Freigeben über

Verwaltung der von Windows Defender Application Control (WDAC) erzwungenen Infrastruktur

  • Artikel

Gilt für: Windows Admin Center Preview

Die Windows Defender-Anwendungskontrolle (Windows Defender Application Control, WDAC) kann dazu beitragen, viele Sicherheitsbedrohungen abzuschwächen, indem sie die Anwendungen, die Benutzer ausführen dürfen, und den Code, der im Systemkern (Kernel) läuft, einschränkt. Richtlinien zur Anwendungskontrolle können auch nicht signierte Skripts und MSIs blockieren und die Ausführung von Windows PowerShell im Modus mit eingeschränkter Sprache einschränken. Weitere Informationen zu Anwendungskontrolle für Windows.

Für Windows Admin Center zum Installieren und Verwalten von WDAC-erzwungenen Umgebungen ist eine zusätzliche Konfiguration erforderlich. Dieses Dokument befasst sich mit diesen Anforderungen und bekannten Problemen bei der Verwaltung einer von WDAC erzwungenen Umgebung.

Anforderungen

In diesem Abschnitt finden Sie die Voraussetzungen für die Verwendung von Windows Admin Center zur Verwaltung Ihrer WDAC-erzwungenen Infrastruktur (Server, Client-Rechner oder Cluster).

Richtlinienanforderungen

Je nach Ihrem Anwendungsfall müssen Sie ein oder mehrere Zertifikate als Teil Ihrer Basis- oder Zusatzrichtlinien zulassen. Weitere Informationen finden Sie unter Bereitstellung einer Basis- oder Zusatzrichtlinie.

Fall [1]: Nur Ihre verwalteten Knoten haben WDAC erzwungen.

Fall [2]: Sowohl Ihr verwalteter Knoten als auch der Rechner, auf dem Sie Windows Admin Center bereitstellen, haben WDAC erzwungen.

Für Fall [1] muss nur die folgende Unterzeichnerregel in der WDAC-Richtlinie auf Ihrem verwalteten Knoten zugelassen werden:

<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> 
  <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 
  <CertPublisher Value="Microsoft Corporation" /> 
</Signer>

Für Fall [2]:

  • Die obige Unterzeichnerregel muss sowohl auf Ihrem verwalteten Knoten als auch auf dem Computer, auf dem Sie Windows Admin Center bereitstellen, in die Zulassungsliste aufgenommen werden.
  • Darüber hinaus müssen die folgenden Unterzeichner- und Datei-/Hash-Regeln nur auf dem Computer zugelassen werden, auf dem Sie Windows Admin Center bereitstellen:

Unterzeichnerregel:

<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> 
  <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> 
  <CertPublisher Value="Microsoft 3rd Party Application Component" /> 
</Signer>

Datei-/Hash-Regel:

<FileRules>
    <!--Requirement from WAC to allow files from WiX-->
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
    <Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
    <Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
  </FileRules>

Hinweis

Die Unterzeichner- und Erlaubnis-ID (z. B. Unterzeichner-ID=“ID_SIGNER_S_XXXXX") sollte automatisch von dem Tool/Skript zur Erstellung der Richtlinie generiert werden. Weitere Informationen finden Sie in der WDAC-Dokumentation

Tipp

Der WDAC-Assistent kann bei der Erstellung/Bearbeitung von WDAC-Richtlinien sehr hilfreich sein. Denken Sie daran, dass Sie bei der Erstellung einer neuen Richtlinie, sei es mit dem Assistenten oder den PowerShell-Befehlen, die Regel „Publisher“ für Binärdateien verwenden, um Regeln zu erstellen. Wenn Sie beispielsweise den Assistenten verwenden, können Sie die WDAC-Richtlinie für Fall [1] basierend auf dem Windows Admin Center .msi generieren. Für Fall [2] können Sie weiterhin den Assistenten verwenden, aber Sie müssen Ihre WDAC-Richtlinie manuell bearbeiten, um die aufgeführte Unterzeichner- und Hash-Regel einzuschließen.

Netzwerkanforderungen

Standardmäßig kommuniziert Windows Admin Center mit Ihren Servern über WinRM über HTTP (Port 5985) oder HTTPS (Port 5986). Für durch WDAC erzwungene Infrastruktur benötigt Windows Admin Center zusätzlich SMB-Zugriff auf die Knoten, die verwaltet werden (TCP-Port 445).

Berechtigungen

Die Dateiübertragung basierend auf UNC-Pfaden über SMB-Port 445 ist für Windows Admin Center für die Verwaltung dieser Umgebungen von entscheidender Bedeutung. Vergewissern Sie sich, dass Sie ein Administrator auf dem verwalteten Server oder Cluster sind und dass die Dateiübertragung nicht durch Sicherheitsrichtlinien blockiert wird.

PowerShell-Ausführungsrichtlinie

Die standardmäßige PowerShell ExecutionPolicy reicht für Windows Admin Center aus, um einen erzwungenen Computer mit Windows Defender-Anwendungssteuerung zu verwalten. Wenn sich die standardmäßige ExecutionPolicy jedoch auf dem Computer geändert hat, müssen Sie sicherstellen, dass der Bereich von LocalMachine auf RemoteSigned festgelegt ist, so dass signierte Skripts geladen und ausgeführt werden können. Dies ist ein PowerShell-Sicherheitsfeature, und Änderungen sollten nur bei Bedarf und wenn angemessen durchgeführt werden.

Installieren und verbinden

Installieren von

Installieren Sie Windows Admin Center wie gewohnt auf Ihrem durch WDAC erzwungenen Server oder Clientcomputer. Wenn die oben genannten Voraussetzungen erfüllt sind, sollte Windows Admin Center wie gewohnt installiert werden und funktionieren.

Verbindung

Verbinden Sie sich wie gewohnt mit Ihrem WDAC-erzwungenen Server, Client oder Cluster-Rechner. Wenn Sie eine Verbindung mit Ihrem Server herstellen, können Sie den Erzwingungsstatus anhand des Felds für den PowerShell-Sprachmodus auf der Seite Übersicht nachverfolgen. Enthält dieses Feld den Wert „Eingeschränkt“, wird WDAC erzwungen.

Wenn Sie sich zum ersten Mal mit einem WDAC-erzwungenen Cluster verbinden, kann es einige Minuten dauern, bis das Windows Admin Center die Verbindung zu Ihrem Cluster herstellt. Nachfolgende Verbindungen weisen keine Verzögerung auf.

Hinweis

Wenn Sie den WDAC-Erzwingungsstatus Ihrer verwalteten Knoten ändern, sollten Sie das Windows Admin Center mindestens 30 Sekunden lang nicht verwenden, damit diese Änderung übernommen wird.

Bekannte Probleme

  • Derzeit wird die Bereitstellung von Azure Kubernetes Service auf Azure Stack HCI und Resource Bridge über Windows Admin Center in einer WDAC-erzwungenen Umgebung nicht unterstützt. Außerdem wird die Verwendung der Erweiterung Remote Support und GPU auf Azure Stack HCI derzeit nicht unterstützt.

  • Die Verwendung von RBAC auf einem einzelnen Server wird derzeit nicht unterstützt.

  • Bestimmte Vorgänge im Zertifikat-Tool werden derzeit nicht unterstützt.

Problembehandlung

  • Fehler „Modul nicht gefunden“ oder „Verbindung fehlgeschlagen“
    1. Sie können überprüfen, ob das Windows Admin Center Dateien erfolgreich auf Ihren verwalteten Knoten übertragen hat. Navigieren Sie zu dem Ordner %PROGRAMFILES%\WindowsPowerShell\Modules auf Ihrem verwalteten Knoten und überprüfen Sie, ob Module mit dem Namen Microsoft.SME.* in diesem Ordner vorhanden sind
    2. Falls die Module nicht vorhanden sind, verbinden Sie sich erneut mit Ihrem Server oder Cluster über das Windows Admin Center
    3. Stellen Sie sicher, dass der Rechner, auf dem Windows Admin Center installiert ist, Zugriff auf den TCP-Port 445 auf dem verwalteten Knoten hat