練習 - 在 Azure 中執行的 Windows Server 2016 VM 中啟用 AppLocker

  • 10 分鐘

身為 Contoso 資深系統管理員的您已被要求測試 Microsoft AppLocker,以便未來在 Azure 虛擬桌面環境中進行部署。 在企業中,此程序通常是透過群組原則物件、Intune 或 Configuration Manager 完成。 本練習不包含存取這些工具或 Active Directory 網域控制站。

在本練習中,您會使用在 Azure 中執行的 Windows Server 2016 VM。 由於這不是適用於實驗室的 Azure 虛擬桌面環境,因此 Windows 10 企業版無法使用。 您將會:

  • 開啟 Azure Cloud Shell。
  • 建立資源群組。
  • 部署 Windows Server 2016 VM。
  • 連線到 VM。
  • 新增標準使用者。
  • 啟用 AppIDsrv 服務。
  • 停用 Internet Explorer 增強式安全性組態。
  • 下載並安裝 Visual Studio Code 2019。
  • 啟用 AppLocker。
  • 啟用預設 AppLocker 規則。
  • 在我們已部署的 Windows Server 2016 VM 上測試 AppLocker 組態。
  • 清除資源。
  • 嘗試有關使用 AppLocker 的示範。

注意事項

若要完成此練習單元,您必須擁有有效的 Azure 訂用帳戶。 如果您執行練習,Azure 訂用帳戶可能會產生費用。 若要估計成本,請參閱 Windows 虛擬機器定價。 本實驗室中概述的步驟適用於 Windows Server 2016 環境。

您可以使用數種方式在 Azure 上定義和部署 VM。 本練習在 Azure Cloud Shell 中使用 Azure CLI。

開啟 Azure Cloud Shell

  1. 使用您的 Azure 認證登入 Azure 入口網站
  2. 選取搜尋方塊旁邊的 Cloud Shell 圖示。 [歡迎使用 Azure Cloud Shell] 橫幅隨即開啟。
  3. 您可能會收到提示,指出您未掛接儲存空間,並要求您選取訂用帳戶並建立儲存空間。 如果您收到提示,請選取您的訂用帳戶並且選擇 [建立儲存空間]
  4. 在 Azure Cloud Shell 終端機視窗中,選取 [PowerShell] 作為環境。

建立資源群組

您現在需要建立資源群組。 Azure 資源群組是邏輯容器,在其中部署和管理 Azure 資源。 下列範例會在 westus 位置建立名稱為 myResourceGroup 的資源群組。 根據您的位置,您可以選取不同的選項。

  1. 在 PowerShell CLI 中輸入下列命令:
az group create -n myResourceGroup -l westus
  1. 使用下列命令驗證您的新資源群組。 此命令會取得您名為 myResourceGroup 的訂用帳戶中的 Azure 資源群組。
Get-AZResourceGroup -Name myResourceGroup

部署 Windows Server 2016 VM

  1. 在 CLI 視窗中輸入下列命令:
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

  1. 在系統提示時輸入系統管理員密碼並且確認。

  2. [執行中] 訊息顯示時,電腦即在部署中。 Azure 資源需要 2 到 3 分鐘的時間進行部署。

    當程序完成時,會顯示下列輸出:

    {- Finished ..
 "fqdns": "",
 "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
 "location": "westus",
 "macAddress": "00-0D-3A-5A-75-FA",
 "powerState": "VM running",
 "privateIpAddress": "10.0.0.4",
 "publicIpAddress": "65.52.124.71", 
 "resourceGroup": "myResourceGroup",
 "zones": ""
}

  3. 在您的遠端桌面連線中使用公用位址。 記下位址與您的系統管理員密碼。

連線到 VM

使用下列步驟,從您的本機電腦建立遠端桌面工作階段。 將 IP 位址取代為 VM 的公用 IP 位址。 當系統提示您時,請輸入在 PowerShell 命令中指定的系統管理員使用者名稱和相關聯的密碼。

  1. 在 Windows 桌面上的搜尋視窗中,輸入 mstsc,然後選取 [遠端桌面連線] 應用程式。
  2. 選取 [顯示選項]。 輸入 VM 的 IP 位址和您的系統管理員認證,然後選取 [連線]。 請勿選擇儲存登入組態。
  3. 如果您收到訊息指出「無法驗證遠端電腦的身分識別。您還是要連線嗎?」,選取 [是]

新增標準使用者

下一步是將標準使用者新增至 myVM 伺服器。

  1. Windows 伺服器管理員儀表板現在應該可以使用。 如果無法使用,請選取 [開始],然後選取 [伺服器管理員]
  2. 在儀表板上,選取 [工具],然後選取 [電腦管理]
  3. [系統工具] 底下,選取 [本機使用者和群組]。 以滑鼠右鍵按一下 [使用者] 或啟動其捷徑功能表,然後選取 [新增使用者]
  4. 輸入使用者名稱、全名和描述。 輸入並確認密碼,然後清除 [使用者必須在下次登入時變更密碼] 核取方塊。
  5. 選取 [建立],然後選取 [關閉]
  6. 選取 [群組] 選項,然後搜尋 [遠端桌面使用者]
  7. 以滑鼠右鍵按一下 [遠端桌面使用者] 或啟動其捷徑功能表,然後選取 [新增至群組]
  8. [遠端桌面使用者] 屬性對話方塊中,選取 [新增]
  9. 將您先前建立的標準使用者新增到此群組。
  10. 選取 [確定]
  11. 關閉 [電腦管理] 主控台。

啟用 AppIDsrv 服務

應用程式身分識別服務 (AppIDsrv) 會判斷並驗證應用程式的身分識別。 停止此服務會防止強制執行 AppLocker 原則。

  1. 以滑鼠右鍵按一下工作列,然後選取 [工作管理員] 以啟動 [工作管理員]。

  2. 選取 [詳細資料],然後選取 [服務] 索引標籤。

  3. 向下捲動直到您看到 AppIDSvc。 按一下滑鼠右鍵,然後選取 [啟動]

    AppIDSrv 服務現在的狀態應該為 [執行中]

  4. 開啟工作管理員。

停用 Internet Explorer 增強式安全性組態

為了顯示 AppLocker 的能力,我們需要停用增強式安全性組態。 Windows Server 2016 上的 Internet Explorer 預設會啟用此保護。 停用增強式安全性組態時,不會檢查網際網路的存取。

  1. 在 [伺服器管理員] 中,選取 [本機伺服器]
  2. [內容] 面板上,尋找 [IE 增強式安全性組態],然後選取 [開啟] 連結。
  3. 藉由個別為系統管理員使用者選取 [關閉] 按鈕,為他們關閉增強式安全性組態。
  4. 啟動 Internet Explorer。 您應該會看到訊息:Internet Explorer 增強式安全性組態未啟用

下載並安裝 Visual Studio Code 2019

  1. 在 Visual Studio 下載 頁面下載並安裝 Visual Studio 2019 社群版本。 此版本是免費的。
  2. 當系統提示您執行或儲存 Visual Studio .exe 檔案時,請選取 [執行]
  3. 在安裝期間接受所有預設值。 在安裝期間收到提示時,選取 [繼續][安裝]。 此練習不需要安裝任何其他元件。
  4. 開啟 Visual Studio 以確保可以執行。 桌面或工作列上預設沒有捷徑。 您可以在 [開始] 功能表上的 [最近新增] 底下,找到 Visual Studio
  5. 關閉 Visual Studio。

啟用 AppLocker

  1. 在 [伺服器管理員] 中,選取 [工具],然後選取 [本機安全性原則]

  2. [安全性設定] 底下,選取 [應用程式控制原則]

  3. 展開 [應用程式控制原則],然後選取 [AppLocker]。 AppLocker 組態介面隨即顯示。

  4. 選取 [設定規則強制執行][AppLocker 屬性] 介面變成可用。

  5. [強制執行] 索引標籤上,不會啟用這些預設規則。 選取 [可執行規則:已設定] 核取方塊以啟用可執行規則。

    注意事項

    請確定設定設為 [強制執行規則], 而不只是[稽核]僅稽核設定不會封鎖任何應用程式,如果選取此設定,您可能無法體驗撰寫的練習。

  6. 針對 Windows Installer 規則指令碼規則,以及已封裝應用程式規則重複上一個步驟。

  7. 選取 [確定]

啟用預設 AppLocker 規則

  1. [本機安全性原則] 主控台的 [安全性設定]>[應用程式控制原則]>[AppLocker] 底下,以滑鼠右鍵按一下 [已封裝應用程式規則]。 然後選取 [建立預設規則]

    (預設規則) 所有簽署的套件應用程式應該會顯示在右側面板上。

  2. 針對可執行規則重複上一個步驟。 您應該會看到已建立的預設規則。

  3. 在左側面板上,以滑鼠右鍵按一下 [可執行規則],然後選取 [建立新規則]

  4. [建立可執行規則] 面板隨即顯示。 選取 [下一步]

  5. [動作] 底下,選取 [拒絕]

  6. 按一下 [選取]

  7. [選取使用者或群組] 面板隨即顯示。 在 [輸入物件名稱以選取] 方塊中,輸入您先前建立的標準使用者名稱。

  8. 選取 [檢查名稱]。 您應該會看到 myVM\“您的標準使用者登入名稱”。

  9. 選取 [確定] 按鈕。

  10. 選取 [下一步],選取 [路徑],然後選取 [下一步]

  11. 選取 [瀏覽資料夾][瀏覽資料夾] 檔案總管隨即顯示。

  12. 選取 [Program Files (x86)]>[Microsoft Visual Studio]>[2019]。 然後選取 [確定]

  13. 路徑現在是 %PROGRAMFILES%\Microsoft Visual Studio\2019。 選取 [下一步]

  14. [例外狀況] 面板上選取 [下一步]

  15. [名稱與描述] 面板上選取 [建立]

    您現在應該會在 [可執行規則] 面板上看到新的 [拒絕] 規則。

  16. 關閉 [本機安全性原則] 視窗。

在 Windows Server 2016 VM 上測試 AppLocker 組態

  1. 登出您設定的已部署 Windows Server VM,然後使用您先前建立的標準使用者帳戶來登入。

    遠端桌面工作階段會在登出時關閉。您必須啟動另一個遠端桌面工作階段,並再次透過遠端桌面用戶端進行登入,如先前所述。

  2. [開始] 功能表上,選取 [Visual Studio 2019]

    您應該會看到訊息:「您的系統管理員已封鎖此應用程式」

在實際執行環境中強制執行 AppLocker 規則時,會禁止任何未包含在允許規則中的應用程式執行。

清除資源

當您不再需要資源群組、VM 及所有相關資源時,您可以使用下列命令來將其移除。 將資源群組名稱取代為在您自己的環境 (myResourceGroup) 中建立的資源群組名稱。 如果您選擇不刪除這些資源,可能會產生相關成本。

az group delete --name myResourceGroup

此程序需要 2 到 3 分鐘。

示範:在 Azure 虛擬桌面環境中使用 AppLocker

下列影片顯示如何使用 AppLocker 以協助保護您的 Azure 虛擬桌面部署。