Gerenciar infraestrutura imposta por WDAC (Controle de Aplicativos do Microsoft Defender)
O WDAC (Controle de Aplicativos do Microsoft Defender) pode ajudar a reduzir muitas ameaças de segurança restringindo os aplicativos que os usuários podem executar e o código executado no Núcleo do Sistema (kernel). As políticas de controle de aplicativos também podem bloquear MSIs e scripts não assinados e restringir a execução do Windows PowerShell no Modo de Linguagem Restrita. Saiba mais sobre o Controle de Aplicativos para Windows.
Configuração adicional será necessária para o Windows Admin Center instalar e gerenciar os ambientes impostos por WDAC. Este documento aborda esses requisitos e os problemas conhecidos ao gerenciar um ambiente imposto por WDAC.
Requisitos
Esta seção fornece os requisitos para usar o Windows Admin Center para gerenciar a infraestrutura imposta por WDAC (servidores, computadores clientes ou clusters).
Requisitos da política
Dependendo do caso de uso, será necessário permitir um ou mais certificados como parte das políticas básicas ou suplementares. Saiba mais sobre como implantar uma política de base ou suplementar.
Caso [1]: apenas os nós gerenciados são impostos por WDAC.
Caso [2]: tanto o nó gerenciado como o computador em que você implanta o Windows Admin Center são impostos por WDAC.
Para o caso [1], apenas a regra de signatário a seguir precisará ser incluída na lista de permitidos na política de WDAC no nó gerenciado:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft Corporation" />
</Signer>
Para o caso [2]:
- A regra de signatário acima deverá ser incluída na lista de permitidos em ambos, tanto no nó gerenciado como no computador em que você implanta o Windows Admin Center.
- Além disso, as seguintes regras de signatários são necessárias para que a lista de permissões apenas no computador no qual você implanta o Windows Admin Center:
Regras de signatários:
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value="Microsoft 3rd Party Application Component" />
</Signer>
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011">
<CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" />
<CertPublisher Value=".NET" />
</Signer>
A regra de assinatura com o valor ".NET" do CertPublisher não é necessária se estiver usando uma versão do Windows Admin Center anterior à 2410. No entanto, essas versões mais antigas exigem que as seguintes regras de arquivo/hash estejam na lista de autorização apenas no computador no qual você implanta o Windows Admin Center.
Regra de arquivo/hash:
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="9DE61721326D8E88636F9633AA37FCB885A4BABE" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="233F5E43325615710CA1AA580250530E06339DEF861811073912E8A16B058C69" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="B216DFA814FC856FA7078381291C78036CEF0A05" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="EB4CB5FF520717038ADADCC5E1EF8F7C24B27A90" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="C8D190D5BE1EFD2D52F72A72AE9DFA3940AB3FACEB626405959349654FE18B74" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="6C65DD86130241850B2D808C24EC740A4C509D9C" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="2F0903D4B21A0231ADD1B4CD02E25C7C4974DA84" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="5C29B8255ACE0CD94C066C528C8AD04F0F45EBA12FCF94DA7B9CA1B64AD4288B" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="868635E434C14B65AD7D7A9AE1F4047965740786" />
</FileRules>
Observação
ID Permitir e de Signatário (ou seja, ID de Signatário ="ID_SIGNER_S_XXXXX") deverão ser gerados automaticamente pela ferramenta/script de criação de política. Para obter mais informações, consulte a documentação do WDAC
Dica
O Assistente de Controle de Aplicativos para Empresas pode ser muito útil para criar/editar políticas do WDAC. Lembre-se que ao criar uma nova política, seja pelo Assistente ou por comandos do PowerShell, utilize a regra de "Fornecedor" nos binários para gerar as regras. Por exemplo, ao usar o assistente, você poderá gerar a política de WDAC para o caso [1] com base no .msi do Windows Admin Center. Para o caso [2], você ainda poderá usar o assistente, mas será necessário editar manualmente a política de WDAC para incluir o signatário listado e a regra de hash.
Requisitos de rede
Por padrão, o Windows Admin Center estabelece comunicação com os servidores por WinRM sobre HTTP (porta 5985) ou HTTPS (porta 5986). Para infraestrutura imposta por WDAC, o Windows Admin Center também precisará de acesso SMB aos nós que estão sendo gerenciados (porta TCP 445).
Permissões
A transferência de arquivos baseada em caminhos UNC sobre porta SMB 445 é crítica para o Windows Admin Center gerenciar esses ambientes. Verifique se você é um administrador no servidor ou cluster gerenciado e se as transferências de arquivos não estão bloqueadas por políticas de segurança.
Política de execução do PowerShell
A ExecutionPolicy do PowerShell padrão é suficiente para que o Windows Admin Center gerencie uma máquina imposta pelo Controle de Aplicativos do Windows Defender. No entanto, se o ExecutionPolicy padrão tiver sido alterado no computador, você precisará garantir que o escopo do LocalMachine esteja definido como RemoteSigned para permitir que scripts assinados sejam carregados e executados. Esse é um recurso de segurança do PowerShell e as alterações devem ser feitas somente quando apropriado e necessário.
Instalar e conectar
Instalando o
Instale o Windows Admin Center no computador cliente ou servidor imposto por WDAC, como faria normalmente. Se os requisitos acima forem atendidos, o Windows Admin Center deverá instalar e funcionar normalmente.
Connecting
Conecte os computadores de cluster, cliente ou servidor impostos por WDAC, como você faria normalmente. Ao se conectar com o seu servidor, você poderá acompanhar o status de imposição por meio do campo "PowerShell Language Mode" da página Visão geral. Se o valor desse campo for "Restrito", significa que o WDAC está sendo imposto.
Ao conectar um cluster imposto por WDAC pela primeira vez, poderá demorar alguns minutos para o Windows Admin Center configurar a conexão com o cluster. As conexões subsequentes não terão atraso.
Observação
Se você alterar o status de imposição de WDAC dos nós gerenciados, não use o Windows Admin Center durante pelo menos 30 segundos para que essa alteração seja refletida.
Problemas conhecidos
Atualmente, não há suporte para a implantação do Serviço de Kubernetes do Azure no Azure Local e na Ponte de Recursos por meio do Windows Admin Center em um ambiente imposto do WDAC. Além disso, no momento, não há suporte para o uso do Suporte Remoto e da extensão de GPU no Azure Local.
No momento, não há suporte para o uso do RBAC em um servidor único.
No momento, não há suporte para determinadas operações na ferramenta Certificados.
Solução de problemas
- Erro "Módulo não encontrado" ou "falha ao conectar"
- Para confirmar se o Windows Admin Center transferiu com êxito ou não os arquivos para o nó gerenciado, navegue até a
%PROGRAMFILES%\WindowsPowerShell\Modulespasta no nó gerenciado e verifique se há módulos com o nomeMicrosoft.SME.*nessa pasta - Se não houver, reconecte o servidor ou o cluster no Windows Admin Center
- Verifique se o computador com o Windows Admin Center instalado tem acesso à porta TCP 445 no nó gerenciado
- Para confirmar se o Windows Admin Center transferiu com êxito ou não os arquivos para o nó gerenciado, navegue até a