Hantera Windows Defender programkontroll för Azure Stack HCI, version 23H2
Gäller för: Azure Stack HCI, version 23H2
Den här artikeln beskriver hur du använder Windows Defender Application Control (WDAC) för att minska attackytan i Azure Stack HCI. Mer information finns i Hantera säkerhetsinställningar för baslinjen på Azure Stack HCI, version 23H2.
Förutsättningar
Innan du börjar kontrollerar du att du har åtkomst till ett Azure Stack HCI- version 23H2-system som distribueras, registreras och är anslutet till Azure.
Visa WDAC-inställningar via Azure Portal
Om du vill visa WDAC-inställningarna i Azure Portal kontrollerar du att du har tillämpat MCSB-initiativet. Mer information finns i Apply Microsoft Cloud Security Benchmark initiative (Använd Microsoft Cloud Security Benchmark-initiativ).
Du kan använda WDAC-principer för att styra vilka drivrutiner och appar som får köras på systemet. Du kan bara visa WDAC-inställningarna via Azure Portal. Information om hur du hanterar inställningarna finns i Hantera WDAC-inställningar med PowerShell.
Hantera WDAC-inställningar med PowerShell
Aktivera WDAC-principlägen
Du kan aktivera WDAC under eller efter distributionen. Använd PowerShell för att aktivera eller inaktivera WDAC efter distributionen.
Anslut till en av klusternoderna och använd följande cmdletar för att aktivera önskad WDAC-princip i läget "Granskning" eller "Framtvingad".
I den här versionen finns det två cmdletar:
Enable-AsWdacPolicy
– Påverkar alla klusternoder.Enable-ASLocalWDACPolicy
– Påverkar endast den nod som cmdleten körs på.
Beroende på ditt användningsfall bör du köra en global klusterändring eller en lokal nodändring.
Detta är användbart när:
- Du började med rekommenderade standardinställningar.
- Du måste installera eller köra ny programvara från tredje part. Du kan växla dina principlägen för att skapa en tilläggsprincip.
- Du började med att WDAC var inaktiverat under distributionen och nu vill du aktivera WDAC för att öka säkerhetsskyddet eller verifiera att programvaran körs korrekt.
- Programvaran eller skripten blockeras av WDAC. I det här fallet kan du använda granskningsläget för att förstå och felsöka problemet.
Anteckning
När programmet blockeras skapar WDAC en motsvarande händelse. Granska händelseloggen för att förstå information om principen som blockerar ditt program. Mer information finns i driftsguiden för Windows Defender Application Control.
Växla WDAC-principlägen
Följ de här stegen för att växla mellan WDAC-principlägen. Dessa PowerShell-kommandon interagerar med Orchestrator för att aktivera de valda lägena.
Anslut till din Azure Stack HCI-nod.
Kör följande PowerShell-kommando med autentiseringsuppgifter för lokal administratör eller autentiseringsuppgifter för distributionsanvändare (AzureStackLCMUser).
Viktigt
Cmdletar som måste vara inloggade som distributionsanvändare (AzureStackLCMUser) behöver auktorisering av korrekta autentiseringsuppgifter via säkerhetsgruppen (PREFIX-ECESG) och CredSSP (när du använder fjärr-PowerShell) eller konsolsession (RDP).
Kör följande cmdlet för att kontrollera det WDAC-principläge som för närvarande är aktiverat:
Get-AsWdacPolicyMode
Den här cmdleten returnerar granskningsläge eller framtvingat läge per nod.
Kör följande cmdlet för att växla principläge:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
Om du till exempel vill växla principläget till granskning kör du:
Enable-AsWdacPolicy -Mode Audit
Varning
Orchestrator tar upp till två till tre minuter att växla till det valda läget.
Kör
Get-ASWDACPolicyMode
igen för att bekräfta att principläget har uppdaterats.Get-AsWdacPolicyMode
Här är ett exempel på utdata från dessa cmdletar:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Skapa en WDAC-princip för att aktivera programvara från tredje part
När du använder WDAC i tvingande läge, så att din icke-Microsoft-signerade programvara kan köras, skapar du den basprincip som tillhandahålls av Microsoft genom att skapa en tilläggsprincip för WDAC. Ytterligare information finns i den offentliga WDAC-dokumentationen.
Anteckning
Om du vill köra eller installera ny programvara kan du behöva växla WDAC till granskningsläge först (se stegen ovan), installera programvaran, testa att den fungerar korrekt, skapa den nya tilläggsprincipen och sedan växla tillbaka WDAC till framtvingat läge.
Skapa en ny princip i formatet Flera principer enligt nedan. Använd Add-ASWDACSupplementalPolicy -Path Policy.xml
sedan för att konvertera den till en kompletterande princip och distribuera den mellan noder i klustret.
Skapa en tilläggsprincip för WDAC
Använd följande steg för att skapa en tilläggsprincip:
Innan du börjar installerar du den programvara som omfattas av tilläggsprincipen i en egen katalog. Det är okej om det finns underkataloger. När du skapar den kompletterande principen måste du ange en katalog som ska genomsökas och du vill inte att tilläggsprincipen ska täcka all kod i systemet. I vårt exempel är den här katalogen C:\software\codetoscan.
När du har all programvara på plats kör du följande kommando för att skapa din tilläggsprincip. Använd ett unikt principnamn för att identifiera det.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
Kör följande cmdlet för att ändra metadata för din tilläggsprincip:
# Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
Kör följande cmdlet för att distribuera principen:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
Kör följande cmdlet för att kontrollera status för den nya principen:
Get-ASLocalWDACPolicyInfo
Här är ett exempel på utdata från dessa cmdletar:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM