Dela via


Hantera Windows Defender programkontroll för Azure Stack HCI, version 23H2

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du använder Windows Defender Application Control (WDAC) för att minska attackytan i Azure Stack HCI. Mer information finns i Hantera säkerhetsinställningar för baslinjen på Azure Stack HCI, version 23H2.

Förutsättningar

Innan du börjar kontrollerar du att du har åtkomst till ett Azure Stack HCI- version 23H2-system som distribueras, registreras och är anslutet till Azure.

Visa WDAC-inställningar via Azure Portal

Om du vill visa WDAC-inställningarna i Azure Portal kontrollerar du att du har tillämpat MCSB-initiativet. Mer information finns i Apply Microsoft Cloud Security Benchmark initiative (Använd Microsoft Cloud Security Benchmark-initiativ).

Du kan använda WDAC-principer för att styra vilka drivrutiner och appar som får köras på systemet. Du kan bara visa WDAC-inställningarna via Azure Portal. Information om hur du hanterar inställningarna finns i Hantera WDAC-inställningar med PowerShell.

Skärmbild som visar sidan Programkontroll (WDAC) på Azure Portal.

Hantera WDAC-inställningar med PowerShell

Aktivera WDAC-principlägen

Du kan aktivera WDAC under eller efter distributionen. Använd PowerShell för att aktivera eller inaktivera WDAC efter distributionen.

Anslut till en av klusternoderna och använd följande cmdletar för att aktivera önskad WDAC-princip i läget "Granskning" eller "Framtvingad".

I den här versionen finns det två cmdletar:

  • Enable-AsWdacPolicy – Påverkar alla klusternoder.
  • Enable-ASLocalWDACPolicy – Påverkar endast den nod som cmdleten körs på.

Beroende på ditt användningsfall bör du köra en global klusterändring eller en lokal nodändring.

Detta är användbart när:

  • Du började med rekommenderade standardinställningar.
  • Du måste installera eller köra ny programvara från tredje part. Du kan växla dina principlägen för att skapa en tilläggsprincip.
  • Du började med att WDAC var inaktiverat under distributionen och nu vill du aktivera WDAC för att öka säkerhetsskyddet eller verifiera att programvaran körs korrekt.
  • Programvaran eller skripten blockeras av WDAC. I det här fallet kan du använda granskningsläget för att förstå och felsöka problemet.

Anteckning

När programmet blockeras skapar WDAC en motsvarande händelse. Granska händelseloggen för att förstå information om principen som blockerar ditt program. Mer information finns i driftsguiden för Windows Defender Application Control.

Växla WDAC-principlägen

Följ de här stegen för att växla mellan WDAC-principlägen. Dessa PowerShell-kommandon interagerar med Orchestrator för att aktivera de valda lägena.

  1. Anslut till din Azure Stack HCI-nod.

  2. Kör följande PowerShell-kommando med autentiseringsuppgifter för lokal administratör eller autentiseringsuppgifter för distributionsanvändare (AzureStackLCMUser).

    Viktigt

    Cmdletar som måste vara inloggade som distributionsanvändare (AzureStackLCMUser) behöver auktorisering av korrekta autentiseringsuppgifter via säkerhetsgruppen (PREFIX-ECESG) och CredSSP (när du använder fjärr-PowerShell) eller konsolsession (RDP).

  3. Kör följande cmdlet för att kontrollera det WDAC-principläge som för närvarande är aktiverat:

    Get-AsWdacPolicyMode
    

    Den här cmdleten returnerar granskningsläge eller framtvingat läge per nod.

  4. Kör följande cmdlet för att växla principläge:

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
    

    Om du till exempel vill växla principläget till granskning kör du:

    Enable-AsWdacPolicy -Mode Audit
    

    Varning

    Orchestrator tar upp till två till tre minuter att växla till det valda läget.

  5. Kör Get-ASWDACPolicyMode igen för att bekräfta att principläget har uppdaterats.

    Get-AsWdacPolicyMode
    

    Här är ett exempel på utdata från dessa cmdletar:

    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Enforced.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Enforced
    Node01 	Enforced
    
    PS C:\> Enable-AsWdacPolicy -Mode Audit
    WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
    VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
    VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
    6826fbf2-cb00-450e-ba08-ac24da6df4aa
    
    PS C:\> Get-AsWdacPolicyMode
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    VERBOSE: Getting WDAC Policy Mode on Node01
    VERBOSE: WDAC Policy Mode on Node01 is Audit.
    
    NodeName     PolicyMode
    --------     ----------
    Node01 	Audit
    Node01	Audit
    

Skapa en WDAC-princip för att aktivera programvara från tredje part

När du använder WDAC i tvingande läge, så att din icke-Microsoft-signerade programvara kan köras, skapar du den basprincip som tillhandahålls av Microsoft genom att skapa en tilläggsprincip för WDAC. Ytterligare information finns i den offentliga WDAC-dokumentationen.

Anteckning

Om du vill köra eller installera ny programvara kan du behöva växla WDAC till granskningsläge först (se stegen ovan), installera programvaran, testa att den fungerar korrekt, skapa den nya tilläggsprincipen och sedan växla tillbaka WDAC till framtvingat läge.

Skapa en ny princip i formatet Flera principer enligt nedan. Använd Add-ASWDACSupplementalPolicy -Path Policy.xml sedan för att konvertera den till en kompletterande princip och distribuera den mellan noder i klustret.

Skapa en tilläggsprincip för WDAC

Använd följande steg för att skapa en tilläggsprincip:

  1. Innan du börjar installerar du den programvara som omfattas av tilläggsprincipen i en egen katalog. Det är okej om det finns underkataloger. När du skapar den kompletterande principen måste du ange en katalog som ska genomsökas och du vill inte att tilläggsprincipen ska täcka all kod i systemet. I vårt exempel är den här katalogen C:\software\codetoscan.

  2. När du har all programvara på plats kör du följande kommando för att skapa din tilläggsprincip. Använd ett unikt principnamn för att identifiera det.

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
    
  3. Kör följande cmdlet för att ändra metadata för din tilläggsprincip:

    # Set Policy Version (VersionEx in the XML file)
     $policyVersion = "1.0.0.1"
     Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
    
     # Set Policy Info (PolicyName, PolicyID in the XML file)
     Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
    
  4. Kör följande cmdlet för att distribuera principen:

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
    
  5. Kör följande cmdlet för att kontrollera status för den nya principen:

    Get-ASLocalWDACPolicyInfo
    

    Här är ett exempel på utdata från dessa cmdletar:

    C:\> Get-ASLocalWDACPolicyInfo
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
    PolicyName        : AS_Base_Policy
    PolicyVersion     : AS_Base_Policy_1.1.4.0
    PolicyScope       : Kernel & User
    MicrosoftProvided : True
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    
    NodeName          : Node01
    PolicyMode        : Enforced
    PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
    PolicyName        : Contoso-Policy
    PolicyVersion     : Contoso-Policy_1.0.0.1
    PolicyScope       : Kernel & User
    MicrosoftProvided : False
    LastTimeApplied   : 10/26/2023 11:14:24 AM
    

Nästa steg