Az Azure Local alkalmazásvezérlésének kezelése
A következőkre vonatkozik: Azure Local 2311.2 és újabb verziók
Ez a cikk azt ismerteti, hogyan csökkentheti az Azure Local támadási felületét az Application Control használatával. További információkért lásd: Az alapkonfiguráció biztonsági beállításainak kezelése az Azure Helyi.
Előfeltételek
Mielőtt hozzákezdene, győződjön meg arról, hogy rendelkezik hozzáféréssel egy azure-beli helyi példányhoz, amely üzembe van helyezve, regisztrálva és csatlakozik az Azure-hoz.
Alkalmazásvezérlési beállítások megtekintése az Azure Portalon
Az Alkalmazásvezérlés beállításainak az Azure Portalon való megtekintéséhez győződjön meg arról, hogy alkalmazta az MCSB-kezdeményezést. További információ: Microsoft Cloud Security Benchmark kezdeményezés alkalmazása.
Az alkalmazásvezérlési szabályzatokkal kezelheti, hogy mely illesztőprogramok és alkalmazások futtathatók a rendszeren. Az Alkalmazásvezérlés beállításait csak az Azure Portalon tekintheti meg. A beállítások kezelésével kapcsolatban lásd: Alkalmazásvezérlési beállítások kezelése a PowerShell-.
Alkalmazásvezérlési beállítások kezelése a PowerShell-lel
Alkalmazásvezérlési szabályzatmódok engedélyezése
Az alkalmazásvezérlést az üzembe helyezés során vagy után engedélyezheti. A PowerShell használatával engedélyezheti vagy letilthatja az alkalmazásvezérlést az üzembe helyezés után.
Csatlakozzon az egyik géphez, és a következő parancsmagokkal engedélyezze a kívánt alkalmazásvezérlési házirendet "Auditálás" vagy "Kikényszerített" módban.
Ebben a buildkiadásban két parancsmag található:
-
Enable-AsWdacPolicy– Az összes fürtcsomópontot érinti. -
Enable-ASLocalWDACPolicy– Csak azt a csomópontot érinti, amelyen a parancsmag fut.
A használati esettől függően globális fürtmódosítást vagy helyi csomópontmódosítást kell futtatnia.
Ez akkor hasznos, ha:
- Az alapértelmezett, ajánlott beállításokkal kezdte.
- Új külső szoftvert kell telepítenie vagy futtatnia. A szabályzatmódokat kiegészítő szabályzat létrehozásához is módosíthatja.
- Az alkalmazásvezérlést az üzembe helyezés során letiltotta, és most engedélyezni szeretné az Alkalmazásvezérlést a biztonsági védelem növeléséhez vagy a szoftver megfelelő futtatásának ellenőrzéséhez.
- Az Alkalmazásvezérlő letiltja a szoftvereket vagy szkripteket. Ebben az esetben az ellenőrzési móddal megértheti és elháríthatja a problémát.
Feljegyzés
Ha az alkalmazás le van tiltva, az Application Control létrehoz egy megfelelő eseményt. Tekintse át az eseménynaplót az alkalmazást blokkoló szabályzat részleteinek megismeréséhez. További információ: Application Control működési útmutató.
Alkalmazásvezérlési szabályzatmódok váltása
Az alábbi lépéseket követve válthat az alkalmazásvezérlési szabályzatmódok között. Ezek a PowerShell-parancsok együttműködnek az Orchestratorral a kiválasztott módok engedélyezéséhez.
Csatlakozzon a helyi Azure-géphez.
Futtassa a következő PowerShell-parancsot helyi rendszergazdai hitelesítő adatokkal vagy üzembe helyezési felhasználó (AzureStackLCMUser) hitelesítő adataival.
Futtassa a következő parancsmagot az aktuálisan engedélyezett alkalmazásvezérlési házirend-mód ellenőrzéséhez:
Get-AsWdacPolicyModeEz a parancsmag minden csomópontra visszaadja az Ellenőrzési vagy a Kényszerített módot.
Futtassa a következő parancsmagot a házirend mód váltásához:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Például, ha a házirend módját ellenőrzésre szeretné váltani, futtassa a következőt:
Enable-AsWdacPolicy -Mode AuditFigyelmeztetés
Az Orchestrator legfeljebb 2-3 percet vesz igénybe a kiválasztott módra való váltáshoz.
Futtassa
Get-ASWDACPolicyModeújra a szabályzatmód frissítésének megerősítéséhez.Get-AsWdacPolicyModeItt van ezeknek a parancsmagoknak egy mintakimenete:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Alkalmazásvezérlési szabályzat létrehozása harmadik féltől származó szoftverek engedélyezéséhez
Az Alkalmazásvezérlés kényszerítési módban való használata esetén a nem Microsoft által aláírt szoftverek futtatásához hozzon létre egy alkalmazásvezérlő kiegészítő szabályzatot a Microsoft által biztosított alapszabályzatra. További információt a nyilvános alkalmazásvezérlés dokumentációjábantalál.
Feljegyzés
Új szoftverek futtatásához vagy telepítéséhez előfordulhat, hogy először az Alkalmazásvezérlőt naplózási módra kell váltania (lásd a fenti lépéseket), telepítenie kell a szoftvert, tesztelnie kell, hogy megfelelően működik-e, létre kell hoznia az új kiegészítő szabályzatot, majd vissza kell váltania az Alkalmazásvezérlőt a kényszerített módra.
Hozzon létre egy új szabályzatot több szabályzatformátumban az alább látható módon. Használja a Add-ASWDACSupplementalPolicy -Path Policy.xml elemet, hogy átalakítsa kiegészítő szabályzattá, majd helyezze üzembe a fürt összes csomópontján.
Alkalmazásvezérlési kiegészítő szabályzat létrehozása
Kiegészítő szabályzat létrehozásához kövesse az alábbi lépéseket:
Mielőtt hozzákezdene, telepítse a kiegészítő szabályzat hatálya alá tartozó szoftvert a saját könyvtárába. Nem baj, ha vannak alkönyvtárak. A kiegészítő szabályzat létrehozásakor meg kell adnia egy könyvtárat a vizsgálathoz, és nem szeretné, hogy a kiegészítő szabályzat lefedje a rendszer összes kódját. A példánkban ez a könyvtár a C:\software\codetoscan.
Ha az összes szoftvere a helyén van, futtassa a következő parancsot a kiegészítő szabályzat létrehozásához. Egyedi szabályzatnév használata annak azonosításához.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanFuttassa a következő parancsmagot a kiegészítő szabályzat metaadatainak módosításához:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Futtassa a következő parancsmagot a szabályzat üzembe helyezéséhez:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlFuttassa a következő parancsmagot az új szabályzat állapotának ellenőrzéséhez:
Get-ASLocalWDACPolicyInfoAz alábbi cmdletek mintakimenete:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM