Zarządzanie kontrolą aplikacji Windows Defender dla usługi Azure Stack HCI w wersji 23H2

Artykuł
04/04/2024

Dotyczy: Azure Stack HCI, wersja 23H2

W tym artykule opisano sposób używania Windows Defender Application Control (WDAC) w celu zmniejszenia obszaru ataków usługi Azure Stack HCI. Aby uzyskać więcej informacji, zobacz Zarządzanie ustawieniami zabezpieczeń punktu odniesienia w usłudze Azure Stack HCI w wersji 23H2.

Wymagania wstępne

Przed rozpoczęciem upewnij się, że masz dostęp do systemu Azure Stack HCI w wersji 23H2, który jest wdrażany, zarejestrowany i połączony z platformą Azure.

Wyświetlanie ustawień WDAC za pośrednictwem Azure Portal

Aby wyświetlić ustawienia WDAC w Azure Portal, upewnij się, że zastosowano inicjatywę MCSB. Aby uzyskać więcej informacji, zobacz Apply Microsoft Cloud Security Benchmark initiative (Stosowanie inicjatywy testów porównawczych zabezpieczeń w chmurze firmy Microsoft).

Zasady WDAC umożliwiają kontrolowanie, które sterowniki i aplikacje mogą być uruchamiane w systemie. Ustawienia usługi WDAC można wyświetlić tylko za pośrednictwem Azure Portal. Aby zarządzać ustawieniami, zobacz Zarządzanie ustawieniami WDAC przy użyciu programu PowerShell.

Zarządzanie ustawieniami programu WDAC przy użyciu programu PowerShell

Włączanie trybów zasad WDAC

Można włączyć funkcję WDAC podczas wdrażania lub po jej wdrożeniu. Użyj programu PowerShell, aby włączyć lub wyłączyć funkcję WDAC po wdrożeniu.

Połącz się z jednym z węzłów klastra i użyj następujących poleceń cmdlet, aby włączyć żądane zasady WDAC w trybie "Inspekcja" lub "Wymuszone".

W tej wersji kompilacji istnieją dwa polecenia cmdlet:

Enable-AsWdacPolicy — Wpływa na wszystkie węzły klastra.
Enable-ASLocalWDACPolicy — Wpływa tylko na węzeł, na którym jest uruchamiane polecenie cmdlet.

W zależności od przypadku użycia należy uruchomić zmianę klastra globalnego lub zmianę węzła lokalnego.

Jest to przydatne, gdy:

Rozpoczęto od domyślnych, zalecanych ustawień.
Należy zainstalować lub uruchomić nowe oprogramowanie innych firm. Możesz przełączyć tryby zasad, aby utworzyć zasady uzupełniające.
Usługa WDAC została wyłączona podczas wdrażania, a teraz chcesz włączyć program WDAC w celu zwiększenia ochrony zabezpieczeń lub sprawdzenia, czy oprogramowanie działa prawidłowo.
Oprogramowanie lub skrypty są blokowane przez usługę WDAC. W tym przypadku możesz użyć trybu inspekcji, aby zrozumieć i rozwiązać problem.

Uwaga

Po zablokowaniu aplikacji program WDAC tworzy odpowiednie zdarzenie. Przejrzyj dziennik zdarzeń, aby poznać szczegóły zasad blokujących aplikację. Aby uzyskać więcej informacji, zobacz przewodnik operacyjny Windows Defender Application Control.

Przełączanie trybów zasad WDAC

Wykonaj następujące kroki, aby przełączać się między trybami zasad usługi WDAC. Te polecenia programu PowerShell współdziałają z programem Orchestrator, aby włączyć wybrane tryby.

Połącz się z węzłem usługi Azure Stack HCI.
Uruchom następujące polecenie programu PowerShell przy użyciu poświadczeń administratora lokalnego lub użytkownika wdrożenia (AzureStackLCMUser).

Ważne

Polecenia cmdlet, które wymagają zalogowania się jako użytkownik wdrożenia (AzureStackLCMUser), wymagają odpowiednich poświadczeń autoryzacji za pośrednictwem grupy zabezpieczeń (PREFIX-ECESG) i CredSSP (w przypadku korzystania z zdalnego programu PowerShell) lub sesji konsoli (RDP).
Uruchom następujące polecenie cmdlet, aby sprawdzić tryb zasad WDAC, który jest obecnie włączony:
```
Get-AsWdacPolicyMode
```
To polecenie cmdlet zwraca tryb inspekcji lub wymuszony na węzeł.
Uruchom następujące polecenie cmdlet, aby przełączyć tryb zasad:
```
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
```
Aby na przykład przełączyć tryb zasad na inspekcję, uruchom polecenie:
```
Enable-AsWdacPolicy -Mode Audit
```
Ostrzeżenie

Przełączenie do wybranego trybu potrwa do dwóch do trzech minut.

Uruchom ponownie polecenie Get-ASWDACPolicyMode , aby potwierdzić zaktualizowanie trybu zasad.

Get-AsWdacPolicyMode

Oto przykładowe dane wyjściowe następujących poleceń cmdlet:

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Tworzenie zasad WDAC w celu włączenia oprogramowania innej firmy

Podczas korzystania z usługi WDAC w trybie wymuszania, aby oprogramowanie bez podpisu firmy Microsoft było uruchamiane, należy opierać się na zasadach podstawowych udostępnianych przez firmę Microsoft przez utworzenie zasad uzupełniających WDAC. Dodatkowe informacje można znaleźć w publicznej dokumentacji programu WDAC.

Uwaga

Aby uruchomić lub zainstalować nowe oprogramowanie, może być konieczne najpierw przełączenie programu WDAC na tryb inspekcji (zobacz kroki powyżej), zainstalowanie oprogramowania, przetestowanie, czy działa prawidłowo, utworzenie nowych zasad uzupełniających, a następnie przełącz usługę WDAC z powrotem do trybu wymuszonego.

Utwórz nowe zasady w formacie wielu zasad, jak pokazano poniżej. Następnie użyj polecenia Add-ASWDACSupplementalPolicy -Path Policy.xml , aby przekonwertować go na zasady uzupełniające i wdrożyć je między węzłami w klastrze.

Tworzenie zasad uzupełniających usługi WDAC

Aby utworzyć zasady uzupełniające, wykonaj następujące kroki:

Przed rozpoczęciem zainstaluj oprogramowanie, które będzie objęte zasadami uzupełniającymi we własnym katalogu. Jest w porządku, jeśli istnieją podkatalogi. Podczas tworzenia zasad uzupełniających należy podać katalog do skanowania i nie chcesz, aby zasady uzupełniające obejmowały cały kod w systemie. W naszym przykładzie ten katalog to C:\software\codetoscan.
Po utworzeniu całego oprogramowania uruchom następujące polecenie, aby utworzyć zasady uzupełniające. Użyj unikatowej nazwy zasad, aby ją zidentyfikować.
```
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
```

Uruchom następujące polecenie cmdlet, aby zmodyfikować metadane zasad uzupełniających:

# Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

Uruchom następujące polecenie cmdlet, aby wdrożyć zasady:

Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

Uruchom następujące polecenie cmdlet, aby sprawdzić stan nowych zasad:

Get-ASLocalWDACPolicyInfo