Zarządzanie kontrolą aplikacji usługi Windows Defender dla platformy Azure w wersji lokalnej 23H2
Dotyczy: Azure Local, wersja 23H2
W tym artykule opisano sposób używania kontroli aplikacji usługi Windows Defender (WDAC) w celu zmniejszenia obszaru ataków lokalnego platformy Azure. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami zabezpieczeń punktu odniesienia w usłudze Azure Local w wersji 23H2.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do lokalnego wystąpienia platformy Azure w wersji 23H2, które zostało wdrożone, zarejestrowane i połączone z platformą Azure.
Wyświetlanie ustawień funkcji WDAC za pośrednictwem witryny Azure Portal
Aby wyświetlić ustawienia WDAC w witrynie Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testu porównawczego zabezpieczeń w chmurze firmy Microsoft).
Za pomocą zasad WDAC można kontrolować, które sterowniki i aplikacje mogą być uruchamiane w systemie. Ustawienia WDAC można wyświetlać tylko za pośrednictwem witryny Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami WDAC przy użyciu programu PowerShell.
Zarządzanie ustawieniami funkcji WDAC przy użyciu programu PowerShell
Włączanie trybów zasad WDAC
Funkcję WDAC można włączyć podczas wdrażania lub po wdrożeniu. Użyj programu PowerShell, aby włączyć lub wyłączyć usługę WDAC po wdrożeniu.
Połącz się z jednym z maszyn i użyj następujących poleceń cmdlet, aby włączyć żądane zasady WDAC w trybie "Inspekcja" lub "Wymuszone".
W tej wersji kompilacji istnieją dwa polecenia cmdlet:
Enable-AsWdacPolicy— Wpływa na wszystkie węzły klastra.Enable-ASLocalWDACPolicy— Dotyczy tylko węzła, na którym jest uruchamiane polecenie cmdlet.
W zależności od przypadku użycia należy uruchomić zmianę klastra globalnego lub zmianę węzła lokalnego.
Jest to przydatne, gdy:
- Rozpoczęto od domyślnych, zalecanych ustawień.
- Musisz zainstalować lub uruchomić nowe oprogramowanie innej firmy. Tryby zasad można przełączać, aby utworzyć zasady uzupełniające.
- Rozpoczęto pracę z funkcją WDAC wyłączoną podczas wdrażania, a teraz chcesz włączyć usługę WDAC w celu zwiększenia ochrony zabezpieczeń lub sprawdzenia, czy oprogramowanie działa prawidłowo.
- Oprogramowanie lub skrypty są blokowane przez usługę WDAC. W takim przypadku możesz użyć trybu inspekcji, aby zrozumieć i rozwiązać problem.
Uwaga
Po zablokowaniu aplikacji usługa WDAC tworzy odpowiednie zdarzenie. Przejrzyj dziennik zdarzeń, aby poznać szczegóły zasad blokujących aplikację. Aby uzyskać więcej informacji, zobacz przewodnik operacyjny Kontrola aplikacji usługi Windows Defender.
Przełączanie trybów zasad WDAC
Wykonaj następujące kroki, aby przełączać się między trybami zasad usługi WDAC. Te polecenia programu PowerShell współdziałają z programem Orchestrator w celu włączenia wybranych trybów.
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie programu PowerShell przy użyciu poświadczeń administratora lokalnego lub poświadczeń użytkownika wdrożenia (AzureStackLCMUser).
Uruchom następujące polecenie cmdlet, aby sprawdzić tryb zasad WDAC, który jest obecnie włączony:
Get-AsWdacPolicyModeTo polecenie cmdlet zwraca tryb inspekcji lub wymuszony na węzeł.
Uruchom następujące polecenie cmdlet, aby przełączyć tryb zasad:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Aby na przykład przełączyć tryb zasad na inspekcję, uruchom polecenie:
Enable-AsWdacPolicy -Mode AuditOstrzeżenie
Przełączenie programu Orchestrator do wybranego trybu potrwa do dwóch do trzech minut.
Uruchom ponownie polecenie
Get-ASWDACPolicyMode, aby potwierdzić, że tryb zasad został zaktualizowany.Get-AsWdacPolicyModeOto przykładowe dane wyjściowe tych poleceń cmdlet:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Tworzenie zasad WDAC w celu włączenia oprogramowania innej firmy
Podczas korzystania z funkcji WDAC w trybie wymuszania w celu uruchomienia oprogramowania bez podpisu firmy Microsoft należy użyć zasad bazowych udostępnianych przez firmę Microsoft przez utworzenie zasad uzupełniających WDAC. Dodatkowe informacje można znaleźć w publicznej dokumentacji programu WDAC.
Uwaga
Aby uruchomić lub zainstalować nowe oprogramowanie, może być konieczne przełączenie funkcji WDAC na tryb inspekcji (zobacz kroki powyżej), zainstalowanie oprogramowania, przetestowanie, czy działa poprawnie, utworzenie nowych zasad uzupełniających, a następnie przełącz usługę WDAC z powrotem do trybu wymuszonego.
Utwórz nowe zasady w formacie wielu zasad, jak pokazano poniżej. Następnie użyj polecenia Add-ASWDACSupplementalPolicy -Path Policy.xml , aby przekonwertować go na zasady uzupełniające i wdrożyć je w węzłach w klastrze.
Tworzenie zasad uzupełniających usługi WDAC
Aby utworzyć zasady uzupełniające, wykonaj następujące czynności:
Przed rozpoczęciem zainstaluj oprogramowanie, które będzie objęte zasadami uzupełniającymi we własnym katalogu. Jest w porządku, jeśli istnieją podkatalogi. Podczas tworzenia zasad uzupełniających należy podać katalog do skanowania i nie chcesz, aby zasady uzupełniające obejmowały cały kod w systemie. W naszym przykładzie ten katalog to C:\software\codetoscan.
Po utworzeniu całego oprogramowania uruchom następujące polecenie, aby utworzyć zasady uzupełniające. Użyj unikatowej nazwy zasad, aby ułatwić jej identyfikację.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanUruchom następujące polecenie cmdlet, aby zmodyfikować metadane zasad uzupełniających:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Uruchom następujące polecenie cmdlet, aby wdrożyć zasady:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlUruchom następujące polecenie cmdlet, aby sprawdzić stan nowych zasad:
Get-ASLocalWDACPolicyInfoOto przykładowe dane wyjściowe tych poleceń cmdlet:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM