管理 Azure 本機的應用程式控制，版本 23H2

發行項
12/16/2024

適用於：Azure 本機版本 23H2

本文說明如何透過應用程式控制來減少 Azure 本機環境的攻擊面。如需詳細資訊，請參閱管理 Azure 本機版本 23H2 上的基準安全性設定。

必要條件

開始之前，請確定您可以存取已部署、註冊及連線到 Azure 的 Azure 本機版本 23H2 實例。

透過 Azure 入口網站檢視應用程控設定

若要在 Azure 入口網站中檢視應用程控設定，請確定您已套用 MCSB 方案。如需詳細資訊，請參閱套用 Microsoft Cloud Security Benchmark 方案。

您可以使用應用程式控制原則來管理系統上允許哪些驅動程式和應用程式執行。您只能透過 Azure 入口網站檢視應用程控設定。若要管理設定，請參閱使用PowerShell管理應用程控設定。

使用 PowerShell 管理應用程控設定

啟用應用程控原則模式

您可以在部署期間或之後啟用應用程控。使用PowerShell在部署後啟用或停用應用程控。

連線到其中一個機器，並使用以下 Cmdlet 在「稽核」模式或「強制執行」模式中啟用所需的應用程式控制策略。

在此組建版本中，有兩個 Cmdlet：

Enable-AsWdacPolicy - 影響所有叢集節點。
Enable-ASLocalWDACPolicy - 只會影響執行 Cmdlet 的節點。

根據您的使用案例，您應該執行全域叢集變更或本機節點變更。

這在下列情況下很有用：

您開始使用預設、建議的設定。
您必須安裝或執行新的第三方軟體。您可以切換原則模式來建立補充原則。
您從部署期間停用應用程控開始，現在您想要啟用應用程控來增加安全性保護，或驗證軟體是否正常執行。
您的軟體或腳本會遭到應用程控封鎖。在此情況下，您可以使用稽核模式來了解並針對問題進行疑難解答。

注意

當應用程式遭到封鎖時，應用程控會建立對應的事件。檢閱事件記錄檔，以瞭解封鎖應用程式的原則詳細數據。如需詳細資訊，請參閱應用程控操作指南。

切換應用程式控制政策模式

請遵循下列步驟，在應用程控原則模式之間切換。這些 PowerShell 命令會與 Orchestrator 互動，以啟用選取的模式。

線上到您的 Azure 本機電腦。
使用本機系統管理員認證或部署使用者（AzureStackLCMUser）認證來執行下列 PowerShell 命令。
執行下列 Cmdlet 來檢查目前啟用的應用程式控制原則模式：
```
Get-AsWdacPolicyMode
```
此 Cmdlet 會傳回每個節點的稽核或強制模式。
執行下列 Cmdlet 以切換原則模式：
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
例如，若要將原則模式切換為稽核，請執行：
```
Enable-AsWdacPolicy -Mode Audit
```
警告

Orchestrator 最多需要兩到三分鐘的時間，才能切換至選取的模式。

再次執行 Get-ASWDACPolicyMode 以確認原則模式已更新。

Get-AsWdacPolicyMode

以下是這些 Cmdlet 的範例輸出：

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Enforced.
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Audit.
VERBOSE: Getting Application Control Policy Mode on Node01.
VERBOSE: Application Control Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

建立應用程控原則以啟用第三方軟體

在強制模式中使用應用程控時，若要讓非Microsoft簽署的軟體執行，請藉由建立應用程控補充原則，以Microsoft提供的基底原則為基礎。如需其他資訊，請參閱公用應用程控檔。

注意

若要執行或安裝新軟體，您可能需要先將應用程控切換至稽核模式（請參閱上述步驟）、安裝軟體、測試其運作正常、建立新的補充原則，然後將應用程控切換回強制模式。

使用多個原則格式建立新的原則，如下所示。 Add-ASWDACSupplementalPolicy -Path Policy.xml然後使用將它轉換成補充原則，並在叢集中的節點之間部署。

建立應用程控補充原則

使用下列步驟來建立補充原則：

開始之前，請先將補充原則涵蓋的軟體安裝到自己的目錄中。如果有子目錄，則沒關係。建立補充原則時，您必須提供要掃描的目錄，而且不希望補充原則涵蓋系統上的所有程序代碼。在我們的範例中，此目錄為 C：\software\codetoscan。

一旦您已就緒所有軟體，請執行下列命令來建立補充原則。使用唯一的原則名稱來協助識別它。

New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan

執行下列 Cmdlet 來修改補充原則的元數據：


 # Path of new created XML)
 $policyPath = "c:\wdac\Contoso-policy.xml"

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

執行下列 Cmdlet 來部署原則：

Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

執行下列 Cmdlet 來檢查新原則的狀態：

Get-ASLocalWDACPolicyInfo