Grundlegendes zu Richtlinienentwurfsentscheidungen für App Control for Business
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Dieser Artikel richtet sich an IT-Experten. Er listet die Entwurfsfragen, mögliche Antworten und Auswirkungen für getroffene Entscheidungen auf, wenn die Bereitstellung von App Control-Richtlinien mithilfe von App Control for Business in einer Windows-Betriebssystemumgebung geplant wird.
Wenn Sie mit dem Entwurf und dem Planungsprozess beginnen, sollten Sie die Auswirkungen Ihrer Entwurfsoptionen berücksichtigen. Die daraus resultierenden Entscheidungen wirken sich auf Ihr Richtlinienbereitstellungsschema und die anschließende Wartung der App-Steuerungsrichtlinie aus.
Sie sollten die Verwendung von App Control for Business als Teil der App Control-Richtlinien Ihres organization in Betracht ziehen, wenn Folgendes zutrifft:
- Sie haben die unterstützten Versionen von Windows in Ihrem organization bereitgestellt oder planen die Bereitstellung.
- Sie benötigen eine verbesserte Kontrolle über den Zugriff auf die Anwendungen Ihrer organization und die Daten, auf die Ihre Benutzer zugreifen.
- Ihr organization verfügt über einen klar definierten Prozess für die Anwendungsverwaltung und -bereitstellung.
- Sie verfügen über Ressourcen, um Richtlinien anhand der Anforderungen der organization zu testen.
- Sie verfügen über Ressourcen, um Helpdesk einzubinden oder einen Selbsthilfeprozess für Probleme mit dem Zugriff auf Endbenutzeranwendungen zu erstellen.
- Die Anforderungen der Gruppe an Produktivität, Verwaltbarkeit und Sicherheit können durch restriktive Richtlinien gesteuert werden.
Entscheiden, welche Richtlinien erstellt werden sollen
Ab Windows 10 Version 1903 ermöglicht App Control for Business das Anwenden mehrerer gleichzeitiger Richtlinien auf jedes Gerät. Diese gleichzeitige Anwendung eröffnet Organisationen viele neue Anwendungsfälle, aber Ihre Richtlinienverwaltung kann leicht unhandlich werden, ohne einen durchdachten Plan für die Anzahl und typen der zu erstellenden Richtlinien.
Der erste Schritt besteht darin, den gewünschten "Vertrauenskreis" für Ihre App-Steuerungsrichtlinien zu definieren. Mit "Vertrauenskreis" meinen wir eine Beschreibung der Geschäftsabsicht der Richtlinie, die in natürlicher Sprache ausgedrückt wird. Diese Definition des "Vertrauenskreises" führt Sie beim Erstellen der tatsächlichen Richtlinienregeln für Ihre Richtlinien-XML.
Die DefaultWindows-Richtlinie, die sich unter %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies befindet, richtet beispielsweise einen "Vertrauenskreis" ein, der Windows, Hardware- und Softwarekernelstreiber von Drittanbietern und Anwendungen aus dem Microsoft Store zulässt.
Configuration Manager verwendet die DefaultWindows-Richtlinie als Grundlage für seine Richtlinie, ändert dann jedoch die Richtlinienregeln, um Configuration Manager und deren Abhängigkeiten zuzulassen, legt die Richtlinienregel für verwaltete Installationsprogramme fest und konfiguriert zusätzlich Configuration Manager als verwaltetes Installationsprogramm. Es kann optional auch Apps mit positivem Ruf autorisieren und eine einmalige Überprüfung der Ordnerpfade durchführen, die vom Configuration Manager-Administrator angegeben werden, wodurch Regeln für alle Apps hinzugefügt werden, die in den angegebenen Pfaden auf dem verwalteten Endpunkt gefunden werden. Dieser Prozess richtet den "Vertrauenskreis" für die native App Control-Integration von Configuration Manager ein.
Die folgenden Fragen können Ihnen helfen, Ihre App Control for Business-Bereitstellung zu planen und den richtigen "Vertrauenskreis" für Ihre Richtlinien zu bestimmen. Sie haben keine Priorität oder sequenzielle Reihenfolge und sind nicht als erschöpfende Entwurfsüberlegungen gedacht.
Überlegungen zum Entwurf von App-Steuerelementen
Wie werden Apps in Ihrem organization verwaltet und bereitgestellt?
Organisationen mit klar definierten, zentral verwalteten App-Verwaltungs- und Bereitstellungsprozessen können restriktivere und sicherere Richtlinien erstellen. Andere Organisationen können app Control for Business möglicherweise mit gelockerten Regeln bereitstellen oder app Control im Überwachungsmodus bereitstellen, um eine bessere Sichtbarkeit der Apps zu erhalten, die in ihren organization verwendet werden.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Alle Apps werden zentral verwaltet und mithilfe von Endpunktverwaltungstools wie Microsoft Intune bereitgestellt. | Organisationen, die alle Apps zentral verwalten, eignen sich am besten für die App-Steuerung. App Control for Business-Optionen wie das verwaltete Installationsprogramm können das Autorisieren von Apps erleichtern, die von der App-Verteilungsverwaltungslösung des organization bereitgestellt werden. |
| Einige Apps werden zentral verwaltet und bereitgestellt, aber Teams können andere Apps für ihre Mitglieder installieren. | Zusätzliche Richtlinien können verwendet werden, um teamspezifische Ausnahmen für Ihre Kern-organization-weiten App Control for Business-Richtlinie zuzulassen. Alternativ können Teams verwaltete Installationsprogramme verwenden, um ihre teamspezifischen Apps zu installieren, oder Nur-Administrator-Dateipfadregeln können verwendet werden, um apps zuzulassen, die von Administratorbenutzern installiert werden. |
| Benutzer und Teams können Apps kostenlos herunterladen und installieren, aber die organization möchte dieses Recht nur auf weit verbreitete und seriöse Apps beschränken. | App Control for Business kann in Den Intelligent Security Graph von Microsoft (die gleiche Informationsquelle, die Microsoft Defender Antivirus und Windows Defender SmartScreen unterstützt) integriert werden, um nur Apps und Binärdateien zuzulassen, die einen positiven Ruf haben. |
| Benutzer und Teams können Apps uneingeschränkt herunterladen und installieren. | App Control for Business-Richtlinien können im Überwachungsmodus bereitgestellt werden, um Einblicke in die Apps und Binärdateien zu erhalten, die in Ihrem organization ausgeführt werden, ohne die Produktivität von Benutzern und Teams zu beeinträchtigen. |
Werden intern entwickelte Branchen-Apps und -Apps, die von Drittanbietern entwickelt wurden, digital signiert?
Herkömmliche Win32-Apps unter Windows können ausgeführt werden, ohne digital signiert zu sein. Diese Vorgehensweise kann Windows-Geräte mit schädlichem oder manipuliertem Code aussetzen und stellt ein Sicherheitsrisiko für Ihre Windows-Geräte dar. Die Einführung von Codesignatur als Teil der App-Entwicklungsmethoden Ihres organization oder das Erweitern von Apps mit signierten Katalogdateien als Teil Ihrer App-Erfassung und -Verteilung kann die Integrität und Sicherheit der verwendeten Apps erheblich verbessern.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Alle apps, die in Ihrem organization verwendet werden, müssen signiert sein. | Organisationen, die codesigning für den gesamten ausführbaren Code erzwingen, sind am besten positioniert, um ihre Windows-Computer vor der Ausführung von schädlichem Code zu schützen. App Control for Business-Regeln können erstellt werden, um Apps und Binärdateien von den internen Entwicklungsteams des organization und von vertrauenswürdigen unabhängigen Softwareanbietern (ISV) zu autorisieren. |
| Apps, die in Ihrem organization verwendet werden, müssen keine Codesigning-Anforderungen erfüllen. | Organisationen können integrierte Windows-Tools verwenden, um vorhandenen Apps im Rahmen des App-Bereitstellungsprozesses organization spezifische App-Katalogsignaturen hinzuzufügen, die zum Autorisieren der Codeausführung verwendet werden können. Lösungen wie Microsoft Intune bieten mehrere Möglichkeiten zum Verteilen signierter App-Kataloge. |
Gibt es bestimmte Gruppen in Ihrem organization, die angepasste App Control-Richtlinien benötigen?
Die meisten Geschäftsteams oder Abteilungen haben bestimmte Sicherheitsanforderungen, die sich auf den Datenzugriff und die Anwendungen beziehen, die für den Zugriff auf diese Daten verwendet werden. Berücksichtigen Sie den Umfang des Projekts für jede Gruppe und die Prioritäten der Gruppe, bevor Sie App Control-Richtlinien für die gesamte organization bereitstellen. Bei der Verwaltung von Richtlinien ist ein Mehraufwand verbunden, der Dazu führen kann, dass Sie zwischen breiten, organization und mehreren teamspezifischen Richtlinien wählen können.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | App-Steuerungsrichtlinien können pro Team eindeutig erstellt werden, oder teamspezifische ergänzende Richtlinien können verwendet werden, um das zu erweitern, was durch eine gemeinsame, zentral definierte Basisrichtlinie zulässig ist. |
| Nein | App-Steuerungsrichtlinien können global auf Anwendungen angewendet werden, die auf PCs mit Windows 10 und Windows 11 installiert sind. Abhängig von der Anzahl der Apps, die Sie steuern müssen, kann es schwierig sein, alle Regeln und Ausnahmen zu verwalten. |
Verfügt Ihre IT-Abteilung über Ressourcen zum Analysieren der Anwendungsnutzung und zum Entwerfen und Verwalten der Richtlinien?
Die Zeit und die Ressourcen, die Ihnen für die Durchführung der Recherche und Analyse zur Verfügung stehen, können sich auf die Details Ihres Plans und der Prozesse für die fortlaufende Richtlinienverwaltung und -wartung auswirken.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Investieren Sie die Zeit, um die App Control-Anforderungen Ihrer organization zu analysieren und eine vollständige Bereitstellung zu planen, die so konstruierte Regeln wie möglich verwendet. |
| Nein | Erwägen Sie eine fokussierte und stufenweise Bereitstellung für bestimmte Gruppen, indem Sie einige Regeln verwenden. Wenn Sie Steuerelemente auf Anwendungen in einer bestimmten Gruppe anwenden, lernen Sie aus dieser Bereitstellung, um Ihre nächste Bereitstellung zu planen. Alternativ können Sie eine Richtlinie mit einem breiten Vertrauensprofil erstellen, um so viele Apps wie möglich zu autorisieren. |
Verfügt Ihr organization über Helpdesk-Support?
Wenn Sie verhindern, dass Ihre Benutzer auf bekannte, bereitgestellte oder persönliche Anwendungen zugreifen, führt dies zunächst zu einer Zunahme der Endbenutzerunterstützung. Es ist erforderlich, die verschiedenen Supportprobleme in Ihrem organization zu beheben, damit Sicherheitsrichtlinien befolgt werden und der Geschäftsworkflow nicht beeinträchtigt wird.
| Mögliche Antworten | Überlegungen zum Entwurf |
|---|---|
| Ja | Binden Sie die Supportabteilung frühzeitig in die Planungsphase ein, da Ihre Benutzer möglicherweise versehentlich daran gehindert werden, ihre Anwendungen zu verwenden, oder sie können Ausnahmen suchen, um bestimmte Anwendungen zu verwenden. |
| Nein | Investieren Sie Zeit in die Entwicklung von Onlinesupportprozessen und -dokumentationen vor der Bereitstellung. |