Gérer Windows Defender contrôle d’application pour Azure Stack HCI, version 23H2

Article
04/04/2024

S’applique à : Azure Stack HCI, version 23H2

Cet article explique comment utiliser Windows Defender Contrôle d’application (WDAC) pour réduire la surface d’attaque d’Azure Stack HCI. Pour plus d’informations, consultez Gérer les paramètres de sécurité de base sur Azure Stack HCI, version 23H2.

Prérequis

Avant de commencer, assurez-vous d’avoir accès à un système Azure Stack HCI version 23H2 déployé, inscrit et connecté à Azure.

Afficher les paramètres WDAC via Portail Azure

Pour afficher les paramètres WDAC dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez Appliquer l’initiative Microsoft Cloud Security Benchmark.

Vous pouvez utiliser des stratégies WDAC pour contrôler les pilotes et applications autorisés à s’exécuter sur votre système. Vous pouvez uniquement afficher les paramètres WDAC via Portail Azure. Pour gérer les paramètres, consultez Gérer les paramètres WDAC avec PowerShell.

Gérer les paramètres WDAC avec PowerShell

Activer les modes de stratégie WDAC

Vous pouvez activer WDAC pendant ou après le déploiement. Utilisez PowerShell pour activer ou désactiver WDAC après le déploiement.

Connectez-vous à l’un des nœuds de cluster et utilisez les applets de commande suivantes pour activer la stratégie WDAC souhaitée en mode « Audit » ou « Appliqué ».

Dans cette version de build, il existe deux applets de commande :

Enable-AsWdacPolicy - Affecte tous les nœuds de cluster.
Enable-ASLocalWDACPolicy - Affecte uniquement le nœud sur lequel l’applet de commande est exécutée.

Selon votre cas d’usage, vous devez exécuter un changement de cluster global ou un changement de nœud local.

Cela est utile quand :

Vous avez commencé avec les paramètres par défaut recommandés.
Vous devez installer ou exécuter de nouveaux logiciels tiers. Vous pouvez changer de mode de stratégie pour créer une stratégie supplémentaire.
Vous avez commencé avec WDAC désactivé pendant le déploiement et vous souhaitez maintenant permettre à WDAC d’augmenter la protection de la sécurité ou de vérifier que votre logiciel s’exécute correctement.
Vos logiciels ou scripts sont bloqués par WDAC. Dans ce cas, vous pouvez utiliser le mode audit pour comprendre et résoudre le problème.

Notes

Lorsque votre application est bloquée, WDAC crée un événement correspondant. Consultez le journal des événements pour comprendre les détails de la stratégie qui bloque votre application. Pour plus d’informations, consultez le guide opérationnel du contrôle d’application Windows Defender.

Basculer les modes de stratégie WDAC

Suivez ces étapes pour basculer entre les modes de stratégie WDAC. Ces commandes PowerShell interagissent avec Orchestrator pour activer les modes sélectionnés.

Connectez-vous à votre nœud Azure Stack HCI.
Exécutez la commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local ou des informations d’identification de l’utilisateur de déploiement (AzureStackLCMUser).

Important

Les applets de commande qui doivent être connectées en tant qu’utilisateur de déploiement (AzureStackLCMUser) ont besoin d’une autorisation d’informations d’identification appropriée via le groupe de sécurité (PREFIX-ECESG) et CredSSP (lors de l’utilisation de PowerShell distant) ou d’une session de console (RDP).
Exécutez l’applet de commande suivante pour case activée le mode de stratégie WDAC actuellement activé :
```
Get-AsWdacPolicyMode
```
Cette applet de commande retourne audit ou mode appliqué par nœud.
Exécutez l’applet de commande suivante pour basculer le mode de stratégie :
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
Par exemple, pour basculer le mode de stratégie vers l’audit, exécutez :
```
Enable-AsWdacPolicy -Mode Audit
```
Avertissement

Le passage au mode sélectionné prend jusqu’à deux à trois minutes.

Réexécutez Get-ASWDACPolicyMode pour vérifier que le mode de stratégie est mis à jour.

Get-AsWdacPolicyMode

Voici un exemple de sortie de ces applets de commande :

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Créer une stratégie WDAC pour activer des logiciels tiers

Lors de l’utilisation de WDAC en mode d’application, pour que vos logiciels signés non-Microsoft s’exécutent, utilisez la stratégie de base fournie par Microsoft en créant une stratégie supplémentaire WDAC. Pour plus d’informations, consultez la documentation WDAC publique.

Notes

Pour exécuter ou installer de nouveaux logiciels, vous devrez peut-être d’abord basculer WDAC vers le mode audit (voir les étapes ci-dessus), installer votre logiciel, tester qu’il fonctionne correctement, créer la nouvelle stratégie supplémentaire, puis revenir au mode appliqué.

Créez une stratégie dans le format de stratégie multiple, comme indiqué ci-dessous. Ensuite, utilisez Add-ASWDACSupplementalPolicy -Path Policy.xml pour le convertir en stratégie supplémentaire et le déployer sur les nœuds du cluster.

Créer une stratégie supplémentaire WDAC

Procédez comme suit pour créer une stratégie supplémentaire :

Avant de commencer, installez le logiciel qui sera couvert par la stratégie supplémentaire dans son propre répertoire. Ce n’est pas grave s’il y a des sous-répertoires. Lors de la création de la stratégie supplémentaire, vous devez fournir un répertoire à analyser, et vous ne souhaitez pas que votre stratégie supplémentaire couvre tout le code sur le système. Dans notre exemple, ce répertoire est C :\software\codetoscan.
Une fois que vous avez tous vos logiciels en place, exécutez la commande suivante pour créer votre stratégie supplémentaire. Utilisez un nom de stratégie unique pour l’identifier.
```
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
```

Exécutez l’applet de commande suivante pour modifier les métadonnées de votre stratégie supplémentaire :

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

Exécutez l’applet de commande suivante pour déployer la stratégie :
```
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
```

Exécutez l’applet de commande suivante pour case activée la status de la nouvelle stratégie :

Get-ASLocalWDACPolicyInfo