.NET 内网实战： 通过定制化的策略文件绕过 Windows Defender

本文内容部分节选自小报童《.NET 通过定制化的策略文件绕过 Windows Defender》，完整的文章内容请加入小报童后订阅查看。现在限时只需59元，永久买断！目前已有300+位朋友抢先预定，我们会长期更新，对.NET内网安全的朋友们请尽快订阅该报刊！

3.1 什么是WDAC

WDAC，全称 Windows Defender Application Control，是微软在 Windows 10 及后续版本中引入的一项高级安全功能。它的核心用途是： 只允许经过授权的应用程序和代码在系统上运行， 阻止所有未被授权的文件执行，无论这些文件是恶意的还是意外引入的，并且允许管理员制定精细的应用程序运行规则，提升设备的整体安全性。

WDAC 的工作原理大致可以分为三部分，首先，通过扫描系统，收集受信任程序的签名或哈希信息，策略以 XML 文件或编译后的 .p7b 文件形式存在，比如 SiPolicy.p7b。

接着，将策略文件放置到系统指定路径，这里的策略需要重启系统后才能生效。

C:WindowsSystem32CodeIntegritySiPolicy.p7b

当用户或系统尝试执行某个程序时，WDAC 内核组件会检查其是否符合策略要求，不符合条件的程序被直接阻止，无法运行。

3.2 安装可视化工具

WDAC Wizard 是托管在 Azure 上的轻量版工具，所以直接访问即可使用，微软提供的在线访问页面为： https://webapp-wdac-wizard.azurewebsites.net/ 安装过程需要满足 Windows 10 专业版、企业版或者 Windows 11系统，如下图所示。

3.3 Code Integrity

Code Integrity 表示代码完整性，是 Windows 从 Vista 开始引入的一项安全机制，主要目的是：在系统启动或应用程序加载时，验证二进制文件的签名是否有效。从 Windows 10 开始，Code Integrity 的机制不断加强，比如新增了 Device Guard、WDAC等，而专门负责这部分功能的数据文件、策略文件、日志文件等，都会集中存放在如下系统目录里。

可以在 CodeIntegrity 目录下看到的一些文件，比如 SiPolicy.p7b，该文件是系统应用的应用控制（WDAC）策略文件，决定了哪些程序能运行。又比如 BootSiPolicy.p7b，该文件是系统启动阶段使用的策略文件，比 SiPolicy.p7b 更早生效。

Get-Command New-CIPolicy

本次电子报刊《.NET 内网安全攻防》专栏，内容主要有.NET在各个内网渗透阶段与Windows系统交互的方式和技巧，可细分为以下8个方向。

1） .NET 安全防御绕过2） .NET 本地权限提升3） .NET 内网信息收集4） .NET 内网代理通道5） .NET 内网横向移动6） .NET 目标权限维持7） .NET 数据传输外发8） .NET 目标痕迹清理

原价899，现在限时只需59元，永久买断！目前已有280+位朋友抢先预定，我们会长期更新，初步计划保持每周更新1-2篇新内容，对.NET内网安全的朋友们请尽快订阅该报刊！

每增加五十人涨价10元，抓紧订阅，超值！订阅后请关注公众号：dotNet安全矩阵，发送订单截图和您的微信号，邀请您加入专属交流群。感兴趣的朋友，可以点击链接：https://xiaobot.net/p/dotNetAttack，或者扫描下方海报微信二维码加入即可，订阅后小报童定时会将最新内容通过微信推送给您。