Windows Defender Application Control (WDAC) è una funzionalità di controllo delle applicazioni Microsoft che consente agli amministratori di decidere quale codice è autorizzato a essere eseguito su un dispositivo Windows. Può applicare regole per eseguibili, script, DLL e driver in base a hash, percorsi, editor o criteri di firma. In pratica, WDAC viene usato per bloccare codice non attendibile o non firmato e per limitare l'esecuzione di script, inclusi percorsi di abuso comuni come WScript, PowerShell o altri strumenti living-off-the-land.
WDAC è importante perché molti attacchi dipendono dall'esecuzione di codice che sembra abbastanza legittimo da passare inosservato. Se un criterio consente solo software approvato e script affidabili, il malware ha meno modi per avviarsi o persistere. I difensori spesso affiancano WDAC a restrizioni sugli script, telemetria e protezione degli endpoint per ridurre il rischio di malware che usa l'automazione nativa di Windows. Non è una soluzione miracolosa: codice malevolo firmato, criteri deboli o liste di autorizzazione troppo ampie possono comunque lasciare delle lacune, quindi WDAC funziona meglio come parte di una strategia di hardening a più livelli.



