windows 激活WDAC的规则16不允许在不重新启动的情况下应用策略

mec1mxoz  于 2023-04-13  发布在  Windows
关注(0)|答案(2)|浏览(161)

我应用wdac使用命令时,我有强制模式,我试图改变它到强制模式,但它不工作,没有重新启动与规则16激活,我已经尝试使用gpupdate /部队,但它也不工作,任何想法?
(W10版本1809)
策略已正确启用
这是我正在使用的代码:

$Policy="C:\Policies\Policy.xml"
$DeviceGuardPolicy="C:\Policies\DeviceGuardPolicy.bin"
$LGPOTxt="C:\Policies\LGPO\LGPO.txt" #Txt generated after lgpo backup
$WL="C:\Policies"
$SIPolicy="C:\Windows\System32\CodeIntegrity\SiPolicy.p7b"

  Disable-WdacPolicy
  rm $SiPolicy
  Set-RuleOption -FilePath $Policy -Option 3 
  ConvertFrom-CIPolicy $Policy $DeviceGuardPolicy
  ConvertFrom-CIPolicy -XmlFilePath $Policy -BinaryFilePath $SIPolicy 
  Enable-WdacPolicy

$ActivatePolicy="Computer`r`nSOFTWARE\Policies\Microsoft\Windows\DeviceGuard`r`nDeployConfigCIPolicy`r`nDWORD:1`r`n`r`nComputer`r`nSOFTWARE\Policies\Microsoft\Windows\DeviceGuard`r`nConfigCIPolicyFilePath`r`nSZ:C:\\WL\\politicas\\DeviceGuardPolicy.bin"
$DesactivatePolicy="Computer`r`nSOFTWARE\Policies\Microsoft\Windows\DeviceGuard`r`nDeployConfigCIPolicy`r`nDELETE`r`n`r`nComputer`r`nSOFTWARE\Policies\Microsoft\Windows\DeviceGuard`r`nConfigCIPolicyFilePath`r`nDELETE"

function Enable-WdacPolicy
{
  (Get-Content -path $LGPOTxt -Raw).replace($DesactivatePolicy, $ActivatePolicy) | Set-Content -Path $LGPOTxt
    cd $WL
    .\LGPO.exe /t $LGPOTxt
    ConvertFrom-CIPolicy -XmlFilePath $Policy -BinaryFilePath $SIPolicy 
    gpupdate /force
  }
}

function Disable-WdacPolicy
{
    (Get-Content -path $LGPOTxt -Raw).replace($ActivatePolicy, $DesactivatePolicy) | Set-Content -Path $LGPOTxt
    cd $WL
    .\LGPO.exe /t $LGPOTxt
    gpupdate /force
  }
}
r3i60tvu

r3i60tvu1#

我找到了这个解决方案

Invoke-CimMethod -Namespace root\Microsoft\Windows\CI -ClassName PS_UpdateAndCompareCIPolicy -MethodName Update -Arguments @{FilePath = $DestinationBinary}

在msinfo32.exe中gpupdate /force刷新策略后添加此行代码

v9tzhpje

v9tzhpje2#

从Windows 11 22H2开始,使用CITool,您可以无重启地部署和激活策略(Sigend和unsigned),只有删除策略才需要重启。
您可以使用相同的工具来刷新WDAC策略,删除它们,列出它们等。
签名的WDAC策略,增加了安全性,并提供篡改保护,即使对系统管理员,部署在EFI分区。
您也可以无重启地修改已经部署的(Sigend和未签名的)WDAC策略,您只需要它们的策略XML文件,以及用于签名策略的证书(带有私钥)。
If you want to read more about Windows Defender Application Control

相关问题