Standard kode integritetspolitik for Windows Server

Efter at Windows Defender Application Control (WDAC, tidligere kendt som Code Integrity) blev udgivet i Windows Server 2016, skrev jeg en blogindlæg på den var det en meget effektiv måde at gøre ansøgning whitelisting, og få sikker!

Når vi er involveret med kunderne for at få deres feedback og hjælpe med at implementere WDAC, har den konsekvente feedback været "det er fantastisk, men det er for svært at implementere det." Vi lyttede og skabte et par standardpolitikker, som balancerer sikkerheds- og driftsstyringsindsatsen.

Disse politikker lagres under "C: WindowsschemasCodeIntegrityExamplePolicies" på enhver Windows OS post 1709 release. Jeg anbefaler to politikker til Windows Server:

AllowMicrosoft: Denne CI-politik tillader alle filer underskrevet af Microsoft. Hvis du kører serverprogrammer som SQL, Exchange eller serveren overvåges af agenter, der udgives af Microsoft, bør du starte med denne politik.

DefaultWindows: Denne politik tillader kun de filer, der sendes i Windows, og tillader ikke andre programmer udgivet af Microsoft (f.eks. Office). Dette er en god politik at bruge, hvis serveren er dedikeret til indboks server roller / funktioner, såsom Hyper-V.

Der er kendte programmer i Windows, der kan bruges til at omgå WDAC, den fulde liste er offentliggjort på dette side. Jeg anbefaler at tilføje dem til deny-listen i Code Integrity-politikken. Bemærk venligst, at listen opdateres periodisk med nyligt identificerede applikationer. Du bør gennemgå listen og føje dem til din CI-politik, hvis det er fastslået.

For at gøre det nemt for dig, lavede jeg to kopier af de standard CI-politikker, som du kan downloade (den følgende CI-politik er designet til næste udgivelse af Windows Server. Du kan også ændre den for at fjerne de nye politikreguleringsmuligheder for Windows Server 2016:

AllowMicrosoft_DenyBypassApps_Audit.xml

DefaultWindows_DenyBypassApps_Audit.xml

En af de nye regler i denne politikfil er "Opdater politik, ikke genstart”. På generiske servere er det ofte brugernes behov for at tilføje software. Når det gøres, kan CI-politikken kræve en ændring for at dække applikationen. Denne regelopsætning tillader, at CI-politikken opdateres uden genstart af maskinen. Denne mulighed er tilføjet efter Windows Server 2016. Hvis du vil bruge politikkerne på Windows server 2016, skal du fjerne dem.

Tilføjelse af yderligere udgivere

De fleste af kunderne har deres egne applikationer udviklet internt eller erhvervet eksternt til at administrere serverne, dvs. ovenstående standardpolitikker er ikke nok. For at tillade, at disse apps (eller endda drivere) skal indlæses, skal du ændre CI-politikken for at dække dem. Der er et par tilgange:

  1. Tilføjelse af udgiver: Hvis du vil stole på alle de applikationer, der er oprettet af sælgeren, kan du tilføje deres udgiver til CI-politikken. Kør følgende cmdlet for at udpakke udgiverne til en xml-fil:
New-CIPolicy -FilePath <appCI.xml> -Leveludgiver -ScanPath <den vej, som appen er installeret> -UserPEs
  1. Tilføjelse af FilePublisher: Hvis du kun vil stole på det installerede program (ikke alle applikationer fra denne sælger), kan du tilføje FilePublisher til CI-politikken til CI-politikken. Kør følgende cmdlet for at udpakke fillisten og dens udgiver til en xml-fil:
New-CIPolicy-FilePath <appCI.xml> -Level FilePublisher -ScanPath <den vej, som appen er installeret> -UserPEs

Du kan blande og matche forskellige applikationer (fra forskellige leverandører) med de to metoder, der er beskrevet ovenfor.

For eksempel har du et aktivt udviklingshold internt, du vil tilføje din virksomheds underskriver / udgiver i CI, så alle de underskrevne applikationer kan køre i miljøet; Du kan også aktivere en enhedsdriver ved at tilføje filen FilePublisher for den pågældende driver.

For den samme udgiver skal du vælge mellem at stole på udgiveren eller stole på FilePublisher. Hvis du for eksempel har indgået et leverandørfirma om at udvikle en ansøgning, og du beslutter dig for at stole på sælgerfirmaet ved at tilføje deres udgiver til CI, senere hvis du vil ændre for at stole på det pågældende program, skal du fjerne sælgerudgiveren fra CI først, og tilføj derefter filen FilePublisher.

Fusionere CI-politikker

Med alle de CI-filer, der genereres til at dække yderligere fil / udgiverinformation, vil du derefter fusionere dem med standard CI-politikker ved at køre:

Flette-CIPolicy -OutputFilePath 'Serverdefault-audit.xml' -PolicyPaths '.AllowMicrosoft_DenyByPassApps_Audit', 'additionalCI1.xml', 'CI2.xml'

Implementer CI-politik

CI-implementering og løbende overvågning er dækket i denne blog indlæg. Du kan også henvise til dette side til gruppepolitisk implementering. Nedenfor er en hurtig reference til din bekvemmelighed:

Den oprettede CI-politik er i revisionstilstand, du kan ændre den til håndhævet tilstand ved at køre:

Set-RuleOptions -FilePath C: CIFilePublisher.xml -Option 3 -Delete

XML-filen, der er oprettet af New-CIPolicy, kan ikke forbruges af systemet endnu. For at implementere politikken skal den konverteres til binært format og kopieres til mappen CodeIntegrity under System32.

Kør følgende cmdlet for at konvertere xml-filen:

ConvertFrom-CIPolicy C: CIFilePublisher.xml C: CIFilePublisher.bin

Implementer CI-politik:

Copy-Item C: CIFilePublisher.bin C: WindowsSystem32CodeIntegritySiPolicy.p7b

Genstart serveren for at tillade kode integritet tjeneste at indlæse politikken.

Jeg håber, at standard-server-CI-politikkerne kan hjælpe dig med at fremskynde implementeringen, og som altid kan du dele din feedback via e-mail med os eller indsende og stemme på anmodninger via Bruger Voice.

Kilde

Giv en kommentar

Dette websted bruger Akismet til at reducere spam. Lær, hvordan dine kommentardata behandles.