Autorisieren von seriösen Apps mit dem Intelligent Security Graph (ISG)
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Die Implementierung von App Control in Organisationen, die anwendungen nicht über ein von der IT verwaltetes System bereitstellen und verwalten, kann schwierig sein. In solchen Umgebungen können Benutzer die Anwendungen erwerben, die sie für die Arbeit verwenden möchten, sodass es schwierig ist, eine effektive App Control-Richtlinie zu erstellen.
Um Reibungsverluste durch Endbenutzer und Helpdesk-Anrufe zu reduzieren, können Sie App Control for Business so festlegen, dass Anwendungen automatisch zugelassen werden, die von Microsoft Intelligent Security Graph (ISG) als bekannt guten Ruf erkannt werden. Die ISG-Option hilft Organisationen mit der Implementierung der App-Steuerung, auch wenn die organization eingeschränkte Kontrolle über ihr App-Ökosystem haben. Weitere Informationen zur ISG finden Sie im Abschnitt Sicherheit unter Wichtige Dienste und Features in Microsoft Graph.
Warnung
Binärdateien, die für den Systemstart wichtig sind, müssen mithilfe expliziter Regeln in Ihrer App-Steuerungsrichtlinie zugelassen werden. Verlassen Sie sich nicht auf die ISG, um diese Dateien zu autorisieren.
Die ISG-Option ist nicht die empfohlene Methode, um unternehmenskritische Apps zuzulassen. Sie sollten unternehmenskritische Apps immer mithilfe expliziter Zulassungsregeln oder durch Installieren mit einem verwalteten Installationsprogramm autorisieren.
Wie funktioniert App Control mit der ISG?
Die ISG ist keine "Liste" von Apps. Stattdessen werden die gleichen umfangreichen Sicherheitsintelligenz und Machine Learning-Analysen verwendet, die Microsoft Defender SmartScreen und Microsoft Defender Antivirus unterstützen, um Anwendungen als "bekannt gut", "bekannt schlecht" oder "unbekannt" zu klassifizieren. Diese cloudbasierte KI basiert auf Billionen von Signalen, die von Windows-Endpunkten und anderen Datenquellen gesammelt und alle 24 Stunden verarbeitet werden. Dadurch kann sich die Entscheidung aus der Cloud ändern.
App Control überprüft die ISG nur auf Binärdateien, die von Ihrer Richtlinie nicht explizit zugelassen oder verweigert werden und die nicht von einem verwalteten Installationsprogramm installiert wurden. Wenn eine solche Binärdatei auf einem System mit aktivierter App-Steuerung mit der ISG-Option ausgeführt wird, überprüft App Control die Zuverlässigkeit der Datei, indem es die Hash- und Signaturinformationen an die Cloud sendet. Wenn die ISG meldet, dass die Datei einen "bekannten guten" Ruf aufweist, kann die Datei ausgeführt werden. Andernfalls wird sie von der App-Steuerung blockiert.
Wenn die Datei mit gutem Ruf ein Anwendungsinstallationsprogramm ist, wird der Ruf des Installers an alle Dateien weitergegeben, die auf den Datenträger geschrieben werden. Auf diese Weise erben alle Dateien, die zum Installieren und Ausführen einer App erforderlich sind, die positiven Reputationsdaten vom Installationsprogramm. Dateien, die basierend auf dem Ruf des Installers autorisiert wurden, haben die $KERNEL. SMARTLOCKER. ORIGINCLAIM Kernel Extended Attribute (EA), das in die Datei geschrieben wird.
App Control ruft die Reputationsdaten einer Datei in regelmäßigen Abständen erneut ab. Darüber hinaus können Unternehmen angeben, dass alle zwischengespeicherten Reputationsergebnisse beim Neustart geleert werden, indem sie die Option Enabled:Invalidate EAs on Reboot verwenden.
Konfigurieren der ISG-Autorisierung für Ihre App Control-Richtlinie
Das Einrichten der ISG ist mit jeder beliebigen Verwaltungslösung einfach. Das Konfigurieren der ISG-Option umfasst die folgenden grundlegenden Schritte:
- Stellen Sie sicher, dass die Autorisierungsoption Enabled:Intelligent Security Graph im XML der App-Steuerungsrichtlinie festgelegt ist.
- Aktivieren sie die erforderlichen Dienste, damit App Control die ISG ordnungsgemäß auf dem Client verwenden kann.
Stellen Sie sicher, dass die ISG-Option im XML der App-Steuerungsrichtlinie festgelegt ist.
Um Apps und Binärdateien auf Basis von Microsoft Intelligent Security Graph zuzulassen, muss die Autorisierungsoption Enabled:Intelligent Security Graph in der App-Steuerungsrichtlinie angegeben werden. Dieser Schritt kann mit dem Cmdlet Set-RuleOption ausgeführt werden. Sie sollten auch die Option Enabled:Invalidate EAs on Reboot festlegen, damit die ISG-Ergebnisse nach jedem Neustart erneut überprüft werden. Die ISG-Option wird nicht für Geräte empfohlen, die keinen regulären Zugriff auf das Internet haben. Das folgende Beispiel zeigt, wie beide Optionen festgelegt sind.
<Rules>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Enabled:Managed Installer</Option>
</Rule>
<Rule>
<Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
<Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
</Rules>
Aktivieren sie die erforderlichen Dienste, damit App Control die ISG ordnungsgemäß auf dem Client verwenden kann.
Damit die von der ISG verwendete Heuristik ordnungsgemäß funktioniert, müssen andere Komponenten in Windows aktiviert werden. Sie können diese Komponenten konfigurieren, indem Sie die ausführbare Datei appidtel in c:\windows\system32
ausführen.
appidtel start
Dieser Schritt ist für App Control-Richtlinien, die über MDM bereitgestellt werden, nicht erforderlich, da der CSP die erforderlichen Komponenten aktiviert. Dieser Schritt ist auch nicht erforderlich, wenn die ISG mithilfe der App Control-Integration von Configuration Manager konfiguriert wird.
Sicherheitsüberlegungen bei der ISG-Option
Da es sich bei der ISG um einen heuristischen Mechanismus handelt, bietet sie nicht die gleichen Sicherheitsgarantien wie explizite Zulassungs- oder Ablehnungsregeln. Es eignet sich am besten dort, wo Benutzer mit Standardbenutzerrechten arbeiten und eine Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint verwendet wird.
Prozesse, die mit Kernelberechtigungen ausgeführt werden, können die App-Steuerung umgehen, indem sie das isg-Attribut für erweiterte Dateien festlegen, damit eine Binärdatei anscheinend einen bekannten guten Ruf hat.
Da die ISG-Option außerdem die Zuverlässigkeit von App-Installationsprogrammen an die Binärdateien übergibt, die sie auf den Datenträger schreiben, kann sie dateien in einigen Fällen über autorisieren. Wenn das Installationsprogramm die App beispielsweise nach Abschluss startet, sind alle Dateien, die die App während der ersten Ausführung schreibt, ebenfalls zulässig.
Bekannte Einschränkungen bei der Verwendung der ISG
Da die ISG nur Binärdateien zulässt, die als "als gut bekannt" gelten, kann die ISG möglicherweise nicht vorhersagen, ob legitime Software sicher ausgeführt werden kann. In diesem Fall wird die Software von der App-Steuerung blockiert. In diesem Fall müssen Sie die Software mit einer Regel in Ihrer App Control-Richtlinie zulassen, einen Katalog bereitstellen, der von einem Zertifikat signiert ist, das in der App Control-Richtlinie als vertrauenswürdig eingestuft ist, oder die Software aus einem verwalteten App Control-Installationsprogramm installieren. Installationsprogramme oder Anwendungen, die zur Laufzeit dynamisch Binärdateien erstellen, sowie selbst aktualisierende Anwendungen können dieses Symptom aufweisen.
Gepackte Apps werden von der ISG nicht unterstützt und müssen separat in Ihrer App-Steuerungsrichtlinie autorisiert werden. Da gepackte Apps über eine starke App-Identität verfügen und signiert werden müssen, ist es einfach, gepackte Apps mit Ihrer App-Steuerungsrichtlinie zu autorisieren.
Die ISG autorisiert keine Kernelmodustreiber. Die App-Steuerungsrichtlinie muss Über Regeln verfügen, mit denen die erforderlichen Treiber ausgeführt werden können.
Hinweis
Eine Regel, die eine Datei explizit verweigert oder zulässt, hat Vorrang vor den Reputationsdaten dieser Datei. Microsoft Intune integrierte App Control-Unterstützung umfasst die Option, Apps mit gutem Ruf über die ISG zu vertrauen, aber es gibt keine Möglichkeit, explizite Zulassungs- oder Ablehnungsregeln hinzuzufügen. In den meisten Fällen müssen Kunden, die App Control verwenden, eine benutzerdefinierte App Control-Richtlinie (die bei Bedarf die ISG-Option enthalten kann) mithilfe der OMA-URI-Funktionalität von Intune bereitstellen.