管理 Azure 本地版本 23H2 的应用程序控制

项目
01/02/2025

适用于：Azure 本地版本 23H2

本文介绍如何使用应用程序控制来减少 Azure Local 的攻击面。有关详细信息，请参阅管理 Azure 本地版本 23H2 上的基线安全设置。

先决条件

在开始之前，请确保有权访问已部署、注册并连接到 Azure 的 Azure 本地版本 23H2 实例。

通过 Azure 门户查看应用程序控制设置

若要查看 Azure 门户中的应用程序控制设置，请确保已应用 MCSB 计划。有关详细信息，请参阅应用Microsoft云安全基准计划。

可以使用应用程序控制策略来管理允许在系统上运行的驱动程序和应用。只能通过 Azure 门户查看应用程序控制设置。若要管理设置，请参阅使用 PowerShell管理应用程序控制设置。

使用 PowerShell 管理应用程序控制设置

启用应用程序控制策略模式

可以在部署期间或部署后启用应用程序控制。使用 PowerShell 在部署后启用或禁用应用程序控制。

连接到其中一台计算机，并使用以下 cmdlet 在“审核”或“强制”模式下启用所需的应用程序控制策略。

在此生成版本中，有两个 cmdlet：

Enable-AsWdacPolicy - 影响所有群集节点。
Enable-ASLocalWDACPolicy - 仅影响运行 cmdlet 的节点。

根据用例，应运行全局群集更改或本地节点更改。

此操作在以下情况下十分有用：

你从默认的推荐设置开始。
必须安装或运行新的第三方软件。可以切换策略模式以创建补充策略。
你从部署期间禁用了应用程序控制开始，现在想要启用应用程序控制来提高安全保护或验证软件是否正常运行。
通过应用程序控制阻止了软件或脚本。在这种情况下，可以使用审核模式来了解和解决问题。

注意

当应用程序被阻止时，应用程序控制将创建相应的事件。查看事件日志，了解阻止应用程序的策略的详细信息。有关详细信息，请参阅应用程序控制操作指南。

切换应用程序控制策略模式

按照以下步骤在应用程序控制策略模式之间进行切换。这些 PowerShell 命令与 Orchestrator 交互以启用所选模式。

连接到 Azure 本地计算机。
使用本地管理员凭据或部署用户（AzureStackLCMUser）凭据运行以下 PowerShell 命令。
运行以下 cmdlet 检查当前已启用的应用程序控制策略模式：
```
Get-AsWdacPolicyMode
```
此 cmdlet 返回每个节点的审核或强制模式。
运行以下 cmdlet 切换策略模式：
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
例如，若要将策略模式切换到审核，请运行：
```
Enable-AsWdacPolicy -Mode Audit
```
警告

业务流程协调程序最多需要两到三分钟才能切换到所选模式。

再次运行 Get-ASWDACPolicyMode 以确认策略模式已更新。

Get-AsWdacPolicyMode

下面是这些 cmdlet 的示例输出：

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Enforced.
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Audit.
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

创建应用程序控制策略以启用第三方软件

在强制模式下使用应用程序控制时，要让非 Microsoft 签名的软件运行，请通过创建应用程序控制补充策略来构建 Microsoft 提供的基本策略。可以在公共应用程序控制文档中找到其他信息。

注意

若要运行或安装新软件，可能需要先将应用程序控制切换到审核模式（请参阅上面的步骤），安装软件，测试它是否正常工作，创建新的补充策略，然后将应用程序控制切换回强制模式。

在“多策略格式”中创建新策略，如下所示。然后，使用它 Add-ASWDACSupplementalPolicy -Path Policy.xml 将其转换为补充策略，并将其部署到群集中的节点。

创建应用程序控制补充策略

使用以下步骤创建补充策略：

在开始之前，请将补充策略涵盖的软件安装到其自己的目录中。如果有子目录，则没关系。创建补充策略时，必须提供要扫描的目录，并且不希望补充策略涵盖系统上的所有代码。在本示例中，此目录为 C：\software\codetoscan。

准备好所有软件后，运行以下命令以创建补充策略。使用唯一策略名称来帮助标识它。

New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan

运行以下 cmdlet 以修改补充策略的元数据：


 # Path of new created XML)
 $policyPath = "c:\wdac\Contoso-policy.xml"

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

运行以下 cmdlet 以部署策略：

Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

运行以下 cmdlet 检查新策略的状态：

Get-ASLocalWDACPolicyInfo