Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Windows Defender Application Control (WDAC) améliore la sécurité en limitant les applications et le code qui peuvent s’exécuter sur vos systèmes, y compris le code au niveau du noyau. Les stratégies WDAC peuvent bloquer les scripts non signés, .msi les programmes d’installation et appliquer le mode ConstrainedLanguage dans Windows PowerShell.
Pour installer et gérer Windows Admin Center dans les environnements appliqués par WDAC, des étapes de configuration supplémentaires sont requises. Lorsque vous vous connectez à votre serveur, client ou cluster WDAC, Windows Admin Center affiche l’état d’application sur la page Vue d’ensemble sous le champ Mode de langage PowerShell . Si la valeur est Contrainte, l'application des règles WDAC est active. Les connexions initiales aux clusters régis par les politiques WDAC peuvent prendre plusieurs minutes, mais les connexions suivantes sont généralement plus rapides.
Note
Si vous modifiez l’état d’application de WDAC de vos nœuds managés, attendez au moins environ 30 secondes avant d’utiliser Windows Admin Center pour permettre à la modification d’être reflétée avec précision.
Spécifications
Les sections suivantes décrivent les exigences essentielles pour votre infrastructure appliquée par WDAC, comme les serveurs, les ordinateurs clients ou les clusters, à l’aide de Windows Admin Center. Dans l’idéal, Windows Admin Center et les nœuds managés doivent appartenir au même domaine ou avoir une relation approuvée pour simplifier les processus de gestion et d’authentification. Voici d’autres exigences et considérations à prendre en compte :
Installation : installez Windows Admin Center sur votre serveur ou ordinateur client appliqué par WDAC comme vous le feriez normalement.
Accès administrateur : vérifiez que vous disposez des droits d’administrateur local sur l’ordinateur hôte Windows Admin Center et les nœuds managés. Ces droits sont essentiels pour effectuer des tâches de gestion. Les transferts de fichiers basés sur les chemins UNC sur le port SMB 445 sont essentiels pour que Windows Admin Center gère efficacement ces environnements. Vérifiez que vous disposez de droits d’administration sur le serveur managé ou le cluster et vérifiez que les stratégies de sécurité n’empêchent pas les transferts de fichiers. Si la délégation d’autorisations est requise, vérifiez que les stratégies de délégation sont correctement configurées pour accorder les autorisations nécessaires sans privilège excessif.
Systèmes d’exploitation pris en charge : vérifiez que les systèmes d’exploitation de l’hôte Windows Admin Center et des nœuds managés sont pris en charge par Windows Admin Center.
Configuration réseau : vérifiez la configuration réseau appropriée, en particulier les paramètres de pare-feu, pour autoriser HTTP (port 5985), HTTPS (port 5986) et le trafic SMB si nécessaire pour les transferts winRM et de fichiers. Windows Admin Center a besoin d’un accès SMB aux nœuds managés sur le port TCP 445. Si vous utilisez HTTPS pour une communication sécurisée, vérifiez que les certificats TLS/SSL appropriés sont installés et configurés sur la passerelle Windows Admin Center.
Exigences de stratégie
Selon votre cas d’usage spécifique, vous devez autoriser un ou plusieurs certificats dans votre liste d’autorisation, dans vos stratégies de base ou en tant que stratégies supplémentaires. Pour plus d’informations, consultez le déploiement app Control for Business dans différents scénarios.
cas 1: seuls vos nœuds managés ont appliqué WDAC.
Seule la règle de signataire suivante doit être autorisée dans la stratégie WDAC sur votre nœud managé :
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> <CertPublisher Value="Microsoft Corporation" /> </Signer>Cas 2 : Votre nœud managé et la machine hébergeant Windows Admin Center ont appliqué WDAC.
Appliquez la règle de signataire mentionnée à partir du cas 1 sur le nœud managé et l’ordinateur hébergeant Windows Admin Center. En outre, ajoutez les règles de signature suivantes à la liste d'autorisation uniquement sur la machine qui héberge Windows Admin Center.
<Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> <CertPublisher Value="Microsoft 3rd Party Application Component" /> </Signer> <Signer ID="ID_SIGNER_S_XXXXX" Name="Microsoft Code Signing PCA 2011"> <CertRoot Type="TBS" Value="F6F717A43AD9ABDDC8CEFDDE1C505462535E7D1307E630F9544A2D14FE8BF26E" /> <CertPublisher Value=".NET" /> </Signer>
Le Assistant Contrôle d'Applications pour Entreprises peut vous aider à concevoir et à ajuster les politiques WDAC. Lors de l’élaboration d’une nouvelle stratégie, via l’Assistant ou les commandes PowerShell, utilisez la Publisher règle basée sur des fichiers binaires pour formuler des règles. Par exemple:
Dans le scénario 1, générez la politique WDAC à l’aide du fichier Windows Admin Center
.msiavec l’Assistant.Dans le cas 2, vous pouvez toujours utiliser l'Assistant, mais vous devez manuellement mettre à jour votre stratégie WDAC pour incorporer le signataire et la règle de hachage spécifiés.
Pour les versions de Windows Admin Center antérieures à 2410, la CertPublisher Value=".NET" règle n’est pas nécessaire. Toutefois, ces versions antérieures nécessitent des règles de fichier/hachage spécifiques pour être autorisées uniquement sur l’hôte Windows Admin Center :
<FileRules>
<!--Requirement from WAC to allow files from WiX-->
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll" Hash="AA77BB88CC99DD00EE11FF22AA33BB44CC55DD66" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll" Hash="BB22CC33DD44EE55FF66AA77BB88CC99DD00EE11" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="CC33DD44EE55FF66AA77BB88CC99DD00EE11FF22" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="DD44EE55FF66AA77BB88CC99DD00EE11FF22AA33" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="BB88CC99DD00EE11FF22AA33BB44CC55DD66EE77" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX wixca.dll 2" Hash="DD44EE55FF66AA77BB88CC99DD00EE11FF22AA33" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="EE55FF66AA77BB88CC99DD00EE11FF22AA33BB44" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="FF66AA77BB88CC99DD00EE11FF22AA33BB44CC55" />
<Allow ID="ID_ALLOW_E_X_XXXX_X" FriendlyName="WiX firewall.dll" Hash="AA11BB22CC33DD44EE55FF66AA77BB88CC99DD00" />
<Allow ID="ID_ALLOW_E_X_XXXX_XXXX_X" FriendlyName="WiX firewall.dll" Hash="FF66AA77BB88CC99DD00EE11FF22AA33BB44CC55" />
</FileRules>
L'outil ou le script de création de stratégie doit remplir automatiquement Signer ID et Allow ID (comme Signer ID="ID_SIGNER_S_XXXXX", par exemple).
Stratégie d'exécution de PowerShell
La stratégie d’exécution par défaut de PowerShell suffit pour que Windows Admin Center gère une machine appliquée par WDAC. Si la stratégie par défaut doit être modifiée, définissez l’étendue LocalMachine sur RemoteSigned pour permettre le chargement et l’exécution de scripts signés. Les ajustements doivent être effectués uniquement lorsqu’ils sont essentiels et après une considération minutieuse en raison des fonctionnalités de sécurité de PowerShell.
Problèmes connus
Déploiement d’Azure Kubernetes Service : Actuellement, le déploiement d’Azure Kubernetes Service sur le pont de ressources Azure Local et Azure Arc via Windows Admin Center n’est pas pris en charge dans les environnements appliqués par WDAC.
Contrôle d'accès basé sur les rôles (RBAC) : l’utilisation du contrôle d’accès en fonction du rôle sur un serveur unique n’est actuellement pas prise en charge lorsque l'activation du WDAC est en place.
Opérations de l’outil Certificats : certaines opérations de l’outil Certificats peuvent être limitées ou non prises en charge dans le cadre de l’application WDAC.
Résolution des problèmes
Si vous obtenez une erreur « Module introuvable » ou « Échec de connexion », effectuez l’une des actions suivantes :
Vérifier le transfert de module : pour vérifier si Windows Admin Center a correctement transféré des fichiers vers votre nœud managé, accédez au
%PROGRAMFILES%\WindowsPowerShell\Modulesrépertoire sur le nœud managé. Confirmez la présence de modules nommésMicrosoft.SME.*. Si ces modules sont absents, essayez de vous reconnecter à votre serveur ou cluster via Windows Admin Center.Vérification de l’accès au port : vérifiez que la machine hébergeant Windows Admin Center a accès au port TCP 445 sur le nœud managé. Ce port est essentiel pour la communication SMB, sur laquelle Windows Admin Center s’appuie pour les transferts de fichiers et les tâches de gestion.