다음을 통해 공유


Azure Stack HCI 버전 23H2에 대한 Windows Defender 애플리케이션 제어 관리

적용 대상: Azure Stack HCI, 버전 23H2

이 문서에서는 Windows Defender WDAC(애플리케이션 제어)를 사용하여 Azure Stack HCI의 공격 표면을 줄이는 방법을 설명합니다. 자세한 내용은 Azure Stack HCI 버전 23H2에서 기준 보안 설정 관리를 참조하세요.

사전 요구 사항

시작하기 전에 Azure Stack HCI, Azure에 배포, 등록 및 연결된 버전 23H2 시스템에 액세스할 수 있는지 확인합니다.

Azure Portal 통해 WDAC 설정 보기

Azure Portal WDAC 설정을 보려면 MCSB 이니셔티브를 적용했는지 확인합니다. 자세한 내용은 Microsoft Cloud Security Benchmark 이니셔티브 적용을 참조하세요.

WDAC 정책을 사용하여 시스템에서 실행할 수 있는 드라이버 및 앱을 제어할 수 있습니다. WDAC 설정은 Azure Portal 통해서만 볼 수 있습니다. 설정을 관리하려면 PowerShell을 사용하여 WDAC 설정 관리를 참조하세요.

Azure Portal WDAC(애플리케이션 컨트롤) 페이지를 보여 주는 스크린샷

PowerShell을 사용하여 WDAC 설정 관리

WDAC 정책 모드 사용

배포 중 또는 배포 후에 WDAC를 사용하도록 설정할 수 있습니다. PowerShell을 사용하여 배포 후 WDAC를 사용하거나 사용하지 않도록 설정합니다.

클러스터 노드 중 하나에 연결하고 다음 cmdlet을 사용하여 "감사" 또는 "적용" 모드에서 원하는 WDAC 정책을 사용하도록 설정합니다.

이 빌드 릴리스에는 두 개의 cmdlet이 있습니다.

  • Enable-AsWdacPolicy - 모든 클러스터 노드에 영향을 줍니다.
  • Enable-ASLocalWDACPolicy - cmdlet이 실행되는 노드에만 영향을 줍니다.

사용 사례에 따라 전역 클러스터 변경 또는 로컬 노드 변경을 실행해야 합니다.

이 방법은 다음과 같은 경우 유용합니다.

  • 기본 권장 설정으로 시작했습니다.
  • 새 타사 소프트웨어를 설치하거나 실행해야 합니다. 정책 모드를 전환하여 추가 정책을 만들 수 있습니다.
  • 배포 중에 WDAC를 사용하지 않도록 설정하기 시작했고 이제 WDAC를 사용하도록 설정하여 보안 보호를 강화하거나 소프트웨어가 제대로 실행되는지 확인하려고 합니다.
  • 소프트웨어 또는 스크립트는 WDAC에 의해 차단됩니다. 이 경우 감사 모드를 사용하여 문제를 이해하고 해결할 수 있습니다.

참고

애플리케이션이 차단되면 WDAC는 해당 이벤트를 만듭니다. 이벤트 로그를 검토하여 애플리케이션을 차단하는 정책의 세부 정보를 이해합니다. 자세한 내용은 Windows Defender Application Control 운영 가이드를 참조하세요.

WDAC 정책 모드 전환

WDAC 정책 모드 간에 전환하려면 다음 단계를 수행합니다. 이러한 PowerShell 명령은 Orchestrator와 상호 작용하여 선택한 모드를 사용하도록 설정합니다.

  1. Azure Stack HCI 노드에 연결합니다.

  2. 로컬 관리자 자격 증명 또는 배포 사용자(AzureStackLCMUser) 자격 증명을 사용하여 다음 PowerShell 명령을 실행합니다.

    중요

    배포 사용자(AzureStackLCMUser)로 로그인해야 하는 Cmdlet은 보안 그룹(PREFIX-ECESG) 및 CredSSP(원격 PowerShell 사용 시) 또는 RDP(콘솔 세션)를 통해 적절한 자격 증명 권한 부여가 필요합니다.

  3. 다음 cmdlet을 실행하여 현재 사용하도록 설정된 WDAC 정책 모드를 검사.

    Get-AsWdacPolicyMode
    

    이 cmdlet은 노드당 감사 또는 적용 모드를 반환합니다.

  4. 다음 cmdlet을 실행하여 정책 모드를 전환합니다.

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
    

    예를 들어 정책 모드를 감사로 전환하려면 다음을 실행합니다.

    Enable-AsWdacPolicy -Mode Audit
    

    경고

    오케스트레이터는 선택한 모드로 전환하는 데 최대 2~3분이 걸립니다.

  5. 다시 실행 Get-ASWDACPolicyMode 하여 정책 모드가 업데이트되어 있는지 확인합니다.

    Get-AsWdacPolicyMode
    

    다음은 이러한 cmdlet의 샘플 출력입니다.

    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Enforced
    Node01 	Enforced
    
    PS C:\> Enable-AsWdacPolicy -Mode Audit
    WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
    VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
    VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
    6826fbf2-cb00-450e-ba08-ac24da6df4aa
    
    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Audit
    Node01	Audit
    

타사 소프트웨어를 사용하도록 설정하는 WDAC 정책 만들기

적용 모드에서 WDAC를 사용하는 동안 타사 서명된 소프트웨어를 실행하려면 WDAC 추가 정책을 만들어 Microsoft에서 제공하는 기본 정책을 빌드합니다. 추가 정보는 공용 WDAC 설명서에서 찾을 수 있습니다.

참고

새 소프트웨어를 실행하거나 설치하려면 먼저 WDAC를 감사 모드로 전환하고(위 단계 참조), 소프트웨어를 설치하고, 올바르게 작동하는지 테스트하고, 새 추가 정책을 만든 다음, WDAC를 다시 적용 모드로 전환해야 할 수 있습니다.

아래와 같이 여러 정책 형식으로 새 정책을 만듭니다. 그런 다음 를 사용하여 Add-ASWDACSupplementalPolicy -Path Policy.xml 추가 정책으로 변환하고 클러스터의 노드에 배포합니다.

WDAC 추가 정책 만들기

다음 단계를 사용하여 추가 정책을 만듭니다.

  1. 시작하기 전에 추가 정책이 적용되는 소프트웨어를 자체 디렉터리에 설치합니다. 하위 디렉터리가 있는 경우 괜찮습니다. 추가 정책을 만들 때 검사할 디렉터리를 제공해야 하며 추가 정책이 시스템의 모든 코드를 다루지 않도록 합니다. 이 예제에서 이 디렉터리가 C:\software\codetoscan입니다.

  2. 모든 소프트웨어가 설치되면 다음 명령을 실행하여 추가 정책을 만듭니다. 고유한 정책 이름을 사용하여 식별합니다.

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
    
  3. 다음 cmdlet을 실행하여 추가 정책의 메타데이터를 수정합니다.

    # Set Policy Version (VersionEx in the XML file)
     $policyVersion = "1.0.0.1"
     Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
    
     # Set Policy Info (PolicyName, PolicyID in the XML file)
     Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
    
  4. 다음 cmdlet을 실행하여 정책을 배포합니다.

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
    
  5. 다음 cmdlet을 실행하여 새 정책의 상태 검사.

    Get-ASLocalWDACPolicyInfo
    

    다음은 이러한 cmdlet의 샘플 출력입니다.

    C:\> Get-ASLocalWDACPolicyInfo
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
    PolicyName        : AS_Base_Policy
    PolicyVersion     : AS_Base_Policy_1.1.4.0
    PolicyScope       : Kernel & User
    MicrosoftProvided : True
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
    PolicyName        : Contoso-Policy
    PolicyVersion     : Contoso-Policy_1.0.0.1
    PolicyScope       : Kernel & User
    MicrosoftProvided : False
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    

다음 단계