Administración del control de aplicaciones de Windows Defender para Azure Local, versión 23H2

Se aplica a: Azure Local, versión 23H2

En este artículo se describe cómo usar el Control de aplicaciones de Windows Defender (WDAC) para reducir la superficie expuesta a ataques de Azure Local. Para más información, consulte Administración de la configuración de seguridad de línea base en Azure Local, versión 23H2.

Requisitos previos

Antes de empezar, asegúrese de que tiene acceso a una instancia de Azure Local, versión 23H2 implementada, registrada y conectada a Azure.

Visualización de la configuración de WDAC a través de Azure Portal

Para ver la configuración de WDAC en Azure Portal, asegúrese de que ha aplicado la iniciativa MCSB. Para obtener más información, consulte Aplicación de la iniciativa Microsoft Cloud Security Benchmark.

Puede usar directivas WDAC para controlar qué controladores y aplicaciones pueden ejecutarse en el sistema. Solo puede ver la configuración de WDAC a través de Azure Portal. Para administrar la configuración, consulte Administración de la configuración de WDAC con PowerShell.

Administración de la configuración de WDAC con PowerShell

Habilitar modos de directiva WDAC

Puede habilitar WDAC durante o después de la implementación. Use PowerShell para habilitar o deshabilitar WDAC después de la implementación.

Conéctese a una de las máquinas y use los siguientes cmdlets para habilitar la directiva WDAC deseada en modo "Audit" o "Aplicado".

En esta versión de compilación hay dos cmdlets:

• Enable-AsWdacPolicy : afecta a todos los nodos del clúster.
• Enable-ASLocalWDACPolicy : afecta solo al nodo en el que se ejecuta el cmdlet.

Según el caso de uso, debe ejecutar un cambio de clúster global o un cambio de nodo local.

Resulta útil cuando:

• Ha empezado con la configuración predeterminada recomendada.
• Debe instalar o ejecutar nuevo software de terceros. Puede cambiar los modos de directiva para crear una directiva complementaria.
• Ha empezado con WDAC deshabilitado durante la implementación y ahora quiere habilitar WDAC para aumentar la protección de seguridad o para validar que el software se ejecuta correctamente.
• WDAC bloquea el software o los scripts. En este caso, puede usar el modo de auditoría para comprender y solucionar el problema.

Nota:

Cuando la aplicación está bloqueada, WDAC crea un evento correspondiente. Revise el registro de eventos para comprender los detalles de la directiva que bloquea la aplicación. Para obtener más información, consulta la guía operativa control de aplicaciones de Windows Defender.

Cambiar los modos de directiva WDAC

Siga estos pasos para cambiar de modo de directiva de WDAC. Estos comandos de PowerShell interactúan con Orchestrator para habilitar los modos seleccionados.

1. Conéctese a la máquina local de Azure.

2. Ejecute el siguiente comando de PowerShell mediante credenciales de administrador local o credenciales de usuario de implementación (AzureStackLCMUser).

3. Ejecute el siguiente cmdlet para comprobar el modo de directiva WDAC que está habilitado actualmente:

   Get-AsWdacPolicyMode
   

   Este cmdlet devuelve audit o modo aplicado por nodo.

4. Ejecute el siguiente cmdlet para cambiar el modo de directiva:

   Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
   

   Por ejemplo, para cambiar el modo de directiva a auditar, ejecute:

   Enable-AsWdacPolicy -Mode Audit
   

   Advertencia

   El orquestador tardará hasta dos o tres minutos en cambiar al modo seleccionado.

5. Vuelva a ejecutar Get-ASWDACPolicyMode para confirmar que se ha actualizado el modo de directiva.

   Get-AsWdacPolicyMode
   

   Esta es una salida de ejemplo de estos cmdlets:

   PS C:\> Get-AsWdacPolicyMode
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Enforced.
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Enforced.
   
   NodeName     PolicyMode
   --------     ----------
   Node01 	Enforced
   Node01 	Enforced
   
   PS C:\> Enable-AsWdacPolicy -Mode Audit
   WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
   VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
   VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
   6826fbf2-cb00-450e-ba08-ac24da6df4aa
   
   PS C:\> Get-AsWdacPolicyMode
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Audit.
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Audit.
   
   NodeName     PolicyMode
   --------     ----------
   Node01 	Audit
   Node01	Audit
   

Creación de una directiva WDAC para habilitar software de terceros

Al usar WDAC en modo de cumplimiento, para que el software no firmado por Microsoft se ejecute, compile en la directiva base proporcionada por Microsoft mediante la creación de una directiva complementaria WDAC. Puede encontrar información adicional en la documentación pública de WDAC.

Nota:

Para ejecutar o instalar nuevo software, es posible que tenga que cambiar WDAC al modo de auditoría primero (consulte los pasos anteriores), instalar el software, probar que funciona correctamente, crear la nueva directiva complementaria y, a continuación, volver a cambiar WDAC al modo aplicado.

Cree una nueva directiva en el formato de varias directivas, como se muestra a continuación. Después, use Add-ASWDACSupplementalPolicy -Path Policy.xml para convertirla en una directiva complementaria e implementarla en todos los nodos del clúster.

Creación de una directiva complementaria de WDAC

Siga estos pasos para crear una directiva complementaria:

1. Antes de comenzar, instale el software cubierto por la directiva complementaria en su propio directorio. Está bien si hay subdirectorios. Al crear la directiva complementaria, debe proporcionar un directorio para examinar y no desea que la directiva complementaria cubra todo el código del sistema. En nuestro ejemplo, este directorio es C:\software\codetoscan.

2. Una vez que haya implementado todo el software, ejecute el siguiente comando para crear la directiva complementaria. Use un nombre de directiva único para ayudarle a identificarlo.

   New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
   

3. Ejecute el siguiente cmdlet para modificar los metadatos de la directiva complementaria:

   
    # Path of new created XML)
    $policyPath = "c:\wdac\Contoso-policy.xml"
   
   # Set Policy Version (VersionEx in the XML file)
    $policyVersion = "1.0.0.1"
    Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
   
    # Set Policy Info (PolicyName, PolicyID in the XML file)
    Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
   

4. Ejecute el siguiente cmdlet para implementar la directiva:

   Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
   

5. Ejecute el siguiente cmdlet para comprobar el estado de la nueva directiva:

   Get-ASLocalWDACPolicyInfo
   

   Esta es una salida de ejemplo de estos cmdlets:

   C:\> Get-ASLocalWDACPolicyInfo
   
   NodeName          : Node01
   PolicyMode        : Enforced
   PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
   PolicyName        : AS_Base_Policy
   PolicyVersion     : AS_Base_Policy_1.1.4.0
   PolicyScope       : Kernel & User
   MicrosoftProvided : True
   LastTimeApplied   : 10/26/2023 11:14:24 AM
   
   NodeName          : Node01
   PolicyMode        : Enforced
   PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
   PolicyName        : Contoso-Policy
   PolicyVersion     : Contoso-Policy_1.0.0.1
   PolicyScope       : Kernel & User
   MicrosoftProvided : False
   LastTimeApplied   : 10/26/2023 11:14:24 AM
   

Pasos siguientes

• Complete los requisitos previos y la lista de comprobación de implementación e instale Azure Local, versión 23H2.