管理適用於 Azure 本機版本 23H2 的 Windows Defender 應用程控
適用於:Azure 本機版本 23H2
本文說明如何使用 Windows Defender 應用程控 (WDAC) 來減少 Azure 本機的攻擊面。 如需詳細資訊,請參閱 管理 Azure 本機版本 23H2 上的基準安全性設定。
必要條件
開始之前,請確定您可以存取已部署、註冊及連線到 Azure 的 Azure 本機版本 23H2 實例。
透過 Azure 入口網站 檢視 WDAC 設定
若要檢視 Azure 入口網站 中的 WDAC 設定,請確定您已套用 MCSB 方案。 如需詳細資訊,請參閱 套用 Microsoft Cloud Security Benchmark 方案。
您可以使用 WDAC 原則來控制系統上允許哪些驅動程式和應用程式執行。 您只能透過 Azure 入口網站 檢視 WDAC 設定。 若要管理設定,請參閱 使用PowerShell管理 WDAC 設定。
使用 PowerShell 管理 WDAC 設定
啟用 WDAC 原則模式
您可以在部署期間或之後啟用 WDAC。 使用PowerShell在部署後啟用或停用WDAC。
線上到其中一部計算機,並使用下列 Cmdlet 在「稽核」或「強制」模式中啟用所需的 WDAC 原則。
在此組建版本中,有兩個 Cmdlet:
Enable-AsWdacPolicy
- 影響所有叢集節點。Enable-ASLocalWDACPolicy
- 只會影響執行 Cmdlet 的節點。
根據您的使用案例,您應該執行全域叢集變更或本機節點變更。
這在下列情況下很有用:
- 您開始使用預設、建議的設定。
- 您必須安裝或執行新的第三方軟體。 您可以切換原則模式來建立補充原則。
- 您從部署期間停用 WDAC 開始,現在您想要啟用 WDAC 來增加安全性保護,或驗證您的軟體是否正常執行。
- WDAC 會封鎖您的軟體或腳本。 在此情況下,您可以使用稽核模式來了解並針對問題進行疑難解答。
注意
當應用程式遭到封鎖時,WDAC 會建立對應的事件。 檢閱事件記錄檔,以瞭解封鎖應用程式的原則詳細數據。 如需詳細資訊,請參閱 Windows Defender 應用程控操作指南。
切換 WDAC 原則模式
遵循下列步驟,在 WDAC 原則模式之間切換。 這些 PowerShell 命令會與 Orchestrator 互動,以啟用選取的模式。
線上到您的 Azure 本機電腦。
使用本機系統管理員認證或部署使用者 (AzureStackLCMUser) 認證來執行下列 PowerShell 命令。
執行下列 Cmdlet 來檢查目前已啟用的 WDAC 原則模式:
Get-AsWdacPolicyMode
此 Cmdlet 會傳回每個節點的稽核或強制模式。
執行下列 Cmdlet 以切換原則模式:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
例如,若要將原則模式切換為稽核,請執行:
Enable-AsWdacPolicy -Mode Audit
警告
Orchestrator 最多需要兩到三分鐘的時間,才能切換至選取的模式。
再次執行
Get-ASWDACPolicyMode
以確認原則模式已更新。Get-AsWdacPolicyMode
以下是這些 Cmdlet 的範例輸出:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. VERBOSE: Getting WDAC Policy Mode on Node01 VERBOSE: WDAC Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
建立 WDAC 原則以啟用第三方軟體
在強制模式中使用WDAC時,若要讓非Microsoft簽署的軟體執行,請藉由建立WDAC補充原則,以Microsoft提供的基底原則為基礎。 您可以在公用 WDAC 檔中找到其他資訊。
注意
若要執行或安裝新軟體,您可能需要先將 WDAC 切換至稽核模式(請參閱上述步驟)、安裝您的軟體、測試其運作正常、建立新的補充原則,然後將 WDAC 切換回強制模式。
使用多個原則格式建立新的原則,如下所示。 Add-ASWDACSupplementalPolicy -Path Policy.xml
然後使用 將它轉換成補充原則,並在叢集中的節點之間部署。
建立 WDAC 補充原則
使用下列步驟來建立補充原則:
開始之前,請先將補充原則涵蓋的軟體安裝到自己的目錄中。 如果有子目錄,則沒關係。 建立補充原則時,您必須提供要掃描的目錄,而且不希望補充原則涵蓋系統上的所有程序代碼。 在我們的範例中,此目錄為 C:\software\codetoscan。
一旦您已就緒所有軟體,請執行下列命令來建立補充原則。 使用唯一的原則名稱來協助識別它。
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
執行下列 Cmdlet 來修改補充原則的元數據:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
執行下列 Cmdlet 來部署原則:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
執行下列 Cmdlet 來檢查新原則的狀態:
Get-ASLocalWDACPolicyInfo
以下是這些 Cmdlet 的範例輸出:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM