Упражнение. Включение AppLocker в ВМ Windows Server 2016, работающую в Azure

  • 10 мин

Как старший администратор, работающий в Contoso, вам предложено проверить Microsoft AppLocker для будущего развертывания в среде виртуального рабочего стола Azure. На предприятии этот процесс обычно выполняется с помощью объектов групповой политики, Intune или диспетчера конфигураций. Это упражнение не включает доступ к этим средствам или контроллеру домена Active Directory.

В этом упражнении вы будете использовать виртуальную машину Windows Server 2016, запущенную в Azure. Поскольку это не среда виртуального рабочего стола Azure для задания, Windows 10 Корпоративная недоступна. Вот что нужно сделать:

  • Открыть Azure Cloud Shell.
  • Создать группу ресурсов.
  • Развернуть виртуальную машину Windows Server 2016.
  • Подключиться к виртуальной машине.
  • Добавить стандартного пользователя.
  • Включить службу AppIDsrv.
  • Отключить конфигурацию усиленной безопасности Internet Explorer.
  • Скачать и установить Visual Studio Code 2019.
  • Включить AppLocker.
  • Включить правила AppLocker по умолчанию.
  • Проверить конфигурацию AppLocker на развернутой виртуальной машине Windows Server 2016.
  • Очистка ресурсов.
  • Попробуйте демонстрацию об использовании AppLocker.

Примечание.

Чтобы выполнить это упражнение, необходимо иметь активную подписку Azure. Если вы выполните это упражнение, вы можете понести расходы по подписке Azure. Чтобы оценить затраты, см. раздел Цены на виртуальные машины Windows. Действия, описанные в этом задании, относятся к среде Windows Server 2016.

Определить и развернуть виртуальные машины в Azure можно несколькими способами. В этом упражнении используется Azure CLI в Azure Cloud Shell.

Откройте Azure Cloud Shell

  1. Войдите на портал Azure с помощью учетных данных Azure.
  2. Выберите значок Cloud Shell рядом с полем поиска. Откроется баннер Добро пожаловать в Azure Cloud Shell.
  3. Вы можете получить сообщение о том, что у вас не подключено хранилище и вам будет предложено выбрать подписку и создать хранилище. Выберите свою подписку и нажмите Создать хранилище при запросе.
  4. В окне терминала Azure Cloud Shell выберите PowerShell в качестве среды.

Создание группы ресурсов

Теперь необходимо создать группу ресурсов. Группа ресурсов Azure — это логический контейнер, в котором ресурсы Azure развертываются и управляются. В следующем примере создается группа ресурсов с именем myResourceGroup в расположении westus. В зависимости от вашего расположения можно выбрать другой вариант.

  1. Введите следующую команду в PowerShell CLI:
az group create -n myResourceGroup -l westus
  1. Проверьте новую группу ресурсов с помощью следующей команды. Эта команда получает группу ресурсов Azure в вашей подписке с именем myResourceGroup.
Get-AZResourceGroup -Name myResourceGroup

Развертывание виртуальной машины Windows Server 2016

  1. Введите следующие команды в окне CLI:
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

  1. Введите пароль администратора и подтвердите его при запросе.

  2. Когда появляется сообщение Выполняется, компьютер развертывается. Развертывание ресурсов Azure займет от 2 до 3 минут.

    По завершению процесса появляются следующие выходные данные:

    {- Finished ..
 "fqdns": "",
 "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
 "location": "westus",
 "macAddress": "00-0D-3A-5A-75-FA",
 "powerState": "VM running",
 "privateIpAddress": "10.0.0.4",
 "publicIpAddress": "65.52.124.71", 
 "resourceGroup": "myResourceGroup",
 "zones": ""
}

  3. Используйте общедоступный адрес в подключении к удаленному рабочему столу. Запишите адрес с паролем администратора.

Подключение к виртуальной машине

Выполните следующие действия, чтобы создать сеанс удаленного рабочего стола с локального компьютера. Замените IP-адрес общедоступным IP-адресом вашей виртуальной машины. При запросе введите имя пользователя администратора, указанное в команде PowerShell, и соответствующий пароль.

  1. На рабочем столе Windows введите mstsc в окне поиска и выберите приложение Подключение к удаленному рабочему столу.
  2. Выберите Показать параметры. Введите IP-адрес виртуальной машины и учетные данные администратора и нажмите кнопку Подключиться. Не выбирайте сохранение конфигурации входа.
  3. При получении сообщения Не удается проверить удостоверение удаленного компьютера. Вы все равно хотите подключиться?, выберите Да.

Добавление обычного пользователя

Следующий шаг — добавление обычного пользователя на сервер myVM.

  1. Теперь должна быть доступна панель мониторинга диспетчера Windows. В противном случае выберите Пуск, а затем выберите Диспетчер сервера.
  2. На панели мониторинга выберите Средства, а затем выберите Управление компьютером.
  3. В разделе Системные средства выберите Локальные пользователи и группы. Щелкните правой кнопкой мыши пункт Пользователи или активируйте его контекстное меню, а затем выберите пункт Новый пользователь.
  4. Введите имя пользователя, полное имя и описание. Введите и подтвердите пароль, а затем снимите флажок Пользователь должен изменить пароль при следующем входе.
  5. Нажмите Создать, а затем — Закрыть.
  6. Выберите параметр Группы, а затем выполните поиск пользователей удаленного рабочего стола.
  7. Щелкните правой кнопкой мыши пункт Пользователи удаленного рабочего стола или активируйте его контекстное меню, а затем выберите пункт Добавить в группу.
  8. В диалоговом свойств Пользователи удаленного рабочего стола выберите Добавить.
  9. Добавьте в эту группу обычного пользователя, созданного ранее.
  10. Нажмите ОК.
  11. Закройте консоль управления компьютером.

Включение службы AppIDsrv

Служба удостоверений приложений (AppIDsrv) определяет и проверяет удостоверение приложения. Остановка этой службы предотвратит принудительное применение политик AppLocker.

  1. Запустите Диспетчер задач, щелкнув правой кнопкой мыши панель задач и выбрав Диспетчер задач.

  2. Выберите Дополнительные сведения, а затем выберите вкладку Службы.

  3. Прокрутите страницу вниз до пункта AppIDSvc. Щелкните его правой кнопкой мыши и выберите Пуск.

    Служба AppIDSrv теперь должна иметь состояние Выполняется.

  4. Закройте Диспетчер задач.

Отключение параметров усиленной безопасности Internet Explorer.

Чтобы показать возможности AppLocker, необходимо отключить конфигурацию усиленной безопасности. Эта защита включена по умолчанию в Internet Explorer в Windows Server 2016. Если конфигурация усиленной безопасности отключена, доступ к Интернету не проверяется.

  1. В диспетчере серверов выберите Локальный сервер.
  2. На панели Свойства найдите Конфигурация усиленной безопасности IE и выберите ссылку Вкл..
  3. Отключите конфигурацию усиленной безопасности для администраторов и пользователей, нажав кнопку Выкл. для каждого из них.
  4. Запустите Internet Explorer. Должно отобраться сообщение Конфигурация усиленной безопасности Internet Explorer не включена.

Скачивание и установка Visual Studio Code 2019

  1. Скачайте и установите выпуск Visual Studio 2019 Community на странице Загрузки Visual Studio. Этот выпуск является бесплатным.
  2. Когда будет предложено запустить или сохранить файл Visual Studio .exe, выберите команду Запустить.
  3. Во время установки примите все значения по умолчанию. Выберите Продолжить и Установить при запросе во время настройки. Для этого упражнения не требуется устанавливать дополнительные компоненты.
  4. Откройте Visual Studio, чтобы убедиться, что он может работать. По умолчанию ярлык на рабочем столе или панели задач отсутствует. Вы можете найти Visual Studio в меню Пуск в разделе Недавно добавленные.
  5. Закройте Visual Studio.

Включение AppLocker

  1. В диспетчере серверов выберите Средства, а затем выберите Локальная политика безопасности.

  2. В разделе Параметры безопасности выберите Политики управления приложениями.

  3. Разверните Политики управления приложениями и выберите AppLocker. Появится интерфейс конфигурации AppLocker.

  4. Выберите Настроить применение правил. Становится доступным интерфейс свойств AppLocker.

  5. На вкладке Применение эти правила по умолчанию не включены. Установите флажок Исполняемые правила: настроено, чтобы включить исполняемые правила.

    Примечание.

    Убедитесь, что для параметра задано значение Принудительное применение правил, а нетолько аудит. Параметр Только аудит не будет блокировать какие-либо приложения, и вы можете не выполнить упражнение, как написано, если этот параметр выбран.

  6. Повторите предыдущий шаг для правил установщика Windows, правил сценариев и правил для упакованных приложений.

  7. Нажмите ОК.

Включение правил AppLocker по умолчанию.

  1. В консоли локальной политики безопасности в разделе Параметры безопасности>Политики управления приложениями>AppLockerщелкните правой кнопкой мыши пункт Правила для упакованных приложений. Затем выберите Создать правила по умолчанию.

    (Правило по умолчанию) Все подписанные пакетные приложения должны отображаться на правой панели.

  2. Повторите предыдущий шаг для Исполняемых правил. Должны быть созданы правила по умолчанию.

  3. На левой панели щелкните правой кнопкой мыши пункт Исполняемые правила и выберите Создать новое правило.

  4. Появится панель Создать исполняемые правила. Нажмите кнопку Далее.

  5. В разделе Действия выберите пункт Запретить.

  6. Нажмите кнопку Выбрать.

  7. Появится панель Выбор пользователя или группы. В поле Введите имя объекта для выбора, введите стандартное имя пользователя, созданное ранее.

  8. Выберите Проверить имена. Вы увидите myVM\"имя входа стандартных пользователей".

  9. Нажмите кнопку ОК.

  10. Выберите Далее, Путь, а затем выберите Далее.

  11. Выберите Обзор папок. Появится обозреватель файлов Обзор папок.

  12. Выберите Program Files (x86)>Microsoft Visual Studio>2019. После этого нажмите кнопку ОК.

  13. Теперь путь — %PROGRAMFILES%\Microsoft Visual Studio\2019. Нажмите кнопку Далее.

  14. Выберите Далее на панели Исключения.

  15. Выберите Создать на панели Имя и описание.

    Теперь вы должны увидеть правило Запретить на панели Исполняемые правила.

  16. Закройте окно Локальная политика безопасности.

Проверка конфигурации AppLocker на виртуальной машине Windows Server 2016

  1. Выйдите из развернутой настроенной виртуальной машины Windows Server, а затем войдите с помощью стандартной учетной записи пользователя, созданной ранее.

    Сеанс удаленного рабочего стола закрывается при выходе. Вам придется запустить еще один сеанс удаленного рабочего стола и снова выполнить вход через клиент удаленного рабочего стола, как было описано ранее.

  2. В меню Пуск выберите Visual Studio 2019.

    Должно отобразиться сообщение Это приложение заблокировано системным администратором.

При применении правил AppLocker в рабочей среде, запуск любых приложений, не включенных в разрешенные правила, блокируется.

Очистка ресурсов

Вы можете использовать следующую команду, чтобы удалить группу ресурсов, виртуальную машину и все связанные ресурсы, когда они больше не нужны. Замените имя группы ресурсов именем группы ресурсов, созданной в собственной среде (myResourceGroup). Если вы решите не удалять эти ресурсы, это может привести к затратам, связанным с ними.

az group delete --name myResourceGroup

Этот процесс занимает от 2 до 3 минут.

Демонстрация: использование AppLocker в среде виртуального рабочего стола Azure

В следующем видео показано, как использовать AppLocker для защиты развертывания виртуального рабочего стола Azure.