管理 Azure Stack HCI 版本 23H2 Windows Defender应用程序控制

适用于：Azure Stack HCI 版本 23H2

本文介绍如何使用 Windows Defender 应用程序控制 (WDAC) 来减少 Azure Stack HCI 的攻击面。 有关详细信息，请参阅 管理 Azure Stack HCI 版本 23H2 上的基线安全设置。

先决条件

在开始之前，请确保有权访问已部署、注册和连接到 Azure 的 Azure Stack HCI 版本 23H2 系统。

通过 Azure 门户 查看 WDAC 设置

若要查看Azure 门户中的 WDAC 设置，请确保已应用 MCSB 计划。 有关详细信息，请参阅 应用 Microsoft 云安全基准计划。

可以使用 WDAC 策略来控制允许在系统上运行的驱动程序和应用。 只能通过Azure 门户查看 WDAC 设置。 若要管理设置，请参阅 使用 PowerShell 管理 WDAC 设置。

使用 PowerShell 管理 WDAC 设置

启用 WDAC 策略模式

可以在部署期间或部署后启用 WDAC。 部署后，使用 PowerShell 启用或禁用 WDAC。

连接到其中一个群集节点，并使用以下 cmdlet 在“审核”或“强制”模式下启用所需的 WDAC 策略。

在此版本版本中，有两个 cmdlet：

• Enable-AsWdacPolicy - 影响所有群集节点。
• Enable-ASLocalWDACPolicy - 仅影响运行 cmdlet 的节点。

根据用例，应运行全局群集更改或本地节点更改。

此操作在以下情况下十分有用：

• 你从默认的推荐设置开始。
• 必须安装或运行新的第三方软件。 可以切换策略模式以创建补充策略。
• 你从部署期间禁用 WDAC 开始，现在想要启用 WDAC 以增强安全保护或验证软件是否正常运行。
• 你的软件或脚本被 WDAC 阻止。 在这种情况下，可以使用审核模式来了解并排查问题。

注意

应用程序被阻止时，WDAC 会创建相应的事件。 查看事件日志，了解阻止应用程序的策略的详细信息。 有关详细信息，请参阅Windows Defender应用程序控制操作指南。

切换 WDAC 策略模式

按照以下步骤在 WDAC 策略模式之间进行切换。 这些 PowerShell 命令与 Orchestrator 交互以启用所选模式。

1. 连接到 Azure Stack HCI 节点。

2. 使用本地管理员凭据或部署用户 (AzureStackLCMUser) 凭据运行以下 PowerShell 命令。

   重要

   需要以部署用户身份登录的 cmdlet (AzureStackLCMUser) ，在使用远程 PowerShell) 或控制台会话 (RDP) 时，需要通过安全组 (PREFIX-ECESG) 和 CredSSP (进行适当的凭据授权。

3. 运行以下 cmdlet 以检查当前启用的 WDAC 策略模式：

   Get-AsWdacPolicyMode
   

   此 cmdlet 返回每个节点的审核模式或强制模式。

4. 运行以下 cmdlet 以切换策略模式：

   Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>
   

   例如，若要将策略模式切换到审核，请运行：

   Enable-AsWdacPolicy -Mode Audit
   

   警告

   业务流程协调程序最多需要 2 到 3 分钟才能切换到所选模式。

5. 再次运行 Get-ASWDACPolicyMode 以确认策略模式已更新。

   Get-AsWdacPolicyMode
   

   下面是这些 cmdlet 的示例输出：

   PS C:\> Get-AsWdacPolicyMode
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Enforced.
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Enforced.
   
   NodeName     PolicyMode
   --------     ----------
   Node01 	Enforced
   Node01 	Enforced
   
   PS C:\> Enable-AsWdacPolicy -Mode Audit
   WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
   VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
   VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
   6826fbf2-cb00-450e-ba08-ac24da6df4aa
   
   PS C:\> Get-AsWdacPolicyMode
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Audit.
   VERBOSE: Getting WDAC Policy Mode on Node01
   VERBOSE: WDAC Policy Mode on Node01 is Audit.
   
   NodeName     PolicyMode
   --------     ----------
   Node01 	Audit
   Node01	Audit
   

创建 WDAC 策略以启用第三方软件

在强制模式下使用 WDAC 时，若要运行非 Microsoft 签名的软件，请通过创建 WDAC 补充策略，在 Microsoft 提供的基础策略上进行构建。 可以在 公共 WDAC 文档中找到其他信息。

注意

若要运行或安装新软件，可能需要先将 WDAC 切换到审核模式， (参阅上述步骤) 、安装软件、测试软件是否正常工作、创建新的补充策略，然后将 WDAC 切换回强制模式。

使用多策略格式创建新策略，如下所示。 Add-ASWDACSupplementalPolicy -Path Policy.xml然后使用 将其转换为补充策略，并跨群集中的节点部署它。

创建 WDAC 补充策略

使用以下步骤创建补充策略：

1. 在开始之前，请将补充策略涵盖的软件安装到其自己的目录中。 如果有子目录，则没关系。 创建补充策略时，必须提供要扫描的目录，并且不希望补充策略涵盖系统上的所有代码。 在我们的示例中，此目录为 C：\software\codetoscan。

2. 准备好所有软件后，运行以下命令以创建补充策略。 使用唯一的策略名称来帮助识别它。

   New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan
   

3. 运行以下 cmdlet 以修改补充策略的元数据：

   # Set Policy Version (VersionEx in the XML file)
    $policyVersion = "1.0.0.1"
    Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion
   
    # Set Policy Info (PolicyName, PolicyID in the XML file)
    Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"
   

4. 运行以下 cmdlet 以部署策略：

   Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml
   

5. 运行以下 cmdlet 以检查新策略的状态：

   Get-ASLocalWDACPolicyInfo
   

   下面是这些 cmdlet 的示例输出：

   C:\> Get-ASLocalWDACPolicyInfo
   
   NodeName          : Node01
   PolicyMode        : Enforced
   PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
   PolicyName        : AS_Base_Policy
   PolicyVersion     : AS_Base_Policy_1.1.4.0
   PolicyScope       : Kernel & User
   MicrosoftProvided : True
   LastTimeApplied   : 10/26/2023 11:14:24 AM
   
   NodeName          : Node01
   PolicyMode        : Enforced
   PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
   PolicyName        : Contoso-Policy
   PolicyVersion     : Contoso-Policy_1.0.0.1
   PolicyScope       : Kernel & User
   MicrosoftProvided : False
   LastTimeApplied   : 10/26/2023 11:14:24 AM
   

后续步骤

• 完成先决条件和部署清单并安装 Azure Stack HCI 版本 23H2。