Freigeben über

Plan for App Control for Business Lifecycle Policy Management

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

In diesem Artikel werden die Entscheidungen beschrieben, die Sie treffen müssen, um die Prozesse zum Verwalten und Verwalten von App Control for Business-Richtlinien einzurichten.

Richtlinien-XML-Lebenszyklusverwaltung

Der erste Schritt bei der Implementierung von App Control besteht darin, zu überlegen, wie Ihre Richtlinien im Laufe der Zeit verwaltet und verwaltet werden. Die Entwicklung eines Prozesses zum Verwalten von App Control for Business-Richtlinien trägt dazu bei, dass App Control weiterhin effektiv steuert, wie Anwendungen in Ihrem organization ausgeführt werden dürfen.

Die meisten App Control for Business-Richtlinien werden sich im Laufe der Zeit weiterentwickeln und während ihrer Lebensdauer eine Reihe von identifizierbaren Phasen durchlaufen. In der Regel umfassen diese Phasen Folgendes:

  1. Definieren (oder verfeinern) Sie den "Vertrauenskreis" für die Richtlinie, und erstellen Sie eine Überwachungsmodusversion der Richtlinien-XML. Im Überwachungsmodus werden Blockereignisse generiert, aber die Ausführung von Dateien wird nicht verhindert.
  2. Stellen Sie die Richtlinie für den Überwachungsmodus auf vorgesehenen Geräten bereit.
  3. Überwachen Von Überwachungsblockereignissen von den vorgesehenen Geräten und Hinzufügen/Bearbeiten/Löschen von Regeln nach Bedarf, um unerwartete/unerwünschte Blöcke zu beheben.
  4. Wiederholen Sie die Schritte 2 bis 3, bis die verbleibenden Blockereignisse die Erwartungen erfüllen.
  5. Generieren Sie die Version des erzwungenen Modus der Richtlinie. Im erzwungenen Modus werden Dateien, die die Richtlinie nicht zulässt, nicht ausgeführt, und entsprechende Blockereignisse werden generiert.
  6. Stellen Sie die Richtlinie für den erzwungenen Modus auf vorgesehenen Geräten bereit. Es wird empfohlen, mehrstufige Rollouts für erzwungene Richtlinien zu verwenden, um Probleme zu erkennen und darauf zu reagieren, bevor die Richtlinie allgemein bereitgestellt wird.
  7. Wiederholen Sie die Schritte 1 bis 6, wenn sich der gewünschte Vertrauenskreis ändert.

Empfohlener Bereitstellungsprozess für App Control-Richtlinien.

Beibehalten von App Control-Richtlinien in einer Quellcodeverwaltungs- oder Dokumentverwaltungslösung

Um App Control for Business-Richtlinien effektiv zu verwalten, sollten Sie Ihre RICHTLINIEN-XML-Dokumente in einem zentralen Repository speichern und verwalten, auf das jeder benutzer zugreifen kann, der für die Verwaltung von App Control-Richtlinien verantwortlich ist. Wir empfehlen eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint, die die Versionskontrolle bereitstellen und Ihnen ermöglichen, Metadaten zu den XML-Dokumenten anzugeben.

Festlegen der Metadaten PolicyName, PolicyID und Version für jede Richtlinie

Verwenden Sie das Cmdlet Set-CIPolicyIDInfo , um jeder Richtlinie einen aussagekräftigen Namen zu geben und eine eindeutige Richtlinien-ID festzulegen. Diese eindeutigen Attribute helfen Ihnen, die einzelnen Richtlinien beim Überprüfen von App Control for Business-Ereignissen oder beim Anzeigen des RICHTLINIEN-XML-Dokuments zu unterscheiden. Obwohl Sie einen Zeichenfolgenwert für PolicyId angeben können, empfehlen wir für Richtlinien, die das Format mehrerer Richtlinien verwenden, die Option -ResetPolicyId zu verwenden, damit das System automatisch eine eindeutige ID für die Richtlinie generieren kann.

Hinweis

PolicyID gilt nur für Richtlinien, die das Mehrfachrichtlinienformat auf Computern mit Windows 10, Version 1903 und höher oder Windows 11 verwenden. Wenn Sie -ResetPolicyId auf einer Richtlinie ausführen, die für Computer vor 1903 erstellt wurde, wird sie in mehrere Richtlinienformate konvertiert und verhindert, dass sie in diesen früheren Versionen von Windows 10 ausgeführt wird. PolicyID sollte nur einmal pro Richtlinie festgelegt werden und unterschiedliche Richtlinien-IDs für die Überwachungs- und erzwungenen Modusversionen jeder Richtlinie verwenden.

Darüber hinaus wird empfohlen, das Cmdlet Set-CIPolicyVersion zu verwenden, um die interne Versionsnummer der Richtlinie zu erhöhen, wenn Sie Änderungen an der Richtlinie vornehmen. Die Version muss als vierteilige Standardversionszeichenfolge definiert werden (z. B. "1.0.0.0").

Richtlinienregelupdates

Möglicherweise müssen Sie Ihre Richtlinie überarbeiten, wenn neue Apps bereitgestellt oder vorhandene Apps vom Softwareherausgeber aktualisiert werden, um sicherzustellen, dass Die Apps ordnungsgemäß ausgeführt werden. Ob Richtlinienregelaktualisierungen erforderlich sind, hängt erheblich von den Arten von Regeln ab, die Ihre Richtlinie enthält. Regeln, die auf codesignierenden Zertifikaten basieren, bieten die größte Resilienz gegenüber App-Änderungen, während Regeln, die auf Dateiattributen oder Hash basieren, höchstwahrscheinlich Updates erfordern, wenn Apps geändert werden. Wenn Sie die Verwaltete Installationsprogrammfunktionalität von App Control verwenden und alle Apps und deren Updates konsistent über Ihr verwaltetes Installationsprogramm bereitstellen, ist die Wahrscheinlichkeit geringer, dass Sie Richtlinienupdates benötigen.

App Control-Ereignisverwaltung

Jedes Mal, wenn App Control einen Prozess blockiert, werden Ereignisse entweder in das Ereignisprotokoll CodeIntegrity\Operational oder in die Windows-Ereignisprotokolle AppLocker\MSI und Script geschrieben. Das Ereignis beschreibt die Datei, die ausgeführt werden soll, die Attribute dieser Datei und ihre Signaturen sowie den Prozess, der versucht hat, die blockierte Datei auszuführen.

Das Sammeln dieser Ereignisse an einem zentralen Ort kann Ihnen helfen, Ihre App Control for Business-Richtlinie zu verwalten und Probleme mit der Regelkonfiguration zu beheben. Sie können den Azure Monitor-Agent verwenden , um Ihre App Control-Ereignisse automatisch für die Analyse zu erfassen.

Darüber hinaus sammelt Microsoft Defender for Endpoint App Control-Ereignisse, die mithilfe der erweiterten Suchfunktion abgefragt werden können.

Anwendungs- und Benutzersupportrichtlinie

Zu den Überlegungen gehören:

  • Welche Art von Endbenutzerunterstützung wird für blockierte Anwendungen bereitgestellt?
  • Wie werden der Richtlinie neue Regeln hinzugefügt?
  • Wie werden vorhandene Regeln aktualisiert?
  • Werden Ereignisse zur Überprüfung weitergeleitet?

Helpdesk-Support

Wenn Ihr organization über eine eingerichtete Helpdesk-Supportabteilung verfügt, sollten Sie beim Bereitstellen von App Control for Business-Richtlinien die folgenden Punkte berücksichtigen:

  • Welche Dokumentation benötigt Ihre Supportabteilung für neue Richtlinienbereitstellungen?
  • Welche kritischen Prozesse in den einzelnen Geschäftsgruppen sowohl im Arbeitsablauf als auch im Zeitlichen Ablauf sind von App Control-Richtlinien betroffen, und wie können sie sich auf die Workload Ihrer Supportabteilung auswirken?
  • Wer sind die Kontakte in der Supportabteilung?
  • Wie löst die Supportabteilung App Control-Probleme zwischen dem Endbenutzer und den Ressourcen, die die App Control for Business-Regeln verwalten?

Endbenutzersupport

Da App Control for Business verhindert, dass nicht genehmigte Apps ausgeführt werden, ist es wichtig, dass Ihr organization sorgfältig plant, wie Endbenutzersupport bereitgestellt werden kann. Zu den Überlegungen gehören:

  • Möchten Sie eine Intranetwebsite als Support für Benutzer verwenden, die versuchen, eine blockierte App auszuführen?
  • Wie möchten Sie Ausnahmen von der Richtlinie unterstützen? Erlauben Sie Benutzern, ein Skript auszuführen, um vorübergehend den Zugriff auf eine blockierte App zuzulassen?

Dokumentieren Ihres Plans

Nachdem Sie entschieden haben, wie Ihre organization Ihre App Control for Business-Richtlinie verwalten soll, notieren Sie Ihre Ergebnisse.

  • Supportrichtlinie für Endbenutzer. Dokumentieren Sie den Prozess, den Sie für die Behandlung von Anrufen von Benutzern verwenden, die versucht haben, eine blockierte App auszuführen, und stellen Sie sicher, dass die Supportmitarbeiter klare Eskalationsschritte haben, damit der Administrator die App Control for Business-Richtlinie bei Bedarf aktualisieren kann.
  • Ereignisverarbeitung. Dokumentieren Sie, ob Ereignisse an einem zentralen Ort gesammelt werden, der als Speicher bezeichnet wird, wie dieser Speicher archiviert wird und ob die Ereignisse zur Analyse verarbeitet werden.
  • Richtlinienverwaltung. Beschreiben Sie, welche Richtlinien geplant sind, wie sie verwaltet werden und wie Regeln im Laufe der Zeit beibehalten werden.