Hantera Windows Defender programkontroll för Azure Stack HCI, version 23H2

  • Artikel

Gäller för: Azure Stack HCI, version 23H2

Den här artikeln beskriver hur du använder Windows Defender Application Control (WDAC) för att minska attackytan i Azure Stack HCI. Mer information finns i Hantera säkerhetsinställningar för baslinjen på Azure Stack HCI, version 23H2.

Förutsättningar

Innan du börjar kontrollerar du att du har åtkomst till ett Azure Stack HCI- version 23H2-system som distribueras, registreras och är anslutet till Azure.

Visa WDAC-inställningar via Azure Portal

Om du vill visa WDAC-inställningarna i Azure Portal kontrollerar du att du har tillämpat MCSB-initiativet. Mer information finns i Apply Microsoft Cloud Security Benchmark initiative (Använd Microsoft Cloud Security Benchmark-initiativ).

Du kan använda WDAC-principer för att styra vilka drivrutiner och appar som får köras på systemet. Du kan bara visa WDAC-inställningarna via Azure Portal. Information om hur du hanterar inställningarna finns i Hantera WDAC-inställningar med PowerShell.

Skärmbild som visar sidan Programkontroll (WDAC) på Azure Portal.

Hantera WDAC-inställningar med PowerShell

Aktivera WDAC-principlägen

Du kan aktivera WDAC under eller efter distributionen. Använd PowerShell för att aktivera eller inaktivera WDAC efter distributionen.

Anslut till en av klusternoderna och använd följande cmdletar för att aktivera önskad WDAC-princip i läget "Granskning" eller "Framtvingad".

I den här versionen finns det två cmdletar:

  • Enable-AsWdacPolicy – Påverkar alla klusternoder.
  • Enable-ASLocalWDACPolicy – Påverkar endast den nod som cmdleten körs på.

Beroende på ditt användningsfall bör du köra en global klusterändring eller en lokal nodändring.

Detta är användbart när:

  • Du började med rekommenderade standardinställningar.
  • Du måste installera eller köra ny programvara från tredje part. Du kan växla dina principlägen för att skapa en tilläggsprincip.
  • Du började med att WDAC var inaktiverat under distributionen och nu vill du aktivera WDAC för att öka säkerhetsskyddet eller verifiera att programvaran körs korrekt.
  • Programvaran eller skripten blockeras av WDAC. I det här fallet kan du använda granskningsläget för att förstå och felsöka problemet.

Anteckning

När programmet blockeras skapar WDAC en motsvarande händelse. Granska händelseloggen för att förstå information om principen som blockerar ditt program. Mer information finns i driftsguiden för Windows Defender Application Control.

Växla WDAC-principlägen

Följ de här stegen för att växla mellan WDAC-principlägen. Dessa PowerShell-kommandon interagerar med Orchestrator för att aktivera de valda lägena.

  1. Anslut till din Azure Stack HCI-nod.

  2. Kör följande PowerShell-kommando med autentiseringsuppgifter för lokal administratör eller autentiseringsuppgifter för distributionsanvändare (AzureStackLCMUser).

    Viktigt

    Cmdletar som måste vara inloggade som distributionsanvändare (AzureStackLCMUser) behöver auktorisering av korrekta autentiseringsuppgifter via säkerhetsgruppen (PREFIX-ECESG) och CredSSP (när du använder fjärr-PowerShell) eller konsolsession (RDP).

  3. Kör följande cmdlet för att kontrollera det WDAC-principläge som för närvarande är aktiverat:

    Get-AsWdacPolicyMode

    Den här cmdleten returnerar granskningsläge eller framtvingat läge per nod.

  4. Kör följande cmdlet för att växla principläge:

    Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>

    Om du till exempel vill växla principläget till granskning kör du:

    Enable-AsWdacPolicy -Mode Audit

    Varning

    Orchestrator tar upp till två till tre minuter att växla till det valda läget.

  5. Kör Get-ASWDACPolicyMode igen för att bekräfta att principläget har uppdaterats.

    Get-AsWdacPolicyMode

    Här är ett exempel på utdata från dessa cmdletar:

    PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Enforced.

NodeName     PolicyMode
--------     ----------
Node01 	Enforced
Node01 	Enforced

PS C:\> Enable-AsWdacPolicy -Mode Audit
WARNING: Setting WDAC Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications
VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa
VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set WDAC Policy to Audit Mode.
6826fbf2-cb00-450e-ba08-ac24da6df4aa

PS C:\> Get-AsWdacPolicyMode
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.
VERBOSE: Getting WDAC Policy Mode on Node01
VERBOSE: WDAC Policy Mode on Node01 is Audit.

NodeName     PolicyMode
--------     ----------
Node01 	Audit
Node01	Audit

Skapa en WDAC-princip för att aktivera programvara från tredje part

När du använder WDAC i tvingande läge, så att din icke-Microsoft-signerade programvara kan köras, skapar du den basprincip som tillhandahålls av Microsoft genom att skapa en tilläggsprincip för WDAC. Ytterligare information finns i den offentliga WDAC-dokumentationen.

Anteckning

Om du vill köra eller installera ny programvara kan du behöva växla WDAC till granskningsläge först (se stegen ovan), installera programvaran, testa att den fungerar korrekt, skapa den nya tilläggsprincipen och sedan växla tillbaka WDAC till framtvingat läge.

Skapa en ny princip i formatet Flera principer enligt nedan. Använd Add-ASWDACSupplementalPolicy -Path Policy.xml sedan för att konvertera den till en kompletterande princip och distribuera den mellan noder i klustret.

Skapa en tilläggsprincip för WDAC

Använd följande steg för att skapa en tilläggsprincip:

  1. Innan du börjar installerar du den programvara som omfattas av tilläggsprincipen i en egen katalog. Det är okej om det finns underkataloger. När du skapar den kompletterande principen måste du ange en katalog som ska genomsökas och du vill inte att tilläggsprincipen ska täcka all kod i systemet. I vårt exempel är den här katalogen C:\software\codetoscan.

  2. När du har all programvara på plats kör du följande kommando för att skapa din tilläggsprincip. Använd ett unikt principnamn för att identifiera det.

    New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscan

  3. Kör följande cmdlet för att ändra metadata för din tilläggsprincip:

    # Set Policy Version (VersionEx in the XML file)
 $policyVersion = "1.0.0.1"
 Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion

 # Set Policy Info (PolicyName, PolicyID in the XML file)
 Set-CIPolicyIdInfo -FilePath c:\wdac\Contoso-policy.xml -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"

  4. Kör följande cmdlet för att distribuera principen:

    Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xml

  5. Kör följande cmdlet för att kontrollera status för den nya principen:

    Get-ASLocalWDACPolicyInfo

    Här är ett exempel på utdata från dessa cmdletar:

    C:\> Get-ASLocalWDACPolicyInfo

NodeName          : Node01
PolicyMode        : Enforced
PolicyGuid        : {A6368F66-E2C9-4AA2-AB79-8743F6597683}
PolicyName        : AS_Base_Policy
PolicyVersion     : AS_Base_Policy_1.1.4.0
PolicyScope       : Kernel & User
MicrosoftProvided : True
LastTimeApplied   : 10/26/2023 11:14:24 AM

NodeName          : Node01
PolicyMode        : Enforced
PolicyGuid        : {2112036A-74E9-47DC-A016-F126297A3427}
PolicyName        : Contoso-Policy
PolicyVersion     : Contoso-Policy_1.0.0.1
PolicyScope       : Kernel & User
MicrosoftProvided : False
LastTimeApplied   : 10/26/2023 11:14:24 AM

Nästa steg