Beheer van Windows Defender-toepassingsbeheer voor Azure Stack HCI, versie 23H2

Artikel
04/04/2024

Van toepassing op: Azure Stack HCI, versie 23H2

In dit artikel wordt beschreven hoe u Windows Defender Application Control (WDAC) gebruikt om de kwetsbaarheid voor aanvallen van Azure Stack HCI te verminderen. Zie Beveiligingsinstellingen voor basislijnen beheren in Azure Stack HCI versie 23H2 voor meer informatie.

Vereisten

Voordat u begint, moet u ervoor zorgen dat u toegang hebt tot een Azure Stack HCI versie 23H2-systeem dat is geïmplementeerd, geregistreerd en verbonden met Azure.

WDAC-instellingen weergeven via Azure Portal

Als u de WDAC-instellingen in de Azure Portal wilt weergeven, moet u ervoor zorgen dat u het MCSB-initiatief hebt toegepast. Zie Microsoft Cloud Security Benchmark-initiatief toepassen voor meer informatie.

U kunt WDAC-beleid gebruiken om te bepalen welke stuurprogramma's en apps op uw systeem mogen worden uitgevoerd. U kunt de WDAC-instellingen alleen bekijken via Azure Portal. Zie WDAC-instellingen beheren met PowerShell om de instellingen te beheren.

WDAC-instellingen beheren met PowerShell

WDAC-beleidsmodi inschakelen

U kunt WDAC inschakelen tijdens of na de implementatie. Gebruik PowerShell om WDAC na de implementatie in of uit te schakelen.

Maak verbinding met een van de clusterknooppunten en gebruik de volgende cmdlets om het gewenste WDAC-beleid in te schakelen in de modus Controleren of Afgedwongen.

Deze buildrelease bevat twee cmdlets:

Enable-AsWdacPolicy - Is van invloed op alle clusterknooppunten.
Enable-ASLocalWDACPolicy - Heeft alleen invloed op het knooppunt waarop de cmdlet wordt uitgevoerd.

Afhankelijk van uw gebruiksscenario moet u een globale clusterwijziging of een lokale knooppuntwijziging uitvoeren.

Dit is handig wanneer:

U bent begonnen met de aanbevolen standaardinstellingen.
U moet nieuwe software van derden installeren of uitvoeren. U kunt uw beleidsmodi wijzigen om een aanvullend beleid te maken.
U bent begonnen met WDAC uitgeschakeld tijdens de implementatie en nu wilt u WDAC inschakelen om de beveiliging te verbeteren of om te controleren of uw software correct wordt uitgevoerd.
Uw software of scripts worden geblokkeerd door WDAC. In dit geval kunt u de controlemodus gebruiken om het probleem te begrijpen en op te lossen.

Notitie

Wanneer uw toepassing wordt geblokkeerd, maakt WDAC een bijbehorende gebeurtenis. Bekijk het gebeurtenislogboek voor meer informatie over het beleid dat uw toepassing blokkeert. Zie de operationele handleiding voor Windows Defender Application Control voor meer informatie.

Schakelen tussen WDAC-beleidsmodi

Volg deze stappen om te schakelen tussen WDAC-beleidsmodi. Deze PowerShell-opdrachten communiceren met orchestrator om de geselecteerde modi in te schakelen.

Maak verbinding met uw Azure Stack HCI-knooppunt.
Voer de volgende PowerShell-opdracht uit met lokale beheerdersreferenties of implementatiegebruikersreferenties (AzureStackLCMUser).

Belangrijk

Cmdlets die moeten zijn aangemeld als implementatiegebruiker (AzureStackLCMUser) hebben de juiste autorisatie van referenties nodig via de beveiligingsgroep (PREFIX-ECESG) en CredSSP (bij gebruik van externe PowerShell) of consolesessie (RDP).
Voer de volgende cmdlet uit om de WDAC-beleidsmodus te controleren die momenteel is ingeschakeld:
```
Get-AsWdacPolicyMode
```
Deze cmdlet retourneert controle of afgedwongen modus per knooppunt.
Voer de volgende cmdlet uit om de beleidsmodus te schakelen:
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
Als u bijvoorbeeld de beleidsmodus wilt overschakelen naar controle, voert u het volgende uit:
```
Enable-AsWdacPolicy -Mode Audit
```
Waarschuwing

Het duurt maximaal twee tot drie minuten voordat de Orchestrator is overgeschakeld naar de geselecteerde modus.

Voer opnieuw uit Get-ASWDACPolicyMode om te bevestigen dat de beleidsmodus is bijgewerkt.

Get-AsWdacPolicyMode

Hier volgt een voorbeeld van de uitvoer van deze cmdlets:

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Een WDAC-beleid maken om software van derden in te schakelen

Tijdens het gebruik van WDAC in de afdwingingsmodus, zodat uw niet-Door Microsoft ondertekende software kan worden uitgevoerd, bouwt u voort op het door Microsoft geleverde basisbeleid door een aanvullend WDAC-beleid te maken. Aanvullende informatie vindt u in de openbare WDAC-documentatie.

Notitie

Als u nieuwe software wilt uitvoeren of installeren, moet u mogelijk eerst wdac overschakelen naar de controlemodus (zie de bovenstaande stappen), uw software installeren, testen of deze correct werkt, het nieuwe aanvullende beleid maken en vervolgens WDAC weer overschakelen naar de afgedwongen modus.

Maak een nieuw beleid in de indeling meerdere beleidsregels, zoals hieronder wordt weergegeven. Add-ASWDACSupplementalPolicy -Path Policy.xml Gebruik vervolgens om het te converteren naar een aanvullend beleid en het te implementeren op knooppunten in het cluster.

Aanvullend WDAC-beleid maken

Gebruik de volgende stappen om een aanvullend beleid te maken:

Voordat u begint, installeert u de software die wordt gedekt door het aanvullende beleid in de eigen map. Het is geen probleem als er submappen zijn. Wanneer u het aanvullende beleid maakt, moet u een map opgeven om te scannen en u wilt niet dat uw aanvullende beleid alle code op het systeem dekt. In ons voorbeeld is deze map C:\software\codetoscan.
Zodra u al uw software hebt geïnstalleerd, voert u de volgende opdracht uit om uw aanvullende beleid te maken. Gebruik een unieke beleidsnaam om het te identificeren.
```
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
```

Voer de volgende cmdlet uit om de metagegevens van uw aanvullende beleid te wijzigen:

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

Voer de volgende cmdlet uit om het beleid te implementeren:

Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

Voer de volgende cmdlet uit om de status van het nieuwe beleid te controleren:

Get-ASLocalWDACPolicyInfo