Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El Control de aplicaciones de Windows Defender (WDAC) puede ayudar a mitigar muchas amenazas de seguridad mediante la restricción de las aplicaciones que los usuarios pueden ejecutar y el código que se ejecuta en el núcleo del sistema (kernel). Las directivas de control de aplicaciones también pueden bloquear scripts sin firmar y archivos MSI, y restringir Windows PowerShell para que se ejecute en ConstrainedLanguage modo.
Obtenga más información sobre el control de aplicaciones para Windows.
Se requiere una configuración adicional para que Windows Admin Center se instale en entornos aplicados a WDAC y administrelos. En este artículo se tratan estos requisitos y problemas conocidos en la administración de un entorno aplicado por WDAC.
Requisitos
En las secciones siguientes se proporcionan los requisitos para usar Windows Admin Center para administrar la infraestructura aplicada a WDAC (servidores, máquinas cliente o clústeres).
Requisitos de la directiva
En función del caso de uso, debe agregar uno o varios certificados a la lista de autorizaciones como parte de sus políticas base o suplementarias. Obtenga más información sobre la implementación de una directiva base o complementaria.
- Caso 1: solo los nodos administrados tienen aplicado WDAC.
- Caso 2: tanto el nodo administrado como la máquina en la que se implementa Windows Admin Center tienen WDAC aplicado.
En el caso 1, solo es necesario incluir la siguiente regla de firmante en la directiva WDAC en su nodo administrado:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
En el caso 2, la regla de firmante anterior debe agregarse a la lista de permitidos tanto en el nodo administrado como en la máquina en la que se implementa Windows Admin Center. Además, se deben agregar las siguientes reglas de firmante a la lista de permitidos solo en la máquina en la que se implementa Windows Admin Center:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value=".NET" />
</Signer>
La regla de firmante con CertPublisher Value=".NET" no es necesaria si usa una versión de Windows Admin Center anterior a la 2410. Sin embargo, estas versiones anteriores requieren que las siguientes reglas de archivo o hash solo se incluyan en la lista de permitidos en la máquina en la que se implementa Windows Admin Center:
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
La herramienta o script de creación de directivas debe generar automáticamente Signer ID y Allow ID (es decir, Signer ID="ID_SIGNER_S_XXXXX"). Para obtener más información, consulte la documentación de WDAC.
Sugerencia
El Asistente para control de aplicaciones para empresas puede resultar útil para crear y editar directivas WDAC. Recuerde que al crear una nueva directiva, ya sea mediante el asistente o los comandos de PowerShell, use la Publisher regla en archivos binarios para generar reglas. Por ejemplo, al usar el asistente, puede generar la directiva WDAC para el caso 1 en función del archivo .msi de Windows Admin Center. En el caso 2, puede seguir usar el asistente, pero tendrá que editar manualmente la directiva de WDAC para incluir el firmante y la regla hash enumeradas.
Requisitos de red
De forma predeterminada, Windows Admin Center se comunica con los servidores a través de WinRM a través de HTTP (puerto 5985) o HTTPS (puerto 5986). Para la infraestructura aplicada a WDAC, Windows Admin Center necesita además acceso SMB a los nodos administrados (puerto TCP 445).
Permisos
La transferencia de archivos basada en rutas UNC a través del puerto SMB 445 es fundamental para que Windows Admin Center administre estos entornos. Asegúrese de que es administrador en el servidor o clúster administrados. Asegúrese también de que las directivas de seguridad no bloqueen las transferencias de archivos.
Directiva de ejecución de PowerShell
La directiva de ejecución predeterminada de PowerShell es suficiente para que Windows Admin Center administre una máquina aplicada a WDAC. Sin embargo, si la política de ejecución predeterminada cambia en la máquina, debe asegurarse de que el LocalMachine ámbito se establezca en RemoteSigned para permitir que los scripts firmados puedan cargarse y ejecutarse. Se trata de una característica de seguridad de PowerShell y solo debe realizar cambios cuando sean adecuados y necesarios.
Instalación de
Instale Windows Admin Center en su servidor o equipo cliente con WDAC aplicado, tal y como lo haría normalmente. Si cumple los requisitos anteriores, Windows Admin Center debe instalar y funcionar de la forma normal.
Conectando
Conéctese a las máquinas de servidor, cliente o clúster controladas por WDAC como lo haría normalmente. Al conectarse al servidor, puede realizar un seguimiento del estado de cumplimiento a través del campo Modo de lenguaje de PowerShell en la página Información general . Si el valor de este campo es Restringido, se aplica WDAC.
Cuando se conecta a un clúster regido por WDAC por primera vez, Windows Admin Center puede tardar unos minutos en establecer la conexión al clúster. Las conexiones posteriores no tendrán un retraso.
Nota
Si cambia el estado de cumplimiento de WDAC de los nodos administrados, no use Windows Admin Center durante al menos 30 segundos para que este cambio se refleje.
Problemas conocidos
Actualmente, la implementación de Azure Kubernetes Service en Azure Local y el puente de recursos de Azure Arc a través de Windows Admin Center no se admite en un entorno donde se aplica WDAC.
Actualmente no se admite el uso del control de acceso basado en rol (RBAC) en un solo servidor.
Actualmente no se admiten algunas operaciones específicas en la herramienta Certificados.
Solución de problemas
Si recibe un error de "Módulo no encontrado" o "no se pudo conectar":
Para confirmar si Windows Admin Center transfirió correctamente los archivos al nodo administrado, vaya a la
%PROGRAMFILES%\WindowsPowerShell\Modulescarpeta del nodo administrado y compruebe que existen módulos con el nombreMicrosoft.SME.*en esa carpeta.Si los módulos no existen, vuelva a conectarse al servidor o al clúster desde Windows Admin Center.
Asegúrese de que la máquina donde está instalado Windows Admin Center tiene acceso al puerto TCP 445 en el nodo administrado.