Verwalten Windows Defender Anwendungssteuerung für Azure Stack HCI, Version 23H2

Artikel
04/04/2024

Gilt für: Azure Stack HCI, Version 23H2

In diesem Artikel wird beschrieben, wie Sie Windows Defender Anwendungssteuerung (WDAC) verwenden, um die Angriffsfläche von Azure Stack HCI zu verringern. Weitere Informationen finden Sie unter Verwalten von Baselinesicherheitseinstellungen in Azure Stack HCI, Version 23H2.

Voraussetzungen

Bevor Sie beginnen, stellen Sie sicher, dass Sie Zugriff auf ein Azure Stack HCI-System der Version 23H2 haben, das bereitgestellt, registriert und mit Azure verbunden ist.

Anzeigen von WDAC-Einstellungen über Azure-Portal

Um die WDAC-Einstellungen im Azure-Portal anzuzeigen, stellen Sie sicher, dass Sie die MCSB-Initiative angewendet haben. Weitere Informationen finden Sie unter Anwenden der Microsoft Cloud Security Benchmark-Initiative.

Sie können WDAC-Richtlinien verwenden, um zu steuern, welche Treiber und Apps auf Ihrem System ausgeführt werden dürfen. Sie können die WDAC-Einstellungen nur über Azure-Portal anzeigen. Informationen zum Verwalten der Einstellungen finden Sie unter Verwalten von WDAC-Einstellungen mit PowerShell.

Verwalten von WDAC-Einstellungen mit PowerShell

Aktivieren von WDAC-Richtlinienmodi

Sie können WDAC während oder nach der Bereitstellung aktivieren. Verwenden Sie PowerShell, um WDAC nach der Bereitstellung zu aktivieren oder zu deaktivieren.

Stellen Sie eine Verbindung mit einem der Clusterknoten her, und verwenden Sie die folgenden Cmdlets, um die gewünschte WDAC-Richtlinie im Modus "Überwachung" oder "Erzwungen" zu aktivieren.

In diesem Buildrelease gibt es zwei Cmdlets:

Enable-AsWdacPolicy – Wirkt sich auf alle Clusterknoten aus.
Enable-ASLocalWDACPolicy – Betrifft nur den Knoten, auf dem das Cmdlet ausgeführt wird.

Abhängig von Ihrem Anwendungsfall sollten Sie eine globale Clusteränderung oder eine Änderung des lokalen Knotens ausführen.

Diese Möglichkeit ist in folgenden Situationen nützlich:

Sie haben mit den empfohlenen Standardeinstellungen begonnen.
Sie müssen neue Software von Drittanbietern installieren oder ausführen. Sie können ihre Richtlinienmodi ändern, um eine zusätzliche Richtlinie zu erstellen.
Sie haben begonnen, WDAC während der Bereitstellung deaktiviert zu haben, und jetzt möchten Sie WDAC aktivieren, um den Sicherheitsschutz zu erhöhen oder zu überprüfen, ob Ihre Software ordnungsgemäß ausgeführt wird.
Ihre Software oder Skripts werden von WDAC blockiert. In diesem Fall können Sie den Überwachungsmodus verwenden, um das Problem zu verstehen und zu beheben.

Hinweis

Wenn Ihre Anwendung blockiert ist, erstellt WDAC ein entsprechendes Ereignis. Überprüfen Sie das Ereignisprotokoll, um details der Richtlinie zu verstehen, die Ihre Anwendung blockiert. Weitere Informationen finden Sie im Betriebsleitfaden Windows Defender Anwendungssteuerung.

Wechseln der WDAC-Richtlinienmodi

Führen Sie die folgenden Schritte aus, um zwischen den WDAC-Richtlinienmodi zu wechseln. Diese PowerShell-Befehle interagieren mit dem Orchestrator, um die ausgewählten Modi zu aktivieren.

Stellen Sie eine Verbindung mit Ihrem Azure Stack HCI-Knoten her.
Führen Sie den folgenden PowerShell-Befehl mit lokalen Administratoranmeldeinformationen oder Anmeldeinformationen des Bereitstellungsbenutzers (AzureStackLCMUser) aus.

Wichtig

Cmdlets, die als Bereitstellungsbenutzer (AzureStackLCMUser) angemeldet werden müssen, benötigen eine ordnungsgemäße Autorisierung der Anmeldeinformationen über die Sicherheitsgruppe (PREFIX-ECESG) und CredSSP (bei Verwendung von Remote-PowerShell) oder Konsolensitzung (RDP).
Führen Sie das folgende Cmdlet aus, um den derzeit aktivierten WDAC-Richtlinienmodus zu überprüfen:
```
Get-AsWdacPolicyMode
```
Dieses Cmdlet gibt überwachungs- oder erzwungener Modus pro Knoten zurück.
Führen Sie das folgende Cmdlet aus, um den Richtlinienmodus zu wechseln:
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
Führen Sie beispielsweise Folgendes aus, um den Richtlinienmodus in die Überwachung zu wechseln:
```
Enable-AsWdacPolicy -Mode Audit
```
Warnung

Der Orchestrator benötigt bis zu zwei bis drei Minuten, um in den ausgewählten Modus zu wechseln.

Führen Sie erneut aus Get-ASWDACPolicyMode , um zu bestätigen, dass der Richtlinienmodus aktualisiert wurde.

Get-AsWdacPolicyMode

Hier sehen Sie eine Beispielausgabe dieser Cmdlets:

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Erstellen einer WDAC-Richtlinie zum Aktivieren von Drittanbietersoftware

Wenn Sie WDAC im Erzwingungsmodus verwenden, erstellen Sie für die Ausführung Ihrer nicht von Microsoft signierten Software die von Microsoft bereitgestellte Basisrichtlinie, indem Sie eine zusätzliche WDAC-Richtlinie erstellen. Weitere Informationen finden Sie in der öffentlichen WDAC-Dokumentation.

Hinweis

Um neue Software auszuführen oder zu installieren, müssen Sie möglicherweise zuerst WDAC in den Überwachungsmodus wechseln (siehe schritte oben), Ihre Software installieren, testen, ob sie ordnungsgemäß funktioniert, die neue ergänzende Richtlinie erstellen und dann wieder in den erzwungenen Modus wechseln.

Erstellen Sie eine neue Richtlinie im Format für mehrere Richtlinien, wie unten gezeigt. Verwenden Sie Add-ASWDACSupplementalPolicy -Path Policy.xml dann , um sie in eine zusätzliche Richtlinie zu konvertieren und sie knotenübergreifend im Cluster bereitzustellen.

Erstellen einer zusätzlichen WDAC-Richtlinie

Führen Sie die folgenden Schritte aus, um eine zusätzliche Richtlinie zu erstellen:

Bevor Sie beginnen, installieren Sie die Software, die von der ergänzenden Richtlinie abgedeckt wird, in einem eigenen Verzeichnis. Es ist in Ordnung, wenn Unterverzeichnisse vorhanden sind. Beim Erstellen der ergänzenden Richtlinie müssen Sie ein Zu überprüfende Verzeichnis angeben, und Sie möchten nicht, dass ihre ergänzende Richtlinie den gesamten Code im System abdeckt. In unserem Beispiel lautet dieses Verzeichnis C:\software\codetoscan.
Sobald Sie ihre gesamte Software eingerichtet haben, führen Sie den folgenden Befehl aus, um Ihre ergänzende Richtlinie zu erstellen. Verwenden Sie einen eindeutigen Richtliniennamen, um ihn zu identifizieren.
```
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
```

Führen Sie das folgende Cmdlet aus, um die Metadaten Ihrer ergänzenden Richtlinie zu ändern:

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

Führen Sie das folgende Cmdlet aus, um die Richtlinie bereitzustellen:
```
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
```

Führen Sie das folgende Cmdlet aus, um die status der neuen Richtlinie zu überprüfen:

Get-ASLocalWDACPolicyInfo