificado de assinatura de um aplicativo for alterado.

    Observação  Os certificados secundários têm períodos de validade muito mais curtos do que os certificados PCA. Você precisará atualizar sua política se um certificado expirar.
     

    PcaCertificate

    Adiciona o certificado mais alto na cadeia de certificados fornecida aos signatários. Esse é geralmente um certificado abaixo do certificado raiz, já que a verificação não valida nada acima a assinatura apresentada online ou verificando os repositórios raiz locais.

    RootCertificate

    Atualmente sem suporte.

    WHQL

    Atualmente sem suporte.

    WHQLPublisher

    Atualmente sem suporte.

    WHQLFilePublisher

    Atualmente sem suporte.

     

  4. Digite o seguinte para converter a política de integridade de código em um formato binário:

    ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin

Depois de concluir essas etapas, o arquivo binário da política do Device Guard (DeviceGuardPolicy.bin) e o arquivo xml original (InitialScan.xml) estarão disponíveis na área de trabalho.

Observação  Recomendamos manter uma cópia do InitialScan.xml para usar se você precisar mesclar essa política de integridade de código com outra política ou atualizar as opções de regra de política.

 

Tópicos relacionados

Baixando aplicativos para executar em dispositivos protegidos pelo Device Guard