Mengelola Kontrol Aplikasi untuk Azure Local
Berlaku untuk: Azure Local 2311.2 dan yang lebih baru
Artikel ini menjelaskan cara menggunakan Kontrol Aplikasi untuk mengurangi permukaan serangan Azure Local. Untuk informasi selengkapnya, lihat Mengelola pengaturan keamanan garis besar di Azure Local.
Prasyarat
Sebelum memulai, pastikan Anda memiliki akses ke instans Azure Local yang disebarkan, didaftarkan, dan tersambung ke Azure.
Menampilkan pengaturan Kontrol Aplikasi melalui portal Microsoft Azure
Untuk melihat pengaturan Kontrol Aplikasi di portal Microsoft Azure, pastikan Anda telah menerapkan inisiatif MCSB. Untuk informasi selengkapnya, lihat Menerapkan inisiatif Microsoft Cloud Security Benchmark.
Anda dapat menggunakan kebijakan Kontrol Aplikasi untuk mengelola driver dan aplikasi mana yang diizinkan untuk dijalankan pada sistem Anda. Anda hanya dapat melihat pengaturan Kontrol Aplikasi melalui portal Microsoft Azure. Untuk mengelola pengaturan, lihat Mengelola pengaturan Kontrol Aplikasi dengan PowerShell.
Mengelola pengaturan Kontrol Aplikasi dengan PowerShell
Mengaktifkan mode kebijakan Kontrol Aplikasi
Anda dapat mengaktifkan Kontrol Aplikasi selama atau setelah penyebaran. Gunakan PowerShell untuk mengaktifkan atau menonaktifkan Kontrol Aplikasi setelah penyebaran.
Sambungkan ke salah satu komputer dan gunakan cmdlet berikut untuk mengaktifkan kebijakan Kontrol Aplikasi yang diinginkan dalam mode "Audit" atau "Diberlakukan".
Dalam rilis build ini ada dua cmdlet:
-
Enable-AsWdacPolicy- Mempengaruhi semua node kluster. -
Enable-ASLocalWDACPolicy- Hanya mempengaruhi node tempat cmdlet dijalankan.
Bergantung pada kasus penggunaan Anda, Anda harus menjalankan perubahan kluster global atau perubahan simpul lokal.
Ini berguna ketika:
- Anda mulai dengan pengaturan default yang direkomendasikan.
- Anda harus menginstal atau menjalankan perangkat lunak pihak ketiga baru. Anda dapat mengalihkan mode kebijakan untuk membuat kebijakan tambahan.
- Anda mulai dengan Kontrol Aplikasi dinonaktifkan selama penyebaran dan sekarang Anda ingin mengaktifkan Kontrol Aplikasi untuk meningkatkan perlindungan keamanan atau untuk memvalidasi bahwa perangkat lunak Anda berjalan dengan benar.
- Perangkat lunak atau skrip Anda diblokir oleh Kontrol Aplikasi. Dalam hal ini Anda dapat menggunakan mode audit untuk memahami dan memecahkan masalah.
Catatan
Saat aplikasi Anda diblokir, Kontrol Aplikasi membuat peristiwa yang sesuai. Tinjau Log peristiwa untuk memahami detail kebijakan yang memblokir aplikasi Anda. Untuk informasi selengkapnya, lihat panduan operasional Application Control.
Mengalihkan mode kebijakan Kontrol Aplikasi
Ikuti langkah-langkah ini untuk beralih di antara mode kebijakan Kontrol Aplikasi. Perintah PowerShell ini berinteraksi dengan Orchestrator untuk mengaktifkan mode yang dipilih.
Sambungkan ke komputer Azure Local Anda.
Jalankan perintah PowerShell berikut menggunakan kredensial administrator lokal atau kredensial pengguna penyebaran (AzureStackLCMUser).
Jalankan cmdlet berikut untuk memeriksa mode kebijakan Kontrol Aplikasi yang saat ini diaktifkan:
Get-AsWdacPolicyModeCmdlet ini mengembalikan Mode Audit atau Mode Diterapkan per Node.
Jalankan cmdlet berikut untuk mengalihkan mode kebijakan:
Enable-AsWdacPolicy -Mode <PolicyMode [Audit | Enforced]>Misalnya, untuk mengalihkan mode kebijakan ke audit, jalankan:
Enable-AsWdacPolicy -Mode AuditPeringatan
Orkestrator akan memakan waktu hingga dua hingga tiga menit untuk beralih ke mode yang dipilih.
Jalankan
Get-ASWDACPolicyModelagi untuk mengonfirmasi bahwa mode kebijakan diperbarui.Get-AsWdacPolicyModeBerikut adalah contoh output cmdlet ini:
PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Enforced. NodeName PolicyMode -------- ---------- Node01 Enforced Node01 Enforced PS C:\> Enable-AsWdacPolicy -Mode Audit WARNING: Setting Application Control Policy to Audit Mode on all nodes. This will not protect your system against untrusted applications VERBOSE: Action plan instance ID specified: 6826fbf2-cb00-450e-ba08-ac24da6df4aa VERBOSE: Started an action plan 6826fbf2-cb00-450e-ba08-ac24da6df4aa to set Application Control Policy to Audit Mode. 6826fbf2-cb00-450e-ba08-ac24da6df4aa PS C:\> Get-AsWdacPolicyMode VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. VERBOSE: Getting Application Control Policy Mode on Node01. VERBOSE: Application Control Policy Mode on Node01 is Audit. NodeName PolicyMode -------- ---------- Node01 Audit Node01 Audit
Membuat kebijakan Kontrol Aplikasi untuk mengaktifkan perangkat lunak pihak ketiga
Saat menggunakan Kontrol Aplikasi dalam mode penegakan, agar perangkat lunak non-Microsoft yang Anda miliki dapat berjalan, bangun kebijakan dasar yang disediakan oleh Microsoft dengan membuat kebijakan tambahan Kontrol Aplikasi. Informasi tambahan dapat ditemukan dalam dokumentasi Kontrol Aplikasi publik .
Catatan
Untuk menjalankan atau menginstal perangkat lunak baru, Anda mungkin perlu mengalihkan Kontrol Aplikasi ke mode audit terlebih dahulu (lihat langkah-langkah di atas), menginstal perangkat lunak Anda, menguji bahwa perangkat lunak berfungsi dengan benar, membuat kebijakan tambahan baru, lalu mengalihkan Kontrol Aplikasi kembali ke mode yang diberlakukan.
Buat kebijakan baru dalam Format Beberapa Kebijakan seperti yang ditunjukkan di bawah ini. Kemudian gunakan Add-ASWDACSupplementalPolicy -Path Policy.xml untuk mengonversinya ke kebijakan tambahan dan menyebarkannya di seluruh simpul dalam kluster.
Membuat kebijakan tambahan Kontrol Aplikasi
Gunakan langkah-langkah berikut untuk membuat kebijakan tambahan:
Sebelum Memulai, instal perangkat lunak yang akan dicakup oleh kebijakan tambahan ke dalam direktorinya sendiri. Tidak apa-apa jika ada subdirektori. Saat membuat kebijakan tambahan, Anda harus menyediakan direktori untuk dipindai, dan Anda tidak ingin kebijakan tambahan Anda mencakup semua kode pada sistem. Dalam contoh kami, direktori ini adalah C:\software\codetoscan.
Setelah Anda memiliki semua perangkat lunak Anda, jalankan perintah berikut untuk membuat kebijakan tambahan Anda. Gunakan nama kebijakan unik untuk membantu mengidentifikasinya.
New-CIPolicy -MultiplePolicyFormat -Level Publisher -FilePath c:\wdac\Contoso-policy.xml -UserPEs -Fallback Hash -ScanPath c:\software\codetoscanJalankan cmdlet berikut untuk mengubah metadata kebijakan tambahan Anda:
# Path of new created XML) $policyPath = "c:\wdac\Contoso-policy.xml" # Set Policy Version (VersionEx in the XML file) $policyVersion = "1.0.0.1" Set-CIPolicyVersion -FilePath $policyPath -Version $policyVersion # Set Policy Info (PolicyName, PolicyID in the XML file) Set-CIPolicyIdInfo -FilePath $policyPath -PolicyID "Contoso-Policy_$policyVersion" -PolicyName "Contoso-Policy"Jalankan cmdlet berikut untuk menyebarkan kebijakan:
Add-ASWDACSupplementalPolicy -Path c:\wdac\Contoso-policy.xmlJalankan cmdlet berikut untuk memeriksa status kebijakan baru:
Get-ASLocalWDACPolicyInfoBerikut adalah contoh output cmdlet ini:
C:\> Get-ASLocalWDACPolicyInfo NodeName : Node01 PolicyMode : Enforced PolicyGuid : {A6368F66-E2C9-4AA2-AB79-8743F6597683} PolicyName : AS_Base_Policy PolicyVersion : AS_Base_Policy_1.1.4.0 PolicyScope : Kernel & User MicrosoftProvided : True LastTimeApplied : 10/26/2023 11:14:24 AM NodeName : Node01 PolicyMode : Enforced PolicyGuid : {2112036A-74E9-47DC-A016-F126297A3427} PolicyName : Contoso-Policy PolicyVersion : Contoso-Policy_1.0.0.1 PolicyScope : Kernel & User MicrosoftProvided : False LastTimeApplied : 10/26/2023 11:14:24 AM