Zarządzanie kontrolą aplikacji dla platformy Azure w wersji lokalnej 23H2
Dotyczy: Azure Local 2311.2 i nowsze
W tym artykule opisano sposób używania kontroli aplikacji w celu zmniejszenia obszaru podatnego na ataki lokalne platformy Azure. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami zabezpieczeń punktu odniesienia w usłudze Azure Local w wersji 23H2.
Wymagania wstępne
Przed rozpoczęciem upewnij się, że masz dostęp do lokalnego wystąpienia platformy Azure w wersji 23H2, które zostało wdrożone, zarejestrowane i połączone z platformą Azure.
Wyświetlanie ustawień kontroli aplikacji za pośrednictwem witryny Azure Portal
Aby wyświetlić ustawienia kontroli aplikacji w witrynie Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testu porównawczego zabezpieczeń w chmurze firmy Microsoft).
Zasady kontroli aplikacji umożliwiają zarządzanie sterownikami i aplikacjami, które mogą być uruchamiane w systemie. Ustawienia kontroli aplikacji można wyświetlać tylko za pośrednictwem witryny Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami kontroli aplikacji przy użyciu programu PowerShell.
Zarządzanie ustawieniami kontrolki aplikacji za pomocą programu PowerShell
Włączanie trybów zasad kontroli aplikacji
Kontrolkę aplikacji można włączyć podczas lub po wdrożeniu. Użyj programu PowerShell, aby włączyć lub wyłączyć kontrolę aplikacji po wdrożeniu.
Połącz się z jednym z maszyn i użyj następujących poleceń cmdlet, aby włączyć żądane zasady kontroli aplikacji w trybie "Inspekcja" lub "Wymuszone".
W tej wersji kompilacji istnieją dwa polecenia cmdlet:
-
Enable-AsWdacPolicy— Wpływa na wszystkie węzły klastra. -
Enable-ASLocalWDACPolicy— Dotyczy tylko węzła, na którym jest uruchamiane polecenie cmdlet.
W zależności od przypadku użycia należy uruchomić zmianę klastra globalnego lub zmianę węzła lokalnego.
Jest to przydatne, gdy:
- Rozpoczęto od domyślnych, zalecanych ustawień.
- Musisz zainstalować lub uruchomić nowe oprogramowanie innej firmy. Tryby zasad można przełączać, aby utworzyć zasady uzupełniające.
- Rozpoczęto pracę z funkcją Kontrola aplikacji wyłączona podczas wdrażania, a teraz chcesz włączyć kontrolę aplikacji w celu zwiększenia ochrony zabezpieczeń lub sprawdzenia, czy oprogramowanie działa prawidłowo.
- Oprogramowanie lub skrypty są blokowane przez kontrolę aplikacji. W takim przypadku możesz użyć trybu inspekcji, aby zrozumieć i rozwiązać problem.
Uwaga
Po zablokowaniu aplikacji kontrolka aplikacji tworzy odpowiednie zdarzenie. Przejrzyj dziennik zdarzeń, aby poznać szczegóły zasad blokujących aplikację. Aby uzyskać więcej informacji, zobacz przewodnik operacyjny Application Control.
Przełączanie trybów zasad sterowania aplikacjami
Wykonaj następujące kroki, aby przełączyć się między trybami zasad kontroli aplikacji. Te polecenia programu PowerShell współdziałają z programem Orchestrator w celu włączenia wybranych trybów.
Połącz się z maszyną lokalną platformy Azure.
Uruchom następujące polecenie programu PowerShell przy użyciu poświadczeń administratora lokalnego lub poświadczeń użytkownika wdrożenia (AzureStackLCMUser).
Uruchom następujące polecenie cmdlet, aby sprawdzić tryb zasad kontroli aplikacji, który jest obecnie włączony:
Get-AsWdacPolicyModeTo polecenie cmdlet zwraca tryb inspekcji lub wymuszony na węzeł.
Uruchom następujące polecenie cmdlet, aby przełączyć tryb zasad:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Aby na przykład przełączyć tryb zasad na inspekcję, uruchom polecenie:
Enable-AsWdacPolicy -Mode AuditOstrzeżenie
Przełączenie programu Orchestrator do wybranego trybu potrwa do dwóch do trzech minut.
Uruchom ponownie polecenie
Get-ASWDACPolicyMode, aby potwierdzić, że tryb zasad został zaktualizowany.Get-AsWdacPolicyModeOto przykładowe dane wyjściowe tych poleceń cmdlet:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Tworzenie zasad kontroli aplikacji w celu włączenia oprogramowania innej firmy
Podczas korzystania z kontroli aplikacji w trybie wymuszania, aby uruchomić oprogramowanie podpisane przez inne firmy niż Microsoft, należy zbudować politykę uzupełniającą kontroli aplikacji na bazie zasad podstawowych dostarczanych przez firmę Microsoft. Dodatkowe informacje można znaleźć w dokumentacji publicznej kontroli aplikacji .
Uwaga
Aby uruchomić lub zainstalować nowe oprogramowanie, może być konieczne przełączenie kontroli aplikacji na tryb inspekcji (zobacz kroki powyżej), zainstalowanie oprogramowania, przetestowanie, czy działa poprawnie, utworzenie nowych zasad uzupełniających, a następnie przełącz kontrolę aplikacji z powrotem do trybu wymuszonego.
Utwórz nowe zasady w formacie wielu zasad, jak pokazano poniżej. Następnie użyj polecenia Add-ASWDACSupplementalPolicy -Path Policy.xml , aby przekonwertować go na zasady uzupełniające i wdrożyć je w węzłach w klastrze.
Tworzenie zasad uzupełniających kontroli aplikacji
Aby utworzyć zasady uzupełniające, wykonaj następujące czynności:
Przed rozpoczęciem zainstaluj oprogramowanie, które będzie objęte zasadami uzupełniającymi we własnym katalogu. Jest w porządku, jeśli istnieją podkatalogi. Podczas tworzenia zasad uzupełniających należy podać katalog do skanowania i nie chcesz, aby zasady uzupełniające obejmowały cały kod w systemie. W naszym przykładzie ten katalog to C:\software\codetoscan.
Po utworzeniu całego oprogramowania uruchom następujące polecenie, aby utworzyć zasady uzupełniające. Użyj unikatowej nazwy zasad, aby ułatwić jej identyfikację.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanUruchom następujące polecenie cmdlet, aby zmodyfikować metadane zasad uzupełniających:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Uruchom następujące polecenie cmdlet, aby wdrożyć zasady:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlUruchom następujące polecenie cmdlet, aby sprawdzić stan nowych zasad:
Get-ASLocalWDACPolicyInfoOto przykładowe dane wyjściowe tych poleceń cmdlet:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM