Door Windows Defender Application Control (WDAC) afgedwongen infrastructuur beheren
Windows Defender Application Control (WDAC) kan helpen bij het beperken van veel beveiligingsrisico's door de toepassingen te beperken die gebruikers mogen uitvoeren en de code die wordt uitgevoerd in de systeemkern (kernel). Beleidsregels voor toepassingsbeheer kunnen ook niet-ondertekende scripts en MSI-bestanden blokkeren en Windows PowerShell beperken tot uitvoering in ConstrainedLanguage modus.
Meer informatie over toepassingsbeheer voor Windows.
Er is extra configuratie vereist voor Windows Admin Center om WDAC-afgedwongen omgevingen te installeren en te beheren. In dit artikel worden deze vereisten en bekende problemen behandeld bij het beheren van een door WDAC afgedwongen omgeving.
Eisen
De volgende secties bevatten de vereisten voor het gebruik van Windows Admin Center voor het beheren van uw door WDAC afgedwongen infrastructuur (servers, clientcomputers of clusters).
Beleidsvereisten
Afhankelijk van uw use-case moet u een of meer certificaten toevoegen aan uw acceptatielijst als onderdeel van uw basis- of aanvullende beleid. Meer informatie over het implementeren van een basis- of aanvullend beleid.
- Case 1: Alleen uw beheerde knooppunten hebben WDAC afgedwongen.
- Case 2: zowel uw beheerde knooppunt als de computer waarop u Windows Admin Center implementeert, hebben WDAC afgedwongen.
In geval 1 moet alleen de volgende ondertekenaarregel worden toegestaan in het WDAC-beleid op uw beheerde knooppunt:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
Voor Geval 2 moet de voorgaande ondertekeningsregel worden toegevoegd aan de acceptatielijst op , zowel op het beheerde knooppunt als op de computer waarop u Windows Admin Center implementeert. Bovendien moeten de volgende ondertekenaarregels worden toegevoegd aan de acceptatielijst alleen op de computer waarop u Windows Admin Center implementeert:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value=".NET" />
</Signer>
De ondertekenaarregel met CertPublisher Value=".NET" is niet vereist als u een versie van het Windows-beheercentrum gebruikt die ouder is dan 2410. Voor deze oudere versies is het vereist dat de volgende bestand/hash regels op de goedkeuringslijst worden geplaatst alleen op de computer waarop u Windows Admin Center implementeert:
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
Het hulpprogramma/script voor het maken van beleid moet automatisch Signer ID en Allow ID genereren (dat wil Signer ID="ID_SIGNER_S_XXXXX"). Raadpleeg de WDAC-documentatievoor meer informatie.
Tip
De App Control-wizard voor Bedrijven kan handig zijn voor het maken en bewerken van WDAC-beleidsregels. Houd er rekening mee dat wanneer u een nieuw beleid maakt, ongeacht of u de wizard of de PowerShell-opdrachten gebruikt, de Publisher-regel voor binaire bestanden gebruikt om regels te genereren. Wanneer u bijvoorbeeld de wizard gebruikt, kunt u het WDAC-beleid voor Case 1 genereren op basis van het windows-beheercentrum .msi bestand. Voor Case 2 kunt u de wizard nog steeds gebruiken, maar u moet uw WDAC-beleid handmatig bewerken om de vermelde ondertekenaar en hash-regel op te nemen.
Netwerkvereisten
Windows Admin Center communiceert standaard met uw servers via WinRM via HTTP (poort 5985) of HTTPS (poort 5986). Voor door WDAC afgedwongen infrastructuur heeft Het Windows-beheercentrum bovendien SMB-toegang nodig tot de beheerde knooppunten (TCP-poort 445).
Machtigingen
Bestandsoverdracht op basis van UNC-paden via SMB-poort 445 is essentieel voor Windows Admin Center om deze omgevingen te beheren. Zorg ervoor dat u een beheerder bent op de beheerde server of het beheerde cluster. Zorg er ook voor dat beveiligingsbeleid bestandsoverdrachten niet blokkeert.
PowerShell-uitvoeringsbeleid
Het standaardbeleid voor PowerShell uitvoering is voldoende voor Windows Admin Center om een door WDAC afgedwongen computer te beheren. Als het standaarduitvoeringsbeleid echter verandert op de computer, moet u ervoor zorgen dat het LocalMachine bereik is ingesteld op RemoteSigned om toe te staan dat ondertekende scripts worden geladen en uitgevoerd. Dit is een PowerShell-beveiligingsfunctie en u moet alleen wijzigingen aanbrengen wanneer ze geschikt en nodig zijn.
Installeren
Installeer Windows Admin Center op uw door WDAC afgedwongen server of clientcomputer, net zoals u dat normaal zou doen. Als u aan de voorgaande vereisten voldoet, moet het Windows-beheercentrum normaal worden geïnstalleerd en functioneren.
Aansluiten
Maak verbinding met uw door WDAC afgedwongen server-, client- of clustercomputers zoals u dat normaal zou doen. Wanneer u verbinding maakt met uw server, kunt u de afdwingingsstatus bijhouden via het powerShell-taalmodus veld op de pagina Overzicht. Als de waarde van dit veld is: Beperkt, wordt WDAC afgedwongen.
Wanneer u voor het eerst verbinding maakt met een wdAC-cluster, kan het enkele minuten duren voordat een verbinding met uw cluster is ingesteld in het Windows-beheercentrum. Volgende verbindingen hebben geen vertraging.
Notitie
Als u de WDAC-afdwingingsstatus van uw beheerde knooppunten wijzigt, gebruikt u het Windows-beheercentrum niet gedurende ten minste 30 seconden voordat deze wijziging wordt doorgevoerd.
Bekende problemen
Op dit moment wordt het implementeren van Azure Kubernetes Service op Azure Stack en de Azure Arc-resourcebrug via het Windows Admin Center niet ondersteund in een door WDAC afgedwongen omgeving.
Het gebruik van op rollen gebaseerd toegangsbeheer (RBAC) op één server wordt momenteel niet ondersteund.
Bepaalde bewerkingen in het hulpprogramma Certificaten worden momenteel niet ondersteund.
Probleemoplossing
Als de fout 'Module niet gevonden' of 'kan geen verbinding maken' wordt weergegeven:
Als u wilt controleren of het Windows-beheercentrum bestanden naar uw beheerde knooppunt heeft overgebracht, gaat u naar de map
%PROGRAMFILES%\WindowsPowerShell\Modulesop het beheerde knooppunt en controleert u of modules met de naamMicrosoft.SME.*aanwezig zijn in die map.Als de modules niet bestaan, maakt u opnieuw verbinding met uw server of cluster vanuit het Windows-beheercentrum.
Zorg ervoor dat de computer waarop Het Windows-beheercentrum is geïnstalleerd toegang heeft tot TCP-poort 445 op het beheerde knooppunt.