Gerir o Controlo de Aplicações para Azure Local, Versão 23H2
Aplica-se a: Azure Local, versão 23H2
Este artigo descreve como usar o Controle de Aplicativo para reduzir a superfície de ataque do Azure Local. Para obter mais informações, consulte Gerenciar configurações de segurança de linha de base no Azure Local, versão 23H2.
Pré-requisitos
Antes de começar, certifique-se de que tem acesso a uma instância do Azure Local, versão 23H2 que esteja implementada, registada e ligada ao Azure.
Ver definições de Controlo de Aplicações através do portal do Azure
Para exibir as configurações do Controle de Aplicativo no portal do Azure, verifique se você aplicou a iniciativa MCSB. Para obter mais informações, consulte Aplicar a iniciativa Microsoft Cloud Security Benchmark.
Você pode usar políticas de Controle de Aplicativo para gerenciar quais drivers e aplicativos podem ser executados em seu sistema. Você só pode exibir as configurações do Controle de Aplicativo por meio do portal do Azure. Para gerenciar as configurações, consulte Gerenciar configurações de controle de aplicativo com o PowerShell.
Gerenciar configurações de controle de aplicativos com o PowerShell
Habilitar modos de política de Controle de Aplicativo
Você pode habilitar o Controle de Aplicativo durante ou após a implantação. Use o PowerShell para habilitar ou desabilitar o Controle de Aplicativo após a implantação.
Conecte-se a uma das máquinas e use os cmdlets a seguir para habilitar a política de Controle de Aplicativo desejada no modo "Auditoria" ou "Imposto".
Nesta versão de compilação, há dois cmdlets:
-
Enable-AsWdacPolicy- Afeta todos os nós do cluster. -
Enable-ASLocalWDACPolicy- Afeta apenas o nó no qual o cmdlet é executado.
Dependendo do seu caso de uso, você deve executar uma alteração de cluster global ou uma alteração de nó local.
Isto é útil quando:
- Você começou com as configurações padrão e recomendadas.
- Tem de instalar ou executar novo software de terceiros. Você pode alternar seus modos de política para criar uma política suplementar.
- Você começou com o Controle de Aplicativo desativado durante a implantação e agora deseja habilitar o Controle de Aplicativo para aumentar a proteção de segurança ou para validar se o software é executado corretamente.
- Seu software ou scripts são bloqueados pelo Application Control. Nesse caso, você pode usar o modo de auditoria para entender e solucionar o problema.
Nota
Quando seu aplicativo é bloqueado, o Controle de Aplicativo cria um evento correspondente. Reveja o registo de eventos para compreender os detalhes da política que está a bloquear a sua aplicação. Para obter mais informações, consulte o guia operacional Application Control.
Alternar modos de política de controle de aplicativos
Siga estas etapas para alternar entre os modos de política do Controle de Aplicativos. Esses comandos do PowerShell interagem com o Orchestrator para habilitar os modos selecionados.
Conecte-se à sua máquina Local do Azure.
Execute o seguinte comando do PowerShell usando credenciais de administrador local ou credenciais de usuário de implantação (AzureStackLCMUser).
Execute o seguinte cmdlet para verificar o modo de política de Controle de Aplicativo que está habilitado no momento:
Get-AsWdacPolicyModeEste cmdlet retorna o Modo de Auditoria ou Imposto por Nó.
Execute o seguinte cmdlet para alternar o modo de política:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Por exemplo, para alternar o modo de política para auditoria, execute:
Enable-AsWdacPolicy -Mode AuditAviso
O Orchestrator levará de dois a três minutos para mudar para o modo selecionado.
Execute
Get-ASWDACPolicyModenovamente para confirmar se o modo de política foi atualizado.Get-AsWdacPolicyModeAqui está uma saída de exemplo desses cmdlets:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Criar uma política de controle de aplicativos para habilitar software de terceiros
Ao usar o Controle de Aplicações no modo de aplicação, para que o seu software que não é assinado pela Microsoft funcione, construa com base na política base fornecida pela Microsoft, criando uma política suplementar de Controle de Aplicações. Informações adicionais estão disponíveis na documentação pública sobre o controlo de aplicações .
Nota
Para executar ou instalar um novo software, talvez seja necessário alternar o Controle de Aplicativo para o modo de auditoria primeiro (veja as etapas acima), instalar o software, testar se ele funciona corretamente, criar a nova política suplementar e, em seguida, alternar o Controle de Aplicativo de volta para o modo imposto.
Crie uma nova política no formato de várias políticas, conforme mostrado abaixo. Em seguida, use Add-ASWDACSupplementalPolicy -Path Policy.xml para convertê-lo em uma política suplementar e implantá-lo entre nós no cluster.
Criar uma política suplementar de Controle de Aplicativo
Use as seguintes etapas para criar uma política suplementar:
Antes de começar, instale o software que será coberto pela política suplementar em seu próprio diretório. Tudo bem se houver subdiretórios. Ao criar a política suplementar, você deve fornecer um diretório para verificação e não deseja que sua política suplementar cubra todo o código no sistema. No nosso exemplo, este diretório é C:\software\codetoscan.
Depois de ter todo o software no lugar, execute o seguinte comando para criar sua política suplementar. Use um nome de política exclusivo para ajudar a identificá-lo.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanExecute o seguinte cmdlet para modificar os metadados de sua política suplementar:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Execute o seguinte cmdlet para implantar a política:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlExecute o seguinte cmdlet para verificar o status da nova política:
Get-ASLocalWDACPolicyInfoAqui está uma saída de exemplo desses cmdlets:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM