Поделиться через


Управление приложением Защитника Windows для локальной версии 23H2

Область применения: Локальная версия Azure, версия 23H2

В этой статье описывается, как использовать элемент управления приложениями Защитника Windows (WDAC) для уменьшения области атаки локальной среды Azure. Дополнительные сведения см. в статье "Управление базовыми параметрами безопасности в локальной среде Azure" версии 23H2.

Необходимые компоненты

Прежде чем начать, убедитесь, что у вас есть доступ к локальному экземпляру Azure версии 23H2, развернутой, зарегистрированной и подключенной к Azure.

Просмотр параметров WDAC с помощью портал Azure

Чтобы просмотреть параметры WDAC в портал Azure, убедитесь, что вы применили инициативу MCSB. Дополнительные сведения см. в статье "Применение инициативы Microsoft Cloud Security Benchmark".

Политики WDAC можно использовать для управления разрешениями на запуск драйверов и приложений в системе. Параметры WDAC можно просматривать только с помощью портал Azure. Сведения об управлении параметрами см. в разделе "Управление параметрами WDAC" с помощью PowerShell.

Снимок экрана: страница управления приложениями (WDAC) на портал Azure.

Управление параметрами WDAC с помощью PowerShell

Включение режимов политики WDAC

Вы можете включить WDAC во время или после развертывания. Используйте PowerShell для включения или отключения WDAC после развертывания.

Подключитесь к одному из компьютеров и используйте следующие командлеты, чтобы включить нужную политику WDAC в режиме "Аудит" или "Принудительно".

В этом выпуске сборки есть два командлета:

  • Enable-AsWdacPolicy — влияет на все узлы кластера.
  • Enable-ASLocalWDACPolicy — влияет только на узел, на котором выполняется командлет.

В зависимости от варианта использования следует выполнить изменение глобального кластера или изменение локального узла.

Это полезно, если:

  • Вы начали работу с параметрами по умолчанию.
  • Необходимо установить или запустить новое стороннее программное обеспечение. Вы можете переключить режимы политики, чтобы создать дополнительную политику.
  • Вы начали работу с WDAC, отключенной во время развертывания, и теперь вы хотите включить WDAC для повышения защиты безопасности или проверить правильность работы программного обеспечения.
  • Программное обеспечение или скрипты заблокированы WDAC. В этом случае можно использовать режим аудита для понимания и устранения проблемы.

Примечание.

Когда приложение заблокировано, WDAC создает соответствующее событие. Просмотрите журнал событий, чтобы понять сведения о политике, которая блокирует приложение. Дополнительные сведения см. в рабочем руководстве по управлению приложениями в Защитнике Windows.

Переключение режимов политики WDAC

Выполните следующие инструкции, чтобы переключиться между режимами политики WDAC. Эти команды PowerShell взаимодействуют с Оркестратором, чтобы включить выбранные режимы.

  1. Подключитесь к локальному компьютеру Azure.

  2. Выполните следующую команду PowerShell, используя учетные данные локального администратора или пользователя развертывания (AzureStackLCMUser).

  3. Выполните следующий командлет, чтобы проверить режим политики WDAC, который в настоящее время включен:

    Get-AsWdacPolicyMode
    

    Этот командлет возвращает режим аудита или принудительного режима на узел.

  4. Выполните следующий командлет, чтобы переключить режим политики:

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
    

    Например, чтобы переключить режим политики на аудит, выполните следующую команду:

    Enable-AsWdacPolicy -Mode Audit
    

    Предупреждение

    Оркестратор займет до двух-трех минут, чтобы переключиться в выбранный режим.

  5. Запустите Get-ASWDACPolicyMode еще раз, чтобы подтвердить обновление режима политики.

    Get-AsWdacPolicyMode
    

    Ниже приведен пример выходных данных этих командлетов:

    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Enforced
    Node01 	Enforced
    
    PS C:\> Enable-AsWdacPolicy -Mode Audit
    WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
    VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
    VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
    6826fbf2-cb00-450e-ba08-ac24da6df4aa
    
    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Audit
    Node01	Audit
    

Создание политики WDAC для включения стороннего программного обеспечения

При использовании WDAC в режиме принудительного применения для запуска программного обеспечения, не подписанного корпорацией Майкрософт, создайте дополнительную политику WDAC. Дополнительные сведения см. в общедоступной документации по WDAC.

Примечание.

Чтобы запустить или установить новое программное обеспечение, может потребоваться сначала переключить WDAC на режим аудита (см. инструкции выше), установить программное обеспечение, проверить правильность работы, создать новую дополнительную политику, а затем переключить WDAC обратно в режим принудительного применения.

Создайте новую политику в формате нескольких политик, как показано ниже. Затем используйте Add-ASWDACSupplementalPolicy -Path Policy.xml для преобразования его в дополнительную политику и разверните ее на разных узлах в кластере.

Создание дополнительной политики WDAC

Чтобы создать дополнительную политику, выполните следующие действия.

  1. Прежде чем начать, установите программное обеспечение, которое будет охватываться дополнительной политикой в свой собственный каталог. Это нормально, если есть подкаталоги. При создании дополнительной политики необходимо предоставить каталог для сканирования, и вы не хотите, чтобы дополнительная политика охватывала весь код в системе. В нашем примере этот каталог — C:\software\codetoscan.

  2. После размещения всего программного обеспечения выполните следующую команду, чтобы создать дополнительную политику. Используйте уникальное имя политики для его идентификации.

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
    
  3. Выполните следующий командлет, чтобы изменить метаданные дополнительной политики:

    
     # Path of new created XML)
     $policyPath = "c:\wdac\Contoso-policy.xml"
    
    # Set Policy Version (VersionEx in the XML file)
     $policyVersion = "1.0.0.1"
     Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
    
     # Set Policy Info (PolicyName, PolicyID in the XML file)
     Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
    
  4. Выполните следующий командлет, чтобы развернуть политику:

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
    
  5. Выполните следующий командлет, чтобы проверить состояние новой политики:

    Get-ASLocalWDACPolicyInfo
    

    Ниже приведен пример выходных данных этих командлетов:

    C:\> Get-ASLocalWDACPolicyInfo
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
    PolicyName        : AS_Base_Policy
    PolicyVersion     : AS_Base_Policy_1.1.4.0
    PolicyScope       : Kernel & User
    MicrosoftProvided : True
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
    PolicyName        : Contoso-Policy
    PolicyVersion     : Contoso-Policy_1.0.0.1
    PolicyScope       : Kernel & User
    MicrosoftProvided : False
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    

Следующие шаги