Gestion de l’infrastructure appliquée par WDAC (Windows Defender Application Control)
L’application de contrôle Windows Defender (WDAC) peut aider à atténuer les menaces de sécurité en limitant les applications que les utilisateurs peuvent exécuter et le code qui s’exécute dans le noyau du système (kernel). Les stratégies de contrôle d’application peuvent également bloquer les scripts et les MSI non signés et limiter l’exécution de Windows PowerShell au mode de langage limité. En savoir plus sur le contrôle d’application pour Windows.
Une configuration supplémentaire est nécessaire pour permettre à Windows Admin Center d’installer et gérer les environnements appliqués par WDAC. Ce document décrit ces exigences et les problèmes connus liés à la gestion d’un environnement appliqué par WDAC.
Configuration requise
Cette section fournit les conditions requises pour utiliser Windows Admin Center pour gérer votre infrastructure appliquée par WDAC (serveurs, ordinateurs clients ou clusters).
Exigences de stratégie
Selon votre cas d’usage, vous devez autoriser un ou plusieurs certificats dans le cadre de vos stratégies de base ou stratégies supplémentaires. En savoir plus sur le déploiement d’une stratégie de base ou une stratégie supplémentaire.
Cas [1] : WDAC est appliqué uniquement à vos nœuds managés.
Cas [2] : WDAC est appliqué à votre nœud managé et à l’ordinateur sur lequel vous déployez Windows Admin Center.
Pour le cas [1], seule la règle de signataire suivante doit être autorisée dans la stratégie WDAC sur votre nœud managé :
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
Pour le cas [2] :
- La règle de signataire ci-dessus doit être inscrite sur la liste verte à la fois sur votre nœud managé et sur l’ordinateur sur lequel vous déployez Windows Admin Center.
- En outre, les règles de signataire et de fichier/hachage suivantes doivent être uniquement autorisées sur l’ordinateur sur lequel vous déployez Windows Admin Center :
Règle de signataire :
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
Règle de fichier/hachage :
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
Notes
Le signataire et l’ID d’autorisation (c’est-à-dire, ID de signataire=« ID_SIGNER_S_XXXXX ») doivent être générés automatiquement par l’outil/le script de création de stratégie. Pour plus d’informations, reportez-vous à la documentation WDAC
Conseil
L’outil Assistant WDAC peut être très utile pour créer/modifier des stratégies WDAC. N’oubliez pas que lors de la création d’une stratégie, que ce soit à l’aide de l’Assistant ou des commandes PowerShell, utilisez la règle « Publisher » sur les fichiers binaires pour générer des règles. Par exemple, lorsque vous utilisez l’Assistant, vous pouvez générer la stratégie WDAC pour le cas [1] en fonction du Windows Admin Center .msi. Pour le cas [2], vous pouvez toujours utiliser l’Assistant, mais vous devez modifier manuellement votre stratégie WDAC pour inclure le signataire répertorié et la règle de hachage.
Configuration requise du réseau
Par défaut, Windows Admin Center communique avec vos serveurs via WinRM sur HTTP (port 5985) ou HTTPS (port 5986). Pour l’infrastructure appliquée par WDAC, Windows Admin Center a également besoin d’un accès SMB aux nœuds gérés (port TCP 445).
Autorisations
Le transfert de fichiers basé sur des chemins UNC sur le port SMB 445 est essentiel pour permettre à Windows Admin Center de gérer ces environnements. Vérifiez que vous êtes administrateur sur le serveur managé ou le cluster et que les transferts de fichiers ne sont pas bloqués par des stratégies de sécurité.
Stratégie d'exécution de PowerShell
Le paramètre ExecutionPolicy PowerShell par défaut permet à Windows Admin Center de gérer un ordinateur pour lequel le Contrôle d'application Windows Defender est appliqué. Cependant, si le paramètre ExecutionPolicy par défaut a changé sur l’ordinateur, vous devez vous assurer que l’étendue de LocalMachine est définie sur RemoteSigned afin d’autoriser le chargement et l’exécution de scripts signés. Il s’agit d’une fonctionnalité de sécurité PowerShell et les modifications doivent être effectuées uniquement lorsque cela est approprié et nécessaire.
Installation et connexion
Installation de
Installez Windows Admin Center sur votre serveur ou ordinateur client appliqué par WDAC comme vous le feriez normalement. Si les conditions ci-dessus sont remplies, Windows Admin Center doit installer et fonctionner normalement.
Connecting
Connectez-vous à votre serveur, client ou ordinateur de cluster appliqué par WDAC comme vous le feriez normalement. Lors de la connexion à votre serveur, vous pouvez suivre l’état de l’application à l’aide du champ « Mode de langage PowerShell » dans la page Vue d’ensemble. Si la valeur de ce champ est « Contrainte », WDAC est alors appliqué.
Lorsque vous vous connectez à un cluster appliqué par WDAC pour la première fois, Windows Admin Center peut prendre quelques minutes pour configurer la connexion à votre cluster. Les connexions suivantes n’auront pas de délai.
Notes
Si vous modifiez l’état d’application par WDAC de vos nœuds managés, n’utilisez pas Windows Admin Center pendant au moins 30 secondes pour que cette modification soit reflétée.
Problèmes connus
Actuellement, le déploiement de Azure Kubernetes Service sur Azure Stack HCI et Resource Bridge via Windows Admin Center n’est pas pris en charge sur un environnement appliqué par WDAC. En outre, l’utilisation de l’extension Support à distance et GPU sur Azure Stack HCI n’est pas prise en charge actuellement.
L’utilisation de RBAC sur un seul serveur n’est actuellement pas prise en charge.
Certaines opérations de l’outil Certificats ne sont actuellement pas prises en charge.
Dépannage
- Erreur « Module introuvable » ou « Échec de la connexion »
- Pour vérifier si Windows Admin Center a correctement transféré des fichiers vers votre nœud managé, accédez au dossier
%PROGRAMFILES%\WindowsPowerShell\Modulessur votre nœud managé et vérifiez que les modules portant le nomMicrosoft.SME.*existent dans ce dossier - S’ils n’existent pas, reconnectez-vous à votre serveur ou cluster à partir de Windows Admin Center
- Vérifiez que l’ordinateur sur lequel Windows Admin Center a été installé a accès au port TCP 445 sur le nœud managé
- Pour vérifier si Windows Admin Center a correctement transféré des fichiers vers votre nœud managé, accédez au dossier