Pliki konfiguracyjne i dane Windows Defender Application Control (WDAC): Jak Windows zarządza politykami wykonawczymi aplikacji?

Pliki konfiguracyjne i dane Windows Defender Application Control (WDAC) to nic innego jak kręgosłup bezpieczeństwa, który decyduje, jakie aplikacje mogą, a jakie nie mogą działać na Twoim komputerze z Windowsem. Wyobraź sobie, że to taki bardzo, bardzo restrykcyjny bouncer, który wpuszcza do klubu (Twojego systemu) tylko te programy, które są na specjalnej liście VIP. Zazwyczaj spotkasz je w formie skompilowanych polityk z rozszerzeniem `.bin`, ale ich źródłem są pliki `.xml`. Gdzie je znajdziesz? Aktywne polityki rezydują głęboko w systemie, często w lokalizacji `C:\Windows\System32\CodeIntegrity\CiPolicies\Active`. Tak, dokładnie tam, gdzie są te wszystkie wrażliwe rzeczy.

Do czego służą pliki WDAC i kto ich używa?

No dobra, ale po co to w ogóle jest? W skrócie, WDAC, czyli Windows Defender Application Control (dawniej znany jako Device Guard, a jeszcze wcześniej AppLocker – tak, zmieniają te nazwy częściej niż ja skarpetki!), to zaawansowana funkcja bezpieczeństwa, która pozwala na tworzenie i egzekwowanie polityk integralności kodu. Co to znaczy? To znaczy, że możesz zdefiniować, które pliki wykonywalne (aplikacje, skrypty, DLL-ki) są zaufane i mogą się uruchomić, a które nie. To potężne narzędzie do ochrony przed złośliwym oprogramowaniem, bo blokuje wszystko, co nie jest jawnie dozwolone. Pomyśl o tym jak o białej liście aplikacji. Zamiast próbować zablokować znane wirusy (jak robi antywirus), WDAC mówi: „Jeśli nie jesteś na mojej liście 'OK’, nie wejdziesz”.

Głównym programem, który tworzy i używa tych plików, jest oczywiście sam Windows Defender Application Control, będący integralną częścią systemu Windows, szczególnie w edycjach Pro, Enterprise i Education. Administratorzy systemów w firmach to uwielbiają (albo nienawidzą, jeśli polityki są źle skonfigurowane!), bo daje im to ogromną kontrolę nad środowiskiem. Tworzą te polityki za pomocą PowerShell (tak, to konsola systemowa dla zaawansowanych), edytorów XML, a następnie kompilują je do formatu `.bin` i wdrażają przez Group Policy (zasady grupy) albo MDM (Mobile Device Management).

Czy to wirus? Czy mogę to usunąć i co się stanie?

Czy te pliki to wirus? Absolutnie nie! To są legitne, systemowe pliki bezpieczeństwa Microsoftu. Jeśli znalazłeś je na swoim komputerze, to znaczy, że albo masz aktywne polityki WDAC (częste w firmach, rzadziej na prywatnych komputerach, chyba że sam to ustawiłeś), albo po prostu system jest na to gotowy.

A czy można je usunąć? Technicznie rzecz biorąc, zawsze można coś usunąć, jeśli się ma odpowiednie uprawnienia, ale w przypadku plików WDAC nie tylko nie można, ale wręcz nie wolno tego robić! Dlaczego? Bo usunięcie aktywnej polityki WDAC bez odpowiedniej procedury może mieć katastrofalne skutki. Wyobraź sobie, że bouncer nagle znika, a za drzwiami czeka masa niechcianych typów. System może:

• Przestać uruchamiać krytyczne aplikacje, w tym nawet niektóre komponenty Windowsa, jeśli polityka była źle skonfigurowana lub jeśli usunięcie polityki wywołało nieprzewidziane konsekwencje.
• Stań się skrajnie niestabilny, a nawet niezdolny do uruchomienia. Tak, Twój system może po prostu się nie podnieść.
• Stań się podatny na ataki, ponieważ usunąłeś jedną z warstw obrony.

Zresztą, to są pliki systemowe i często są ustawione jako tylko do odczytu (read-only) lub chronione przez mechanizmy Windows, żeby nie dało się ich tak łatwo ruszyć. Windows wie, co robi, chroniąc te pliki.

Typowe problemy i błędy związane z plikami WDAC

Skoro to taka super ochrona, to gdzie tu haczyk? Głównie w konfiguracji. Typowe problemy to:

• Blokowanie legalnych aplikacji: Klasyczny scenariusz! Administrator stworzy politykę, zapomni dodać jakąś aplikację do listy zaufanych, i nagle użytkownicy nie mogą uruchomić np. swojej ulubionej przeglądarki. Dużo zabawy z tym później, wierz mi.
• Błędy wdrożenia polityki: Polityka nie stosuje się poprawnie do wszystkich komputerów, albo nakłada się kilka konfliktujących polityk naraz.
• Problemy z aktualizacjami: Nowa wersja aplikacji ma zmieniony podpis cyfrowy i nagle WDAC ją blokuje, bo „nie zna” tej wersji.
• Dzienniki zdarzeń pełne ostrzeżeń: W Podglądzie zdarzeń (Event Viewer), w sekcji `Dzienniki aplikacji i usług` -> `Microsoft` -> `Windows` -> `CodeIntegrity` -> `Operational` znajdziesz mnóstwo wpisów o blokowaniu aplikacji, co może pomóc w diagnostyce.
• Niska wydajność: Bardzo rzadko, ale bardzo złożone polityki mogą minimalnie wpłynąć na wydajność startu aplikacji.

Pliki WDAC, jak już wspomniałem, są chronione przez system jako pliki systemowe i tylko do odczytu, aby zapobiec przypadkowemu usunięciu lub zmianie, co mogłoby zagrozić integralności i bezpieczeństwu systemu operacyjnego. Zmiany w politykach wykonuje się za pomocą specjalistycznych narzędzi i procedur, a nie edytując pliki bezpośrednio. To jest po prostu zbyt ryzykowne. A wiesz co jest jeszcze fajne? Że Microsoft ciągle rozwija WDAC, dodając nowe możliwości i upraszczając (przynajmniej próbując) jego konfigurację.

Najczęstsze pytania

Co to dokładnie robi Windows Defender Application Control?

WDAC to funkcja bezpieczeństwa Windows, która kontroluje, jakie aplikacje, skrypty i pliki DLL mogą być uruchamiane na podstawie zdefiniowanych polityk integralności kodu, działając jak biała lista zaufanych programów.

Czy mogę edytować te pliki konfiguracyjne ręcznie?

Nie, nie jest to zalecane i może zniszczyć system. Polityki WDAC należy tworzyć i modyfikować za pomocą narzędzi PowerShell, edytorów XML i innych dedykowanych funkcji systemowych, a następnie wdrażać je w skompilowanej formie.

Czy WDAC jest tylko dla firm?

Głównie tak, bo oferuje zaawansowaną kontrolę wymaganą w środowiskach korporacyjnych, ale jest dostępny w edycjach Windows Pro, Enterprise i Education, co oznacza, że technicznie można go skonfigurować także na domowym komputerze (choć rzadko się to robi).