Exercizio - Abilitare AppLocker in un Windows Server 2016 VM in esecuzione in Azure

Completato

L’amministratore capo che lavora per Contoso dovrà testare Microsoft AppLocker per la distribuzione nell’ambiente del Desktop virtuale Azure. Nelle aziende questo processo viene in genere eseguito tramite oggetti Criteri di gruppo, Intune o Gestione configurazione. Questo esercizio non include l'accesso a tali strumenti o a un controller di dominio Active Directory.

In questo esercizio si userà una macchina virtuale Windows Server 2016 eseguita in Azure. Poiché non si tratta di un ambiente Desktop virtuale Azure per lab, Windows 10 Enterprise non è disponibile. Sarà necessario:

• Aprire Azure Cloud Shell.
• Creare un gruppo di risorse.
• Distribuire una macchina virtuale Windows Server 2016.
• Connettersi alla macchina virtuale.
• Aggiungere un utente standard.
• Abilitare il servizio AppIDsrv.
• Disattivare la configurazione di sicurezza avanzata di Internet Explorer.
• Scaricare e installare Visual Studio Code 2019.
• Abilitare AppLocker.
• Abilitare le regole predefinite di AppLocker.
• Testare la configurazione AppLocker nella macchina virtuale distribuita Windows Server 2016.
• Pulire le risorse.
• Provare una demo sull'uso di AppLocker.

Nota

Per completare questa esercizio, è necessario avere un abbonamento attivo ad Azure. L’esecuzione di questo esercizio potrebbe comportare costi aggiunti all’abbonamento di Azure. Per stimare i costi, vedere Prezzi di macchine virtuali Windows. I passaggi descritti si riferiscono a un ambiente Windows Server 2016.

È possibile definire e distribuire le macchine virtuali in Azure in diversi modi. In questo esercizio verrà usata l’interfaccia della riga di comando di Azure in Azure Cloud Shell.

Aprire Azure Cloud Shell

1. Accedere al portale di Azure con le credenziali di Azure.
2. Selezionare l’icona di Cloud Shell accanto alla casella di ricerca. Si aprirà un banner di benvenuto in Azure Cloud Shell.
3. Potrebbe essere visualizzato un messaggio che indica che non è installato alcun dispositivo di archiviazione, chiedendo di selezionare un abbonamento e creare lo spazio di archiviazione. Selezionare l'abbonamento e scegliere Crea spazio di archiviazione, se richiesto.
4. Nella finestra del terminale di Azure Cloud Shell selezionare PowerShell come ambiente.

Creare un gruppo di risorse

A questo punto è necessario creare un gruppo di risorse. Un gruppo di risorse di Azure è un contenitore logico in cui vengono distribuite e gestite le risorse di Azure. Nell'esempio seguente viene creato un gruppo di risorse denominato myResourceGroup nella posizione westus. A seconda della posizione, è possibile selezionare un'opzione diversa.

1. Immettere il comando seguente nell'interfaccia della riga di comando di PowerShell:

az group create -n myResourceGroup -l westus

1. Verificare il nuovo gruppo di risorse usando il seguente comando. Questo comando recupera il gruppo di risorse di Azure myDynamicGroup dall’abbonamento.

Get-AZResourceGroup -Name myResourceGroup

Distribuire una macchina virtuale Windows Server 2016

3. Immettere i comandi seguenti nella finestra dell’interfaccia della riga di comando:

az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

1. Immettere la password amministratore e confermarla quando richiesto.

2. Quando viene visualizzato il messaggio In esecuzione, il computer è in fase di distribuzione. La distribuzione delle risorse di Azure dovrebbe richiedere dai 2 ai 3 minuti.

   Al termine del processo, viene visualizzato l'output seguente:

   {- Finished ..
    "fqdns": "",
    "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
    "location": "westus",
    "macAddress": "00-0D-3A-5A-75-FA",
    "powerState": "VM running",
    "privateIpAddress": "10.0.0.4",
    "publicIpAddress": "65.52.124.71", 
    "resourceGroup": "myResourceGroup",
    "zones": ""
   }
   

3. Usare l'indirizzo pubblico della connessione Desktop remoto. Prendere nota dell'indirizzo con la password amministratore.

Connettersi alla macchina virtuale

Usare la procedura seguente per creare una sessione Desktop remoto dal computer locale. Sostituire l'indirizzo IP con l'indirizzo IP pubblico della macchina virtuale. Quando richiesto, immettere il nome utente dell'amministratore specificato nel comando di PowerShell e la password associata.

1. Immettere mstsc nella finestra di ricerca di Windows desktop e selezionare l’app Connessione Desktop remoto.
2. Selezionare Mostra opzioni. Immettere l'indirizzo IP della macchina virtuale e le credenziali amministratore, quindi selezionare Connetti. Non scegliere di salvare la configurazione di accesso.
3. Se viene visualizzato un messaggio che dice L'identità del computer remoto non può essere verificata. Vuoi connetterti comunque?, selezionare Sì.

Aggiungere un utente standard

Il passaggio successivo consiste nell'aggiungere un utente standard al server myVM..

1. La dashboard di Windows Server Manager ora dovrebbe essere disponibile. In caso contrario, selezionare Avvioe infine Server Manager.
2. Nella dashboard selezionare Strumenti e infine Gestione computer.
3. In Strumenti di sistema, selezionare Utenti locali e gruppi. Fare clic con il pulsante destro del mouse su Utenti o attivare il relativo menu di scelta rapida e quindi scegliere Nuovo utente.
4. Immettere un nome utente, un nome completo e una descrizione. Immettere e confermare una password e deselezionare la casella di controllo L’utente deve cambiare la password all’accesso.
5. Selezionare Crea e infine Chiudi.
6. Selezionare l’opzione Gruppi e infine cercare Utenti Desktop remoto.
7. Fare clic con il pulsante destro del mouse su Utenti Desktop remoto o attivare il relativo menu di scelta rapida e quindi scegliere Aggiungi al gruppo.
8. Nella casella di controllo delle proprietà di Utenti Desktop remoto selezionare Aggiungi.
9. Aggiungere al gruppo l'utente standard creato in precedenza.
10. Selezionare OK.
11. Chiudere la console Gestione computer.

Abilitare il servizio AppIDsrv

Il servizio di identità dell'applicazione (AppIDsrv) determina e verifica l'identità di un'app. L'arresto di questo servizio impedirà l'applicazione dei criteri di AppLocker.

1. Avviare Gestione attività facendo clic con il pulsante destro del mouse sulla barra delle applicazioni e scegliendo Gestione attività.

2. Selezionare Altri dettagli e infine la scheda Servizi.

3. Scorrere verso il basso fino ad AppIDSvc. Fare clic con il pulsante destro del mouse e scegliere Avvia.

   Lo stato del servizio AppIDSrv dovrebbe essere In esecuzione.

4. Chiudere Gestione attività.

Disattivare la configurazione di sicurezza avanzata di Internet Explorer

Per dimostrare la potenza di AppLocker, è necessario disabilitare la configurazione di sicurezza avanzata. Questa protezione è abilitata per impostazione predefinita in Internet Explorer in Windows Server 2016. Con La configurazione di sicurezza avanzata disabilitata, l'accesso a Internet non è selezionato.

1. In Server Manager, selezionare Server locale.
2. Nel riquadro Proprietà cercare Configurazione di sicurezza avanzata di Internet Explorer e selezionare il collegamento Attivo.
3. Disabilitare la configurazione di protezione avanzata per Amministratori e Utenti selezionando il pulsante Disattivato.
4. Avviare Internet Explorer. Dovrebbe essere visualizzato il messaggio Configurazione sicurezza avanzata di Internet Explorer non è abilitato.

Scaricare e installare Visual Studio Code 2019

1. Scaricare e installare Visual Studio 2019 Community nella pagina di download di Visual Studio. Questa edizione è gratuita.
2. Quando viene richiesto di eseguire o salvare il file Visual Studio.exe, selezionare Esegui.
3. Durante l'installazione, accetta tutte le impostazioni predefinite. Selezionare Continua e Installa quando richiesto durante l'installazione. Non è necessario installare componenti aggiuntivi per questo esercizio.
4. Aprire Visual Studio per assicurarsi che possa essere eseguito. Per impostazione predefinita non sono disponibili collegamenti sul desktop o sulla barra delle applicazioni. È possibile trovare Visual Studio nel menu Start in Aggiunti di recente.
5. Chiudere Visual Studio.

Abilitare AppLocker

1. In Server Manager selezionare Strumentie infine Criteri di sicurezza locali.

2. In Impostazioni di sicurezza selezionare Criteri di controllo delle applicazioni.

3. Espandere Criteri di controllo delle applicazioni e quindi selezionare AppLocker. Viene visualizzata l'interfaccia di configurazione di AppLocker.

4. Selezionare Configura imposizione regole. L'interfaccia Proprietà di AppLocker diventa disponibile.

5. Nella scheda Imposizione, queste regole predefinite non sono abilitate. Selezionare la casella Regole eseguibili: configurate, per abilitare le regole eseguibili.

   Nota

   Assicurarsi che l'impostazione sia impostata su Imponi regole, nonsolo su Controlla. L’impostazione Controlla soltanto non blocca le app, e se tale impostazione viene selezionata, l’esercizio in esame potrebbe avere un esito differente.

6. Ripetere il passaggio precedente per le Regole di Windows Installer, Regole Script e per le Regole app in pacchetto.

7. Selezionare OK.

Abilitare le regole predefinite di AppLocker

1. Nella console Criteri di sicurezza locali in Impostazioni sicurezza>Criteri di controllo delle applicazioni>AppLocker, fare clic con il pulsante destro del mouse su Regole app in pacchetto. Quindi, selezionare Crea regole predefinite.

   Sul pannello sulla destra verrà visualizzato (Regola predefinita) Tutti i pacchetti firmati delle app.

2. Ripetere il passaggio precedente per Regole eseguibili. Dovrebbero essere presenti le regole predefinite che sono state create.

3. Nel riquadro sinistro fare clic con il pulsante destro del mouse su Regole eseguibilie quindi scegliere Crea nuova regola.

4. Verrà visualizzato il riquadro Crea regole eseguibili. Selezionare Avanti.

5. In Azioni, selezionare Nega.

6. Fare clic su Seleziona.

7. Verrà visualizzato Seleziona utente o gruppo. Nella casella Immettere il nome dell'oggetto da selezionare, immettere il nome utente standard creato in precedenza.

8. Selezionare Controlla nomi. Verrà visualizzato myVM\"nome di accesso degli utenti standard".

9. Selezionare il pulsante OK.

10. Selezionare Avanti, Percorsoe infine Avanti.

11. Selezionare Sfoglia cartelle. Verrà visualizzato il file explorer Sfoglia per cartella.

12. Selezionare Programmi (x86)>Microsoft Visual Studio>2019. Infine scegliere OK.

13. Il percorso è %PROGRAMFILES%\Microsoft Visual Studio\2019. Selezionare Avanti.

14. Selezionare Avanti nel riquadro Eccezioni.

15. Selezionare Crea nel riquadro Nome e descrizione.

    Dovrebbe essere visualizzata una nuova regola Nega nel riquadro Regole eseguibili.

16. Chiudere la finestra Criteri di sicurezza locali.

Testare la configurazione AppLocker nella macchina virtuale Windows Server 2016.

1. Disconnettersi dalla macchina virtuale distribuita di Windows Server configurata e accedere con l'account utente standard creato in precedenza.

   La sessione di Desktop remoto si chiude alla disconnessione. Sarà necessario avviare un'altra sessione di Desktop remoto e accedere di nuovo con il client di Desktop remoto, come descritto in precedenza.

2. Nel menu Start, selezionare Visual Studio 2019.

   Dovrebbe essere visualizzato il messaggio L'app è stata bloccata dall'amministratore di sistema.

Quando le regole AppLocker vengono applicate nell'ambiente di produzione, l'esecuzione di app non incluse nelle regole consentite viene bloccata.

Pulire le risorse

È possibile usare il comando seguente per rimuovere il gruppo di risorse, la macchina virtuale e tutte le risorse correlate quando non sono più necessarie. Sostituire il nome del gruppo di risorse con quello creato nel proprio ambiente (myResourceGroup). Se si sceglie di non eliminare queste risorse, potrebbero esserci costi associati.

az group delete --name myResourceGroup

Questo processo richiede dai 2 ai 3 minuti.

Demo: usare AppLocker in un ambiente Desktop virtuale Azure

Il video seguente illustra come usare AppLocker per proteggere la distribuzione Desktop virtuale Azure.