Zarządzanie kontrolą aplikacji Windows Defender dla usługi Azure Stack HCI w wersji 23H2
Dotyczy: Azure Stack HCI, wersja 23H2
W tym artykule opisano sposób używania Windows Defender Application Control (WDAC) w celu zmniejszenia obszaru ataków usługi Azure Stack HCI. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami zabezpieczeń punktu odniesienia w usłudze Azure Stack HCI w wersji 23H2.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Stack HCI w wersji 23H2, który jest wdrażany, zarejestrowany i połączony z platformą Azure.
Wyświetlanie ustawień WDAC za pośrednictwem Azure Portal
Aby wyświetlić ustawienia WDAC w Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testów porównawczych zabezpieczeń w chmurze firmy Microsoft).
Zasady WDAC umożliwiają kontrolowanie, które sterowniki i aplikacje mogą być uruchamiane w systemie. Ustawienia usługi WDAC można wyświetlić tylko za pośrednictwem Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami WDAC przy użyciu programu PowerShell.
Zarządzanie ustawieniami programu WDAC przy użyciu programu PowerShell
Włączanie trybów zasad WDAC
Można włączyć funkcję WDAC podczas wdrażania lub po jej wdrożeniu. Użyj programu PowerShell, aby włączyć lub wyłączyć funkcję WDAC po wdrożeniu.
Połącz się z jednym z węzłów klastra i użyj następujących poleceń cmdlet, aby włączyć żądane zasady WDAC w trybie "Inspekcja" lub "Wymuszone".
W tej wersji kompilacji istnieją dwa polecenia cmdlet:
-
Enable-AsWdacPolicy— Wpływa na wszystkie węzły klastra. -
Enable-ASLocalWDACPolicy— Wpływa tylko na węzeł, na którym jest uruchamiane polecenie cmdlet.
W zależności od przypadku użycia należy uruchomić zmianę klastra globalnego lub zmianę węzła lokalnego.
Jest to przydatne, gdy:
- Rozpoczęto od domyślnych, zalecanych ustawień.
- Należy zainstalować lub uruchomić nowe oprogramowanie innych firm. Możesz przełączyć tryby zasad, aby utworzyć zasady uzupełniające.
- Usługa WDAC została wyłączona podczas wdrażania, a teraz chcesz włączyć program WDAC w celu zwiększenia ochrony zabezpieczeń lub sprawdzenia, czy oprogramowanie działa prawidłowo.
- Oprogramowanie lub skrypty są blokowane przez usługę WDAC. W tym przypadku możesz użyć trybu inspekcji, aby zrozumieć i rozwiązać problem.
Uwaga
Po zablokowaniu aplikacji program WDAC tworzy odpowiednie zdarzenie. Przejrzyj dziennik zdarzeń, aby poznać szczegóły zasad blokujących aplikację. Aby uzyskać więcej informacji, zobacz przewodnik operacyjny Windows Defender Application Control.
Przełączanie trybów zasad WDAC
Wykonaj następujące kroki, aby przełączać się między trybami zasad usługi WDAC. Te polecenia programu PowerShell współdziałają z programem Orchestrator, aby włączyć wybrane tryby.
Połącz się z węzłem usługi Azure Stack HCI.
Uruchom następujące polecenie programu PowerShell przy użyciu poświadczeń administratora lokalnego lub użytkownika wdrożenia (AzureStackLCMUser).
Ważne
Polecenia cmdlet, które wymagają zalogowania się jako użytkownik wdrożenia (AzureStackLCMUser), wymagają odpowiednich poświadczeń autoryzacji za pośrednictwem grupy zabezpieczeń (PREFIX-ECESG) i CredSSP (w przypadku korzystania z zdalnego programu PowerShell) lub sesji konsoli (RDP).
Uruchom następujące polecenie cmdlet, aby sprawdzić tryb zasad WDAC, który jest obecnie włączony:
Get-AsWdacPolicyModeTo polecenie cmdlet zwraca tryb inspekcji lub wymuszony na węzeł.
Uruchom następujące polecenie cmdlet, aby przełączyć tryb zasad:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Aby na przykład przełączyć tryb zasad na inspekcję, uruchom polecenie:
Enable-AsWdacPolicy -Mode AuditOstrzeżenie
Przełączenie do wybranego trybu potrwa do dwóch do trzech minut.
Uruchom ponownie polecenie
Get-ASWDACPolicyMode, aby potwierdzić zaktualizowanie trybu zasad.Get-AsWdacPolicyModeOto przykładowe dane wyjściowe następujących poleceń cmdlet:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Tworzenie zasad WDAC w celu włączenia oprogramowania innej firmy
Podczas korzystania z usługi WDAC w trybie wymuszania, aby oprogramowanie bez podpisu firmy Microsoft było uruchamiane, należy opierać się na zasadach podstawowych udostępnianych przez firmę Microsoft przez utworzenie zasad uzupełniających WDAC. Dodatkowe informacje można znaleźć w publicznej dokumentacji programu WDAC.
Uwaga
Aby uruchomić lub zainstalować nowe oprogramowanie, może być konieczne najpierw przełączenie programu WDAC na tryb inspekcji (zobacz kroki powyżej), zainstalowanie oprogramowania, przetestowanie, czy działa prawidłowo, utworzenie nowych zasad uzupełniających, a następnie przełącz usługę WDAC z powrotem do trybu wymuszonego.
Utwórz nowe zasady w formacie wielu zasad, jak pokazano poniżej. Następnie użyj polecenia Add-ASWDACSupplementalPolicy -Path Policy.xml , aby przekonwertować go na zasady uzupełniające i wdrożyć je między węzłami w klastrze.
Tworzenie zasad uzupełniających usługi WDAC
Aby utworzyć zasady uzupełniające, wykonaj następujące kroki:
Przed rozpoczęciem zainstaluj oprogramowanie, które będzie objęte zasadami uzupełniającymi we własnym katalogu. Jest w porządku, jeśli istnieją podkatalogi. Podczas tworzenia zasad uzupełniających należy podać katalog do skanowania i nie chcesz, aby zasady uzupełniające obejmowały cały kod w systemie. W naszym przykładzie ten katalog to C:\software\codetoscan.
Po utworzeniu całego oprogramowania uruchom następujące polecenie, aby utworzyć zasady uzupełniające. Użyj unikatowej nazwy zasad, aby ją zidentyfikować.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanUruchom następujące polecenie cmdlet, aby zmodyfikować metadane zasad uzupełniających:
# Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Uruchom następujące polecenie cmdlet, aby wdrożyć zasady:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlUruchom następujące polecenie cmdlet, aby sprawdzić stan nowych zasad:
Get-ASLocalWDACPolicyInfoOto przykładowe dane wyjściowe następujących poleceń cmdlet:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM