Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
A Windows Defender alkalmazásvezérlés (WDAC) számos biztonsági fenyegetés elhárításában segíthet a felhasználók által futtatható alkalmazások és a rendszermagban (kernel) futó kód korlátozásával. Az alkalmazásvezérlő házirendek letilthatják az aláíratlan szkripteket és MSI-fájlokat, és korlátozhatják a Windows PowerShell ConstrainedLanguage módban való futtatását.
További információ a Windowsalkalmazásvezérléséről.
A Windows Felügyeleti központ további konfigurációt igényel a WDAC által kikényszerített környezetek telepítéséhez és kezeléséhez. Ez a cikk a WDAC által kikényszerített környezetek kezelésével kapcsolatos követelményeket és ismert problémákat ismerteti.
Követelmények
Az alábbi szakaszok ismertetik a Windows felügyeleti központ használatához szükséges követelményeket a WDAC által érvényesített infrastruktúra (szerverek, ügyfélgépek vagy fürtök) kezelésére.
Szabályzatkövetelmények
A használati esettől függően egy vagy több tanúsítványt kell hozzáadnia az engedélyezési listához az alap- vagy kiegészítő szabályzatok részeként. További információ az alap- vagy kiegészítő szabályzatoktelepítéséről.
- 1. eset: A WDAC csak a kezelt csomópontokon van kényszerítve.
- 2. eset: Mind a felügyelt csomópont, mind az a gép, amelyen a Windows Felügyeleti központot telepíti, kényszerítve van a WDAC-ra.
Az 1. esetnél csak a következő aláírói szabályt kell engedélyezni a felügyelt csomópont WDAC-szabályzatában:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
A 2. eset esetében az előző aláíró szabályt hozzá kell adni az engedélyezési listához , mind a felügyelt csomópont, mind a Windows Admin Center telepítésére szolgáló gépen. Ezenkívül a következő aláíró szabályokat kell hozzáadni az engedélyezett listához , csak azon a gépen, amelyen a Windows Felügyeleti Központot telepíti.
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value=".NET" />
</Signer>
A CertPublisher Value=".NET" aláíró szabály nem szükséges, ha a Windows Felügyeleti központ 2410-nél régebbi verzióját használja. Ezek a régebbi verziók azonban megkövetelik, hogy a következő fájl-/kivonatolási szabályok engedélyezve legyenek, csak azon a gépen, amelyen a Windows Felügyeleti központot telepíti:
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
A házirend-létrehozó eszköznek/szkriptnek automatikusan létre kell hoznia Signer ID és Allow ID (azaz Signer ID="ID_SIGNER_S_XXXXX"). További információ: WDAC dokumentáció.
Borravaló
A Vállalati alkalmazásvezérlő varázsló hasznos lehet WDAC-szabályzatok létrehozásához és szerkesztéséhez. Ne feledje, hogy amikor új szabályzatot hoz létre, akár a varázslóval, akár a PowerShell-parancsokkal, a bináris fájlok Publisher szabályával hozhat létre szabályokat. Ha például a varázslót használja, létrehozhatja az 1. eset WDAC-szabályzatát a Windows Felügyeleti központ .msi fájl alapján. A 2. eset esetében továbbra is használhatja a varázslót, de manuálisan kell szerkesztenie a WDAC-házirendet, hogy tartalmazza a felsorolt aláíró és kivonatoló szabályt.
Hálózati követelmények
A Windows Felügyeleti központ alapértelmezés szerint HTTP-n (5985-ös porton) vagy HTTPS-en (5986-os porton) keresztül kommunikál a kiszolgálóival. A WDAC által kikényszerített infrastruktúra esetében a Windows Felügyeleti központnak emellett SMB-hozzáférésre van szüksége a felügyelt csomópontokhoz (445-ös TCP-port).
Engedélyek
A 445-ös SMB-porton az UNC-útvonalakon alapuló fájlátvitel kritikus fontosságú a Windows Felügyeleti központ számára ezen környezetek kezeléséhez. Győződjön meg arról, hogy Ön rendszergazda a felügyelt kiszolgálón vagy fürtön. Győződjön meg arról is, hogy a biztonsági szabályzatok nem blokkolják a fájlátvitelt.
PowerShell végrehajtási szabályzat
Az alapértelmezett PowerShell-végrehajtási szabályzat elegendő a Windows Felügyeleti központ számára a WDAC által kényszerített gépek kezeléséhez. Ha azonban az alapértelmezett végrehajtási szabályzat megváltozik a gépen, győződjön meg arról, hogy a LocalMachine hatókör RemoteSigned van beállítva, hogy engedélyezve legyen az aláírt szkriptek betöltése és végrehajtása. Ez egy PowerShell biztonsági funkció, és csak akkor végezze el a módosításokat, ha azok megfelelőek és szükségesek.
Telepítése
Telepítse a Windows Felügyeleti központot a WDAC által kikényszerített kiszolgálóra vagy ügyfélszámítógépre, ahogyan azt általában tenné. Ha megfelel az előző követelményeknek, a Windows Felügyeleti központnak a szokásos módon kell telepítenie és működnie.
Csatlakozás
Csatlakozzon a WDAC szabályok által vezérelt kiszolgálói, ügyfél- vagy fürtgépeihez a szokásos módon. A kiszolgálóhoz való csatlakozáskor nyomon követheti a kényszerítési állapotot a PowerShell Nyelvi mód mezőn keresztül az Áttekintés lapon. Ha a mező értéke Constrained, a WDAC érvénybe lép.
Ha első alkalommal csatlakozik WDAC-kényszerítésű fürthöz, a Windows Felügyeleti központ néhány percet is igénybe vehet a fürthöz való csatlakozás beállításához. A további kapcsolatoknál nem lesz késés.
Jegyzet
Ha módosítja a felügyelt csomópontok WDAC-kényszerítési állapotát, ne használja a Windows Felügyeleti központot legalább 30 másodpercig, hogy ez a módosítás megjelenjen.
Ismert problémák
A WDAC által kikényszerített környezetben jelenleg nem támogatott az Azure Kubernetes Service üzembe helyezése az Azure Local és az Azure Arc erőforráshídján a Windows Felügyeleti központon keresztül.
A szerepköralapú hozzáférés-vezérlés (RBAC) használata egy kiszolgálón jelenleg nem támogatott.
A Tanúsítványok eszköz bizonyos műveletei jelenleg nem támogatottak.
Hibaelhárítás
Ha "A modul nem található" vagy "nem sikerült csatlakozni" hibaüzenet jelenik meg:
Annak ellenőrzéséhez, hogy a Windows Felügyeleti központ sikeresen átvitt-e fájlokat a felügyelt csomópontra, lépjen a felügyelt csomópont
%PROGRAMFILES%\WindowsPowerShell\Modulesmappájába, és ellenőrizze, hogy aMicrosoft.SME.*nevű modulok léteznek-e a mappában.Ha a modulok nem léteznek, csatlakozzon újra a kiszolgálóhoz vagy a fürthöz a Windows Felügyeleti Központból.
Győződjön meg arról, hogy a Windows Felügyeleti központot tartalmazó gép rendelkezik hozzáféréssel a 445-ös TCP-porthoz a felügyelt csomóponton.