Gérer Windows Defender contrôle d’application pour Azure Stack HCI, version 23H2
S’applique à : Azure Stack HCI, version 23H2
Cet article explique comment utiliser Windows Defender Contrôle d’application (WDAC) pour réduire la surface d’attaque d’Azure Stack HCI. Pour plus d’informations, consultez Gérer les paramètres de sécurité de base sur Azure Stack HCI, version 23H2.
Prérequis
Avant de commencer, assurez-vous d’avoir accès à un système Azure Stack HCI version 23H2 déployé, inscrit et connecté à Azure.
Afficher les paramètres WDAC via Portail Azure
Pour afficher les paramètres WDAC dans le Portail Azure, vérifiez que vous avez appliqué l’initiative MCSB. Pour plus d’informations, consultez Appliquer l’initiative Microsoft Cloud Security Benchmark.
Vous pouvez utiliser des stratégies WDAC pour contrôler les pilotes et applications autorisés à s’exécuter sur votre système. Vous pouvez uniquement afficher les paramètres WDAC via Portail Azure. Pour gérer les paramètres, consultez Gérer les paramètres WDAC avec PowerShell.
Gérer les paramètres WDAC avec PowerShell
Activer les modes de stratégie WDAC
Vous pouvez activer WDAC pendant ou après le déploiement. Utilisez PowerShell pour activer ou désactiver WDAC après le déploiement.
Connectez-vous à l’un des nœuds de cluster et utilisez les applets de commande suivantes pour activer la stratégie WDAC souhaitée en mode « Audit » ou « Appliqué ».
Dans cette version de build, il existe deux applets de commande :
-
Enable-AsWdacPolicy- Affecte tous les nœuds de cluster. -
Enable-ASLocalWDACPolicy- Affecte uniquement le nœud sur lequel l’applet de commande est exécutée.
Selon votre cas d’usage, vous devez exécuter un changement de cluster global ou un changement de nœud local.
Cela est utile quand :
- Vous avez commencé avec les paramètres par défaut recommandés.
- Vous devez installer ou exécuter de nouveaux logiciels tiers. Vous pouvez changer de mode de stratégie pour créer une stratégie supplémentaire.
- Vous avez commencé avec WDAC désactivé pendant le déploiement et vous souhaitez maintenant permettre à WDAC d’augmenter la protection de la sécurité ou de vérifier que votre logiciel s’exécute correctement.
- Vos logiciels ou scripts sont bloqués par WDAC. Dans ce cas, vous pouvez utiliser le mode audit pour comprendre et résoudre le problème.
Notes
Lorsque votre application est bloquée, WDAC crée un événement correspondant. Consultez le journal des événements pour comprendre les détails de la stratégie qui bloque votre application. Pour plus d’informations, consultez le guide opérationnel du contrôle d’application Windows Defender.
Basculer les modes de stratégie WDAC
Suivez ces étapes pour basculer entre les modes de stratégie WDAC. Ces commandes PowerShell interagissent avec Orchestrator pour activer les modes sélectionnés.
Connectez-vous à votre nœud Azure Stack HCI.
Exécutez la commande PowerShell suivante à l’aide des informations d’identification de l’administrateur local ou des informations d’identification de l’utilisateur de déploiement (AzureStackLCMUser).
Important
Les applets de commande qui doivent être connectées en tant qu’utilisateur de déploiement (AzureStackLCMUser) ont besoin d’une autorisation d’informations d’identification appropriée via le groupe de sécurité (PREFIX-ECESG) et CredSSP (lors de l’utilisation de PowerShell distant) ou d’une session de console (RDP).
Exécutez l’applet de commande suivante pour case activée le mode de stratégie WDAC actuellement activé :
Get-AsWdacPolicyModeCette applet de commande retourne audit ou mode appliqué par nœud.
Exécutez l’applet de commande suivante pour basculer le mode de stratégie :
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Par exemple, pour basculer le mode de stratégie vers l’audit, exécutez :
Enable-AsWdacPolicy -Mode AuditAvertissement
Le passage au mode sélectionné prend jusqu’à deux à trois minutes.
Réexécutez
Get-ASWDACPolicyModepour vérifier que le mode de stratégie est mis à jour.Get-AsWdacPolicyModeVoici un exemple de sortie de ces applets de commande :
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Créer une stratégie WDAC pour activer des logiciels tiers
Lors de l’utilisation de WDAC en mode d’application, pour que vos logiciels signés non-Microsoft s’exécutent, utilisez la stratégie de base fournie par Microsoft en créant une stratégie supplémentaire WDAC. Pour plus d’informations, consultez la documentation WDAC publique.
Notes
Pour exécuter ou installer de nouveaux logiciels, vous devrez peut-être d’abord basculer WDAC vers le mode audit (voir les étapes ci-dessus), installer votre logiciel, tester qu’il fonctionne correctement, créer la nouvelle stratégie supplémentaire, puis revenir au mode appliqué.
Créez une stratégie dans le format de stratégie multiple, comme indiqué ci-dessous. Ensuite, utilisez Add-ASWDACSupplementalPolicy -Path Policy.xml pour le convertir en stratégie supplémentaire et le déployer sur les nœuds du cluster.
Créer une stratégie supplémentaire WDAC
Procédez comme suit pour créer une stratégie supplémentaire :
Avant de commencer, installez le logiciel qui sera couvert par la stratégie supplémentaire dans son propre répertoire. Ce n’est pas grave s’il y a des sous-répertoires. Lors de la création de la stratégie supplémentaire, vous devez fournir un répertoire à analyser, et vous ne souhaitez pas que votre stratégie supplémentaire couvre tout le code sur le système. Dans notre exemple, ce répertoire est C :\software\codetoscan.
Une fois que vous avez tous vos logiciels en place, exécutez la commande suivante pour créer votre stratégie supplémentaire. Utilisez un nom de stratégie unique pour l’identifier.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanExécutez l’applet de commande suivante pour modifier les métadonnées de votre stratégie supplémentaire :
# Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Exécutez l’applet de commande suivante pour déployer la stratégie :
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlExécutez l’applet de commande suivante pour case activée la status de la nouvelle stratégie :
Get-ASLocalWDACPolicyInfoVoici un exemple de sortie de ces applets de commande :
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM