Управление Защитник Windows управления приложениями для Azure Stack HCI версии 23H2

Статья
04/04/2024

Область применения: Azure Stack HCI, версия 23H2

В этой статье описывается, как использовать управление Защитник Windows приложениями (WDAC) для уменьшения уязвимой зоны Azure Stack HCI. Дополнительные сведения см. в статье Управление базовыми параметрами безопасности в Azure Stack HCI версии 23H2.

Предварительные требования

Прежде чем начать, убедитесь, что у вас есть доступ к системе Azure Stack HCI версии 23H2, которая развернута, зарегистрирована и подключена к Azure.

Просмотр параметров WDAC с помощью портал Azure

Чтобы просмотреть параметры WDAC в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье Применение инициативы Microsoft Cloud Security Benchmark.

Политики WDAC можно использовать для управления драйверами и приложениями, которые разрешено запускать в системе. Параметры WDAC можно просмотреть только через портал Azure. Сведения об управлении параметрами см. в статье Управление параметрами WDAC с помощью PowerShell.

Управление параметрами WDAC с помощью PowerShell

Включение режимов политики WDAC

Вы можете включить WDAC во время или после развертывания. Используйте PowerShell для включения или отключения WDAC после развертывания.

Подключитесь к одному из узлов кластера и используйте следующие командлеты, чтобы включить требуемую политику WDAC в режиме "Аудит" или "Принудительно".

В этом выпуске сборки есть два командлета:

Enable-AsWdacPolicy — влияет на все узлы кластера.
Enable-ASLocalWDACPolicy — влияет только на узел, на котором выполняется командлет.

В зависимости от варианта использования необходимо выполнить глобальное изменение кластера или изменение локального узла.

Это полезно, если:

Вы начали с рекомендуемых параметров по умолчанию.
Необходимо установить или запустить новое стороннее программное обеспечение. Вы можете переключить режимы политики, чтобы создать дополнительную политику.
Вы начали с WDAC, отключенным во время развертывания, и теперь вы хотите включить WDAC для повышения безопасности или проверки правильности работы программного обеспечения.
Ваше программное обеспечение или скрипты блокируются WDAC. В этом случае можно использовать режим аудита, чтобы понять и устранить проблему.

Примечание

Когда приложение заблокировано, WDAC создает соответствующее событие. Просмотрите журнал событий, чтобы узнать подробности о политике, которая блокирует приложение. Дополнительные сведения см. в практическом руководстве по управлению приложениями Защитник Windows.

Переключение режимов политики WDAC

Выполните следующие инструкции, чтобы переключиться между режимами политики WDAC. Эти команды PowerShell взаимодействуют с Orchestrator, чтобы включить выбранные режимы.

Подключитесь к узлу Azure Stack HCI.
Выполните следующую команду PowerShell, используя учетные данные локального администратора или пользователя развертывания (AzureStackLCMUser).

Важно!

Командлетам, которым требуется выполнить вход от имени пользователя развертывания (AzureStackLCMUser), требуется соответствующая авторизация учетных данных через группу безопасности (PREFIX-ECESG) и CredSSP (при использовании удаленного PowerShell) или сеанс консоли (RDP).
Выполните следующий командлет, чтобы проверка режим политики WDAC, который включен в данный момент:
```
Get-AsWdacPolicyMode
```
Этот командлет возвращает аудит или принудительный режим для каждого узла.
Выполните следующий командлет, чтобы переключить режим политики:
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
Например, чтобы переключить режим политики на аудит, выполните следующую команду:
```
Enable-AsWdacPolicy -Mode Audit
```
Предупреждение

Оркестратору потребуется до двух-трех минут, чтобы переключиться в выбранный режим.

Запустите Get-ASWDACPolicyMode еще раз, чтобы убедиться, что режим политики обновлен.

Get-AsWdacPolicyMode

Ниже приведен пример выходных данных этих командлетов:

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Создание политики WDAC для включения стороннего программного обеспечения

При использовании WDAC в режиме принудительного применения для запуска программного обеспечения, подписанного не корпорацией Майкрософт, создайте дополнительную политику WDAC. Дополнительные сведения см. в общедоступной документации по WDAC.

Примечание

Чтобы запустить или установить новое программное обеспечение, может потребоваться сначала переключить WDAC в режим аудита (см. инструкции выше), установить программное обеспечение, проверить, правильно ли оно работает, создать новую дополнительную политику, а затем переключить WDAC обратно в принудительный режим.

Создайте новую политику в формате нескольких политик, как показано ниже. Затем используйте , Add-ASWDACSupplementalPolicy -Path Policy.xml чтобы преобразовать его в дополнительную политику и развернуть его на узлах в кластере.

Создание дополнительной политики WDAC

Чтобы создать дополнительную политику, выполните следующие действия.

Прежде чем начать, установите программное обеспечение, на которое распространяется дополнительная политика, в собственный каталог. Это нормально, если есть подкаталоги. При создании дополнительной политики необходимо предоставить каталог для сканирования, и вы не хотите, чтобы дополнительная политика охватывала весь код в системе. В нашем примере это каталог C:\software\codetoscan.
После установки всего программного обеспечения выполните следующую команду, чтобы создать дополнительную политику. Используйте уникальное имя политики для его идентификации.
```
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
```

Выполните следующий командлет, чтобы изменить метаданные дополнительной политики:

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

Выполните следующий командлет, чтобы развернуть политику:
```
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
```

Выполните следующий командлет, чтобы проверка состояние новой политики:

Get-ASLocalWDACPolicyInfo