Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O WDAC (Controle de Aplicativos do Windows Defender) pode ajudar a atenuar muitas ameaças à segurança restringindo os aplicativos que os usuários têm permissão para executar e o código executado no núcleo do sistema (kernel). As políticas de controle de aplicativo também podem bloquear scripts não assinados e arquivos MSI e restringir o Windows PowerShell a ser executado no modo ConstrainedLanguage
.
Saiba mais sobre o controle de aplicativos para o Windows.
A configuração extra é necessária para que o Windows Admin Center instale e gerencie ambientes imposto pelo WDAC. Este artigo aborda esses requisitos e problemas conhecidos no gerenciamento de um ambiente imposto pelo WDAC.
Requisitos
As seções a seguir fornecem os requisitos para usar o Windows Admin Center para gerenciar sua infraestrutura imposta pelo WDAC (servidores, computadores cliente ou clusters).
Requisitos da política
Dependendo do seu caso de uso, você precisa adicionar um ou mais certificados à sua lista de permissões como parte de suas políticas base ou complementares. Saiba mais sobre como implantar uma política base ou complementar.
- caso 1: somente os nós gerenciados têm o WDAC aplicado.
- Caso 2: tanto o nó gerenciado quanto o computador no qual você implanta o Windows Admin Center têm o WDAC aplicado.
Para o Caso 1, somente a seguinte regra de signatário precisa ser incluída na lista de permissões na política do WDAC em seu nó gerenciado:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
Para o Caso 2, a regra do signatário anterior deve ser adicionada à lista de permissões no seu nó gerenciado e o computador no qual você implanta o Windows Admin Center. Além disso, as seguintes regras de signatário devem ser adicionadas à lista de permissões apenas no computador no qual você implanta o Windows Admin Center:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value=".NET" />
</Signer>
A regra do signatário com CertPublisher Value=".NET"
não será necessária se você estiver usando uma versão do Windows Admin Center anterior à 2410. No entanto, essas versões mais antigas exigem que as seguintes regras de arquivo/hash sejam incluídas na lista de permissões apenas no computador no qual você implanta o Windows Admin Center:
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
A ferramenta/script de criação de política deve gerar automaticamente Signer ID
e Allow ID
(ou seja, Signer ID="ID_SIGNER_S_XXXXX"
). Para obter mais informações, consulte a documentação do WDAC.
Dica
O Assistente de Controle de Aplicativos para Empresas pode ser útil para criar e editar políticas do WDAC. Lembre-se de que, ao criar uma nova política, seja usando o assistente ou os comandos do PowerShell, use a regra Publisher
em binários para gerar regras. Por exemplo, ao usar o assistente, você pode gerar a política WDAC para o Caso 1 com base no arquivo .msi do Windows Admin Center. Para o Caso 2, você ainda pode usar o assistente, mas precisa editar manualmente sua política do WDAC para incluir o signatário listado e a regra de hash.
Requisitos de rede
Por padrão, o Windows Admin Center se comunica com seus servidores por meio do WinRM via HTTP (porta 5985) ou HTTPS (porta 5986). Para a infraestrutura imposta pelo WDAC, o Windows Admin Center também precisa de acesso SMB aos nós gerenciados (porta TCP 445).
Permissões
A transferência de arquivos baseada em caminhos UNC sobre porta SMB 445 é crítica para o Windows Admin Center gerenciar esses ambientes. Verifique se você é um administrador no servidor ou cluster gerenciado. Verifique também se as políticas de segurança não estão bloqueando transferências de arquivos.
Política de execução do PowerShell
A política de execução de padrão do PowerShell é suficiente para o Windows Admin Center gerenciar um computador imposto pelo WDAC. No entanto, se a política de execução padrão for alterada no computador, você precisará garantir que o escopo do LocalMachine
esteja definido como RemoteSigned
para permitir que scripts assinados sejam carregados e executados. Esse é um recurso de segurança do PowerShell e você deve fazer alterações somente quando elas forem apropriadas e necessárias.
Instalando o
Instale o Windows Admin Center no servidor ou no computador cliente imposto pelo WDAC, da mesma forma que faria normalmente. Se você atender aos requisitos anteriores, o Windows Admin Center deverá instalar e funcionar normalmente.
Conectar
Conecte-se normalmente aos servidores, máquinas cliente ou clusters que estão sob as normas do WDAC. Ao se conectar ao servidor, você pode acompanhar o status de aplicação por meio do campo Modo de Linguagem do PowerShell na página Visão Geral. Se o valor deste campo for Constrained, o WDAC será imposto.
Quando você se conecta a um cluster imposto pelo WDAC pela primeira vez, o Windows Admin Center pode levar alguns minutos para configurar uma conexão com o cluster. As conexões subsequentes não terão atraso.
Observação
Se você alterar o status de imposição do WDAC de seus nós gerenciados, não use o Windows Admin Center por pelo menos 30 segundos para que essa alteração seja refletida.
Problemas conhecidos
Atualmente, não há suporte para a implantação do Serviço de Kubernetes do Azure no Azure Local e na ponte de recursos do Azure Arc por meio do Windows Admin Center em um ambiente imposto pelo WDAC.
No momento, não há suporte para o uso do RBAC (controle de acesso baseado em função) em um único servidor.
No momento, não há suporte para determinadas operações na ferramenta Certificados.
Solução de problemas
Se você receber um erro "Módulo não encontrado" ou "falha ao se conectar":
Para confirmar se o Windows Admin Center transferiu arquivos com êxito para o nó gerenciado, vá para a pasta
%PROGRAMFILES%\WindowsPowerShell\Modules
no nó gerenciado e verifique se os módulos com o nomeMicrosoft.SME.*
existem nessa pasta.Se os módulos não existirem, reconecte-se ao servidor ou cluster do Windows Admin Center.
Verifique se o computador em que o Windows Admin Center está instalado tem acesso à porta TCP 445 no nó gerenciado.