Toepassingsbeheer beheren voor Azure Local, versie 23H2
Van toepassing op: Azure Local, versie 23H2
In dit artikel wordt beschreven hoe u Application Control gebruikt om het kwetsbaarheid voor aanvallen van Azure Local te verminderen. Zie Basislijnbeveiligingsinstellingen beheren in Azure Local versie 23H2 voor meer informatie.
Vereisten
Voordat u begint, moet u ervoor zorgen dat u toegang hebt tot een lokaal Exemplaar van Azure, versie 23H2 dat is geïmplementeerd, geregistreerd en verbonden met Azure.
Instellingen voor toepassingsbeheer weergeven via Azure Portal
Als u de instellingen voor toepassingsbeheer in Azure Portal wilt weergeven, moet u ervoor zorgen dat u het MCSB-initiatief hebt toegepast. Zie Microsoft Cloud Security Benchmark-initiatief toepassen voor meer informatie.
U kunt beleidsregels voor toepassingsbeheer gebruiken om te beheren welke stuurprogramma's en apps mogen worden uitgevoerd op uw systeem. U kunt instellingen voor toepassingsbeheer alleen weergeven via Azure Portal. Zie Instellingen voor toepassingsbeheer beheren met PowerShellom de instellingen te beheren.
Instellingen voor toepassingsbeheer beheren met PowerShell
Beleidsmodi voor toepassingsbeheer inschakelen
U kunt Toepassingsbeheer inschakelen tijdens of na de implementatie. Gebruik PowerShell om Toepassingsbeheer in of uit te schakelen na de implementatie.
Maak verbinding met een van de computers en gebruik de volgende cmdlets om het gewenste toepassingsbeheerbeleid in te schakelen in de modus Controle of Afgedwongen.
In deze buildrelease zijn er twee cmdlets:
-
Enable-AsWdacPolicy- Beïnvloedt alle clusterknooppunten. -
Enable-ASLocalWDACPolicy- Is alleen van invloed op het knooppunt waarop de cmdlet wordt uitgevoerd.
Afhankelijk van uw use-case moet u een globale clusterwijziging of een lokale knooppuntwijziging uitvoeren.
Dit is handig wanneer:
- U bent begonnen met de standaardinstellingen, aanbevolen instellingen.
- U moet nieuwe software van derden installeren of uitvoeren. U kunt uw beleidsmodi wijzigen om een aanvullend beleid te maken.
- U bent begonnen met Toepassingsbeheer uitgeschakeld tijdens de implementatie en nu wilt u Application Control inschakelen om de beveiliging te verbeteren of om te controleren of uw software correct wordt uitgevoerd.
- Uw software of scripts worden geblokkeerd door Toepassingsbeheer. In dit geval kunt u de controlemodus gebruiken om het probleem te begrijpen en op te lossen.
Notitie
Wanneer uw toepassing wordt geblokkeerd, maakt Application Control een bijbehorende gebeurtenis. Bekijk het gebeurtenislogboek voor meer informatie over het beleid dat uw toepassing blokkeert. Zie de operationele handleiding Application Controlvoor meer informatie.
Beleidsmodi voor toepassingsbeheer overschakelen
Volg deze stappen om te schakelen tussen beleidsmodi voor toepassingsbeheer. Deze PowerShell-opdrachten communiceren met orchestrator om de geselecteerde modi in te schakelen.
Maak verbinding met uw lokale Azure-computer.
Voer de volgende PowerShell-opdracht uit met behulp van lokale beheerdersreferenties of implementatiegebruikersreferenties (AzureStackLCMUser).
Voer de volgende cmdlet uit om de beleidsmodus voor toepassingsbeheer te controleren die momenteel is ingeschakeld:
Get-AsWdacPolicyModeDeze cmdlet retourneert controle- of afgedwongen modus per knooppunt.
Voer de volgende cmdlet uit om de beleidsmodus te wijzigen:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Als u bijvoorbeeld de beleidsmodus wilt overschakelen naar controle, voert u het volgende uit:
Enable-AsWdacPolicy -Mode AuditWaarschuwing
Het duurt maximaal twee tot drie minuten om over te schakelen naar de geselecteerde modus.
Voer opnieuw uit
Get-ASWDACPolicyModeom te bevestigen dat de beleidsmodus is bijgewerkt.Get-AsWdacPolicyModeHier volgt een voorbeelduitvoer van deze cmdlets:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Een toepassingsbeheerbeleid maken om software van derden in te schakelen
Terwijl u Application Control in de afdwingingsmodus gebruikt, kunt u uw niet-door Microsoft ondertekende software laten draaien door op het door Microsoft verstrekte basisbeleid voort te bouwen en een aanvullend toepassingscontrolebeleid te creëren. Meer informatie vindt u in de openbare documentatie voor toepassingsbeheer.
Notitie
Als u nieuwe software wilt uitvoeren of installeren, moet u mogelijk eerst toepassingsbeheer overschakelen naar de controlemodus (zie de bovenstaande stappen), uw software installeren, testen of deze correct werkt, het nieuwe aanvullende beleid maken en vervolgens toepassingsbeheer terugschakelen naar de afgedwongen modus.
Maak een nieuw beleid in de indeling Meerdere beleidsregels, zoals hieronder wordt weergegeven.
Add-ASWDACSupplementalPolicy -Path Policy.xml Gebruik vervolgens om het te converteren naar een aanvullend beleid en te implementeren op knooppunten in het cluster.
Een aanvullend toepassingsbeheerbeleid maken
Gebruik de volgende stappen om een aanvullend beleid te maken:
Voordat u begint, installeert u de software die wordt gedekt door het aanvullende beleid in een eigen directory. Het is geen probleem als er submappen zijn. Wanneer u het aanvullende beleid maakt, moet u een map opgeven om te scannen en u wilt niet dat uw aanvullende beleid alle code op het systeem behandelt. In ons voorbeeld is deze map C:\software\codetoscan.
Zodra u al uw software hebt geïnstalleerd, voert u de volgende opdracht uit om uw aanvullende beleid te maken. Gebruik een unieke beleidsnaam om deze te identificeren.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanVoer de volgende cmdlet uit om de metagegevens van uw aanvullende beleid te wijzigen:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Voer de volgende cmdlet uit om het beleid te implementeren:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlVoer de volgende cmdlet uit om de status van het nieuwe beleid te controleren:
Get-ASLocalWDACPolicyInfoHier volgt een voorbeelduitvoer van deze cmdlets:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM