管理 Azure Stack HCI 23H2 版 Windows Defender 應用程控
適用於:Azure Stack HCI 版本 23H2
本文說明如何使用 Windows Defender 應用程控 (WDAC) 來減少 Azure Stack HCI 的攻擊面。 如需詳細資訊,請參閱 管理 Azure Stack HCI 版本 23H2 上的基準安全性設定。
必要條件
開始之前,請確定您可以存取已部署、註冊及連線至 Azure 的 Azure Stack HCI 版本 23H2 系統。
透過 Azure 入口網站 檢視 WDAC 設定
若要檢視 Azure 入口網站 中的 WDAC 設定,請確定您已套用 MCSB 方案。 如需詳細資訊,請參閱 套用 Microsoft Cloud Security Benchmark 方案。
您可以使用 WDAC 原則來控制系統上允許哪些驅動程式和應用程式執行。 您只能透過 Azure 入口網站 檢視 WDAC 設定。 若要管理設定,請參閱 使用PowerShell管理 WDAC 設定。
使用 PowerShell 管理 WDAC 設定
啟用 WDAC 原則模式
您可以在部署期間或之後啟用 WDAC。 使用PowerShell在部署後啟用或停用WDAC。
線上到其中一個叢集節點,並使用下列 Cmdlet 在 「稽核」或「強制執行」模式中啟用所需的 WDAC 原則。
在此組建版本中,有兩個 Cmdlet:
-
Enable-AsWdacPolicy
- 影響所有叢集節點。 -
Enable-ASLocalWDACPolicy
- 只會影響執行 Cmdlet 的節點。
根據您的使用案例,您應該執行全域叢集變更或本機節點變更。
此操作在下列情況下相當有用:
- 您開始使用預設的建議設定。
- 您必須安裝或執行新的第三方軟體。 您可以切換原則模式來建立補充原則。
- 您已在部署期間停用 WDAC,現在想要讓 WDAC 提高安全性保護,或驗證您的軟體是否正常執行。
- WDAC 會封鎖您的軟體或腳本。 在此情況下,您可以使用稽核模式來了解問題並進行疑難解答。
注意
當應用程式遭到封鎖時,WDAC 會建立對應的事件。 檢閱事件記錄檔,以瞭解封鎖應用程式的原則詳細數據。 如需詳細資訊,請參閱 Windows Defender 應用程控作業指南。
切換 WDAC 原則模式
遵循下列步驟,在 WDAC 原則模式之間切換。 這些 PowerShell 命令會與 Orchestrator 互動,以啟用選取的模式。
線上到您的 Azure Stack HCI 節點。
使用本機系統管理員認證或部署使用者 (AzureStackLCMUser) 認證來執行下列 PowerShell 命令。
重要
需要以部署使用者身分登入的 Cmdlet (AzureStackLCMUser) 需要透過安全組 (PREFIX-ECESG) 和 CredSSP (使用遠端 PowerShell) 或控制台會話 (RDP) 進行適當的認證授權。
執行下列 Cmdlet 來檢查目前啟用的 WDAC 原則模式:
Get-AsWdacPolicyMode
此 Cmdlet 會傳回每個節點的稽核或強制模式。
執行下列 Cmdlet 以切換原則模式:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
例如,若要將原則模式切換為稽核,請執行:
Enable-AsWdacPolicy -Mode Audit
警告
Orchestrator 最多需要兩到三分鐘的時間,才能切換至選取的模式。
再次執行
Get-ASWDACPolicyMode
以確認原則模式已更新。Get-AsWdacPolicyMode
以下是這些 Cmdlet 的範例輸出:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
建立 WDAC 原則以啟用第三方軟體
在強制模式中使用 WDAC 時,若要讓非 Microsoft 簽署的軟體執行,請建立 WDAC 補充原則,以 Microsoft 提供的基底原則為基礎建置。 您可以在 公用 WDAC 檔中找到其他資訊。
注意
若要執行或安裝新的軟體,您可能需要先將 WDAC 切換至稽核模式, (請參閱上述步驟) 、安裝軟體、測試其運作正常、建立新的補充原則,然後將 WDAC 切換回強制執行模式。
在多個原則格式中建立新的原則,如下所示。
Add-ASWDACSupplementalPolicy -Path Policy.xml
然後使用 將其轉換成補充原則,並在叢集中的節點間部署。
建立 WDAC 補充原則
使用下列步驟來建立補充原則:
開始之前,請先將補充原則涵蓋的軟體安裝到自己的目錄中。 如果有子目錄,則沒關係。 建立補充原則時,您必須提供要掃描的目錄,而且不想讓補充原則涵蓋系統上的所有程序代碼。 在我們的範例中,此目錄是 C:\software\codetoscan。
在您準備好所有軟體之後,請執行下列命令來建立補充原則。 使用唯一的原則名稱來協助識別它。
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
執行下列 Cmdlet 來修改補充原則的元數據:
# Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
執行下列 Cmdlet 來部署原則:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
執行下列 Cmdlet 來檢查新原則的狀態:
Get-ASLocalWDACPolicyInfo
以下是這些 Cmdlet 的範例輸出:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM