Gerenciar o Controle de Aplicativos para o Azure Local, versão 23H2
Aplica-se a: Azure Local, versão 23H2
Este artigo descreve como usar o Controle de Aplicativos para reduzir a superfície de ataque do Azure Local. Para obter mais informações, consulte Gerenciar configurações de segurança de linha de base no Azure Local, versão 23H2.
Antes de começar, verifique se você tem acesso a uma instância do Azure Local, versão 23H2, implantada, registrada e conectada ao Azure.
Para exibir as configurações de Controle de Aplicativo no portal do Azure, verifique se você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.
Você pode usar políticas de Controle de Aplicativo para gerenciar quais drivers e aplicativos têm permissão para serem executados em seu sistema. Você só pode exibir as configurações de Controle de Aplicativo por meio do portal do Azure. Para gerenciar as configurações, consulte Gerenciar configurações de Controle de Aplicativo com o PowerShell.
Você pode habilitar o Controle de Aplicativos durante ou após a implantação. Use o PowerShell para habilitar ou desabilitar o Controle de Aplicativos após a implantação.
Conecte-se a uma das máquinas e use os cmdlets a seguir para habilitar a política de Controle de Aplicativo desejada no modo "Auditoria" ou "Imposto".
Nesta versão de compilação, há dois cmdlets:
Enable-AsWdacPolicy
- Afeta todos os nós do cluster.Enable-ASLocalWDACPolicy
- Afeta apenas o nó no qual o cmdlet é executado.
Dependendo do seu caso de uso, você deve executar uma alteração de cluster global ou uma alteração de nó local.
Isso é útil quando:
- Você começou com as configurações padrão recomendadas.
- Você deve instalar ou executar um novo software de terceiros. Você pode alternar seus modos de política para criar uma política complementar.
- Você começou com o Controle de Aplicativos desabilitado durante a implantação e agora deseja habilitar o Controle de Aplicativos para aumentar a proteção de segurança ou validar se o software é executado corretamente.
- Seu software ou scripts são bloqueados pelo Controle de Aplicativo. Nesse caso, você pode usar o modo de auditoria para entender e solucionar o problema.
Observação
Quando seu aplicativo é bloqueado, o Controle de Aplicativo cria um evento correspondente. Examine o log de eventos para entender os detalhes da política que está bloqueando seu aplicativo. Para obter mais informações, consulte o guia operacional do Controle de Aplicativos .
Siga estas etapas para alternar entre os modos de política de Controle de Aplicativo. Esses comandos do PowerShell interagem com o Orchestrator para habilitar os modos selecionados.
Conecte-se ao computador local do Azure.
Execute o seguinte comando do PowerShell usando credenciais de administrador local ou credenciais de usuário de implantação (AzureStackLCMUser).
Execute o seguinte cmdlet para verificar o modo de política de Controle de Aplicativo que está habilitado no momento:
Get-AsWdacPolicyMode
Esse cmdlet retorna Auditoria ou Modo Imposto por Nó.
Execute o seguinte cmdlet para alternar o modo de política:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
Por exemplo, para alternar o modo de política para auditoria, execute:
Enable-AsWdacPolicy -Mode Audit
Aviso
O Orchestrator demora dois a três minutos a mudar para o modo selecionado.
Execute
Get-ASWDACPolicyMode
novamente para confirmar se o modo de política foi atualizado.Get-AsWdacPolicyMode
Aqui está um exemplo de saída desses cmdlets:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Ao usar o Controle de Aplicativo no modo de imposição, para que seu software não assinado pela Microsoft seja executado, crie uma política complementar de Controle de Aplicativo com base na política de base fornecida pela Microsoft. Informações adicionais podem ser encontradas na documentação pública do Controle de Aplicativos .
Observação
Para executar ou instalar um novo software, talvez seja necessário alternar o Controle de Aplicativos para o modo de auditoria primeiro (veja as etapas acima), instalar o software, testar se ele funciona corretamente, criar a nova política complementar e, em seguida, mudar o Controle de Aplicativo de volta para o modo imposto.
Crie uma nova política no Formato de Política Múltipla, conforme mostrado abaixo. Em seguida, use Add-ASWDACSupplementalPolicy -Path Policy.xml
para convertê-lo em uma política complementar e implantá-lo em nós no cluster.
Use as seguintes etapas para criar uma política complementar:
Antes de começar, instale o software que será coberto pela política suplementar em seu próprio diretório. Tudo bem se houver subdiretórios. Ao criar a política complementar, você deve fornecer um diretório para verificar e não deseja que sua política complementar abranja todo o código no sistema. Em nosso exemplo, esse diretório é C:\software\codetoscan.
Depois de ter todo o software instalado, execute o comando a seguir para criar sua política complementar. Use um nome de política exclusivo para ajudar a identificá-lo.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
Execute o seguinte cmdlet para modificar os metadados de sua política complementar:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
Execute o seguinte cmdlet para implantar a política:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
Execute o seguinte cmdlet para verificar o status da nova política:
Get-ASLocalWDACPolicyInfo
Aqui está um exemplo de saída desses cmdlets:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM