Criar uma política de integridade de código do Device Guard com base em um dispositivo de referência
Para implementar a proteção de aplicativo do Device Guard, você precisará criar uma política de integridade do código. As políticas de integridade de código determinam quais aplicativos são considerados confiáveis e podem ser executados em um dispositivo protegido.
Criar uma política de integridade de código do Device Guard com base em um dispositivo de referência
Para criar uma política de integridade de código, primeiro você precisa criar uma imagem de referência que inclua os aplicativos assinados que deseja executar em seus dispositivos protegidos. Para obter informações sobre como assinar aplicativos, consulte Baixando aplicativos para executar em dispositivos protegidos pelo Device Guard.
Observação Antes de criar uma política de integridade de código, verifique se seu dispositivo de referência está livre de vírus e malware.
Para criar uma política de integridade de código com base em um dispositivo de referência
Em seu dispositivo de referência, inicie o Windows PowerShell como administrador.
No PowerShell, inicialize as variáveis digitando:
$CIPolicyPath=$env:userprofile+"\Desktop\" $InitialCIPolicy=$CIPolicyPath+"InitialScan.xml" $CIPolicyBin=$CIPolicyPath+"DeviceGuardPolicy.bin"
Verifique os aplicativos instalados em seu dispositivo e crie uma nova política de integridade de código digitando:
New-CIPolicy -Level <RuleLevel> -FilePath $InitialCIPolicy -UserPEs -Fallback Hash 3> Warningslog.txt
Em que <RuleLevel> pode ser definido com qualquer uma das seguintes opções:
Nível da regra Descrição Hash
Especifica valores hash individuais para cada aplicativo descoberto. Cada vez que um aplicativo é atualizado, o valor hash muda e você precisa atualizar sua política.
FileName
Atualmente sem suporte.
SignedVersion
Atualmente sem suporte.
Publisher
Esse nível é uma combinação do certificado PCA e do nome comum (CN) no certificado secundário. Quando um certificado PCA é usado para assinar aplicativos de várias empresas (como VeriSign), esse nível de regra permite que você confie no certificado PCA, mas apenas da empresa cujo nome esteja no certificado secundário.
FilePublisher
Atualmente sem suporte.
LeafCertificate
Adiciona signatários confiáveis no nível de certificado de assinatura individual. Quando um aplicativo é atualizado, o valor hash é modificado, mas o certificado de assinatura permanece o mesmo. Você só precisará atualizar sua política se o certificado de assinatura de um aplicativo for alterado.
Observação Os certificados secundários têm períodos de validade muito mais curtos do que os certificados PCA. Você precisará atualizar sua política se um certificado expirar.PcaCertificate
Adiciona o certificado mais alto na cadeia de certificados fornecida aos signatários. Esse é geralmente um certificado abaixo do certificado raiz, já que a verificação não valida nada acima a assinatura apresentada online ou verificando os repositórios raiz locais.
RootCertificate
Atualmente sem suporte.
WHQL
Atualmente sem suporte.
WHQLPublisher
Atualmente sem suporte.
WHQLFilePublisher
Atualmente sem suporte.
Digite o seguinte para converter a política de integridade de código em um formato binário:
ConvertFrom-CIPolicy $InitialCIPolicy $CIPolicyBin
Depois de concluir essas etapas, o arquivo binário da política do Device Guard (DeviceGuardPolicy.bin) e o arquivo xml original (InitialScan.xml) estarão disponíveis na área de trabalho.
Observação Recomendamos manter uma cópia do InitialScan.xml para usar se você precisar mesclar essa política de integridade de código com outra política ou atualizar as opções de regra de política.
Tópicos relacionados
Baixando aplicativos para executar em dispositivos protegidos pelo Device Guard