Autorisieren von seriösen Apps mit dem Intelligent Security Graph (ISG)

Hinweis

Einige Funktionen von Windows Defender Anwendungssteuerung sind nur in bestimmten Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit der Windows Defender Anwendungssteuerungsfeature.

Die Anwendungssteuerung kann in Organisationen, die Anwendungen nicht über ein von der IT verwaltetes System bereitstellen und verwalten, schwierig zu implementieren sein. In solchen Umgebungen können Benutzer die Anwendungen erwerben, die sie für die Arbeit verwenden möchten, sodass es schwierig ist, eine effektive Anwendungssteuerungsrichtlinie zu erstellen.

Sie können Windows Defender Anwendungssteuerung (WDAC) so festlegen, dass Anwendungen, die von Microsoft Intelligent Security Graph (ISG) als bekannt guten Ruf erkannt werden, automatisch zugelassen werden, um Reibungsverluste durch Endbenutzer und Helpdesk-Anrufe zu reduzieren. Die ISG-Option hilft Organisationen mit der Implementierung der Anwendungssteuerung, auch wenn die organization eingeschränkte Kontrolle über ihr App-Ökosystem hat. Weitere Informationen zur ISG finden Sie im Abschnitt Sicherheit unter Wichtige Dienste und Features in Microsoft Graph.

Warnung

Binärdateien, die für den Systemstart wichtig sind, müssen mithilfe expliziter Regeln in Ihrer WDAC-Richtlinie zugelassen werden. Verlassen Sie sich nicht auf die ISG, um diese Dateien zu autorisieren.

Die ISG-Option ist nicht die empfohlene Methode, um unternehmenskritische Apps zuzulassen. Sie sollten unternehmenskritische Apps immer mithilfe expliziter Zulassungsregeln oder durch Installieren mit einem verwalteten Installationsprogramm autorisieren.

Wie funktioniert WDAC mit der ISG?

Die ISG ist keine "Liste" von Apps. Stattdessen werden die gleichen umfangreichen Sicherheitsintelligenz und Machine Learning-Analysen verwendet, die Microsoft Defender SmartScreen und Microsoft Defender Antivirus unterstützen, um Anwendungen als "bekannt gut", "bekannt schlecht" oder "unbekannt" zu klassifizieren. Diese cloudbasierte KI basiert auf Billionen von Signalen, die von Windows-Endpunkten und anderen Datenquellen gesammelt und alle 24 Stunden verarbeitet werden. Dadurch kann sich die Entscheidung aus der Cloud ändern.

WDAC überprüft die ISG nur auf Binärdateien, die von Ihrer Richtlinie nicht explizit zugelassen oder verweigert werden und die nicht von einem verwalteten Installationsprogramm installiert wurden. Wenn eine solche Binärdatei auf einem System ausgeführt wird, auf dem WDAC mit der ISG-Option aktiviert ist, überprüft WDAC die Zuverlässigkeit der Datei, indem die Hash- und Signaturinformationen an die Cloud gesendet werden. Wenn die ISG meldet, dass die Datei einen "bekannten guten" Ruf aufweist, kann die Datei ausgeführt werden. Andernfalls wird sie von WDAC blockiert.

Wenn die Datei mit gutem Ruf ein Anwendungsinstallationsprogramm ist, wird der Ruf des Installers an alle Dateien weitergegeben, die auf den Datenträger geschrieben werden. Auf diese Weise erben alle Dateien, die zum Installieren und Ausführen einer App erforderlich sind, die positiven Reputationsdaten vom Installationsprogramm. Dateien, die basierend auf dem Ruf des Installers autorisiert wurden, haben die $KERNEL. SMARTLOCKER. ORIGINCLAIM Kernel Extended Attribute (EA), das in die Datei geschrieben wird.

WDAC ruft die Reputationsdaten in einer Datei in regelmäßigen Abständen erneut ab. Darüber hinaus können Unternehmen angeben, dass alle zwischengespeicherten Reputationsergebnisse beim Neustart geleert werden, indem sie die Option Enabled:Invalidate EAs on Reboot verwenden.

Konfigurieren der ISG-Autorisierung für Ihre WDAC-Richtlinie

Das Einrichten der ISG ist mit jeder beliebigen Verwaltungslösung einfach. Das Konfigurieren der ISG-Option umfasst die folgenden grundlegenden Schritte:

Stellen Sie sicher, dass die ISG-Option im WDAC-Richtlinien-XML festgelegt ist.

Um Apps und Binärdateien zuzulassen, die auf dem Microsoft Intelligent Security Graph basieren, muss die Autorisierungsoption Enabled:Intelligent Security Graph in der WDAC-Richtlinie angegeben werden. Dieser Schritt kann mit dem Cmdlet Set-RuleOption ausgeführt werden. Sie sollten auch die Option Enabled:Invalidate EAs on Reboot festlegen, damit die ISG-Ergebnisse nach jedem Neustart erneut überprüft werden. Die ISG-Option wird nicht für Geräte empfohlen, die keinen regulären Zugriff auf das Internet haben. Das folgende Beispiel zeigt, wie beide Optionen festgelegt sind.

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules>

Aktivieren sie die erforderlichen Dienste, damit WDAC die ISG ordnungsgemäß auf dem Client verwenden kann.

Damit die von der ISG verwendete Heuristik ordnungsgemäß funktioniert, müssen andere Komponenten in Windows aktiviert werden. Sie können diese Komponenten konfigurieren, indem Sie die ausführbare Datei appidtel in c:\windows\system32ausführen.

appidtel start

Dieser Schritt ist für WDAC-Richtlinien, die über MDM bereitgestellt werden, nicht erforderlich, da der CSP die erforderlichen Komponenten aktiviert. Dieser Schritt ist auch nicht erforderlich, wenn die ISG mithilfe der WDAC-Integration von Configuration Manager konfiguriert wird.

Sicherheitsüberlegungen bei der ISG-Option

Da es sich bei der ISG um einen heuristischen Mechanismus handelt, bietet sie nicht die gleichen Sicherheitsgarantien wie explizite Zulassungs- oder Ablehnungsregeln. Es eignet sich am besten dort, wo Benutzer mit Standardbenutzerrechten arbeiten und eine Sicherheitsüberwachungslösung wie Microsoft Defender for Endpoint verwendet wird.

Prozesse, die mit Kernelberechtigungen ausgeführt werden, können WDAC umgehen, indem sie das ISG-Attribut für erweiterte Dateien festlegen, damit eine Binärdatei einen bekannten guten Ruf aufweist.

Da die ISG-Option außerdem die Zuverlässigkeit von App-Installationsprogrammen an die Binärdateien übergibt, die sie auf den Datenträger schreiben, kann sie dateien in einigen Fällen über autorisieren. Wenn das Installationsprogramm die App beispielsweise nach Abschluss startet, sind alle Dateien, die die App während der ersten Ausführung schreibt, ebenfalls zulässig.

Bekannte Einschränkungen bei der Verwendung der ISG

Da die ISG nur Binärdateien zulässt, die als "als gut bekannt" gelten, kann die ISG möglicherweise nicht vorhersagen, ob legitime Software sicher ausgeführt werden kann. In diesem Fall wird die Software von WDAC blockiert. In diesem Fall müssen Sie die Software mit einer Regel in Ihrer WDAC-Richtlinie zulassen, einen Katalog bereitstellen, der von einem in der WDAC-Richtlinie vertrauenswürdigen Zertifikat signiert ist, oder die Software aus einem verwalteten WDAC-Installationsprogramm installieren. Installationsprogramme oder Anwendungen, die zur Laufzeit dynamisch Binärdateien erstellen, sowie selbst aktualisierende Anwendungen können dieses Symptom aufweisen.

Gepackte Apps werden von der ISG nicht unterstützt und müssen separat in Ihrer WDAC-Richtlinie autorisiert werden. Da gepackte Apps über eine starke App-Identität verfügen und signiert werden müssen, ist es einfach, gepackte Apps mit Ihrer WDAC-Richtlinie zu autorisieren.

Die ISG autorisiert keine Kernelmodustreiber. Die WDAC-Richtlinie benötigt Regeln, mit denen die erforderlichen Treiber ausgeführt werden können.

Hinweis

Eine Regel, die eine Datei explizit verweigert oder zulässt, hat Vorrang vor den Reputationsdaten dieser Datei. Microsoft Intune integrierte WDAC-Unterstützung umfasst die Option, Apps mit gutem Ruf über die ISG zu vertrauen, aber es gibt keine Möglichkeit, explizite Zulassungs- oder Ablehnungsregeln hinzuzufügen. In den meisten Fällen müssen Kunden, die die Anwendungssteuerung verwenden, eine benutzerdefinierte WDAC-Richtlinie (die bei Bedarf die ISG-Option enthalten kann) mithilfe der OMA-URI-Funktionalität von Intune bereitstellen.