Megosztás a következőn keresztül:

Windows Defender alkalmazásvezérlés kezelése a Configuration Manager

  • Cikk

A következőre vonatkozik: Configuration Manager (aktuális ág)

A Windows Defender alkalmazásvezérlés célja, hogy megvédje az eszközöket a kártevőkkel és más nem megbízható szoftverekkel szemben. Megakadályozza a rosszindulatú kódok futtatását, mivel biztosítja, hogy csak a jóváhagyott kód, mint tudja, futtatható legyen.

Az Alkalmazásvezérlés egy szoftveralapú biztonsági réteg, amely kikényszeríti a számítógépen futtatható szoftverek explicit listáját. Az alkalmazásvezérlésnek önmagában nincs hardver- vagy belsővezérlőprogram-előfeltétele. A Configuration Manager telepített alkalmazásvezérlési szabályzatok olyan házirendet tesznek lehetővé a megcélzott gyűjteményekben lévő eszközökön, amelyek megfelelnek az ebben a cikkben ismertetett minimális Windows-verzióra és termékváltozatra vonatkozó követelményeknek. Igény szerint a Configuration Manager keresztül üzembe helyezett alkalmazásvezérlési szabályzatok hipervizoralapú védelme engedélyezhető a kompatibilis hardverekre vonatkozó csoportházirenddel.

További információ: A Windows Defender alkalmazásvezérlés üzembe helyezési útmutatója.

Megjegyzés:

Ezt a funkciót korábban konfigurálható kódintegritásnak és Device Guardnak nevezték.

Az Alkalmazásvezérlés használata Configuration Manager

A Configuration Manager használatával alkalmazásvezérlési szabályzatokat helyezhet üzembe. Ez a szabályzat lehetővé teszi annak a módnak a konfigurálását, amelyben az alkalmazásvezérlés egy gyűjtemény eszközein fut.

Az alábbi módok egyikét konfigurálhatja:

  1. Kényszerítés engedélyezve – Csak megbízható végrehajtható fájlok futtathatók.
  2. Csak naplózás – Az összes végrehajtható fájl futtatásának engedélyezése, de a helyi ügyfél eseménynaplójában futó nem megbízható végrehajtható fájlok naplózása.

Mi futtatható alkalmazásvezérlési szabályzat telepítésekor?

Az alkalmazásvezérléssel szigorúan szabályozhatja, hogy mi futtatható a felügyelt eszközökön. Ez a funkció a magas biztonsági szintű részlegek eszközei számára lehet hasznos, ahol létfontosságú, hogy a nemkívánatos szoftverek ne fussanak.

Szabályzat telepítésekor általában a következő végrehajtható fájlok futhatnak:

  • Windows operációs rendszer összetevői
  • Hardveres fejlesztői központ illesztőprogramjai Windows hardverminőségi tesztkörnyezeti aláírásokkal
  • Windows Áruházbeli alkalmazások
  • Az Configuration Manager-ügyfél
  • Az Configuration Manager által telepített összes szoftver, amelyet az eszközök az alkalmazásvezérlési szabályzat feldolgozása után telepítenek
  • Frissítések a beépített Windows-összetevőkhöz a következő helyről:
    • Windows Update
    • Windows Update Vállalati verzió
    • Windows Server Update Services
    • Konfigurációkezelő
    • Igény szerint a Microsoft Intelligent Security Graph (ISG) által meghatározott jó hírnevű szoftverek. Az ISG tartalmazza a Windows Defender SmartScreent és más Microsoft-szolgáltatásokat. Az eszköznek a Windows Defender SmartScreent kell futtatnia, és Windows 10 1709-es vagy újabb verzióját ahhoz, hogy a szoftver megbízható legyen.

Fontos

Ezek az elemek nem tartalmaznak olyan szoftvert, amely nem a Windows beépített része, és amely automatikusan frissül az internetről vagy külső szoftverfrissítésekből. Ez a korlátozás akkor érvényes, ha a felsorolt frissítési mechanizmusok bármelyike vagy az internetről telepíti őket. Az Alkalmazásvezérlés csak az Configuration Manager-ügyfélen keresztül telepített szoftvermódosításokat engedélyezi.

Támogatott operációs rendszerek

Az alkalmazásvezérlés Configuration Manager való használatához az eszközöknek a következő támogatott verzióit kell futtatniuk:

  • Windows 11 vagy újabb, Enterprise kiadás
  • Windows 10 vagy újabb, Enterprise kiadás
  • Windows Server 2019 vagy újabb

Tipp

A Configuration Manager 2006-os vagy korábbi verziójával létrehozott alkalmazásvezérlési szabályzatok nem működnek a Windows Serverrel. A Windows Server támogatásához hozzon létre új alkalmazásvezérlési szabályzatokat.

Mielőtt elkezdené

  • Miután sikeresen feldolgozta a szabályzatot egy eszközön, Configuration Manager konfigurálva lesz felügyelt telepítőként az adott ügyfélen. A szabályzatfolyamatok után a Configuration Manager által telepített szoftverek automatikusan megbízhatónak lesznek minősítve. Mielőtt az eszköz feldolgozza az alkalmazásvezérlési szabályzatot, a Configuration Manager által telepített szoftverek nem lesznek automatikusan megbízhatók.

    Megjegyzés:

    Például nem használhatja az Alkalmazás telepítése lépést feladatütemezésben alkalmazások telepítéséhez az operációs rendszer központi telepítése során. További információ: Feladatütemezési lépések – Alkalmazás telepítése.

  • Az alkalmazásvezérlési szabályzatok alapértelmezett megfelelőségi kiértékelési ütemezése minden nap. Ez az ütemezés a szabályzat üzembe helyezése során konfigurálható. Ha problémákat tapasztal a szabályzatok feldolgozása során, konfigurálja a megfelelőségértékelés ütemezését gyakoribbra. Például óránként. Ez az ütemezés határozza meg, hogy az ügyfelek milyen gyakran dolgozzanak fel újra egy alkalmazásvezérlési szabályzatot hiba esetén.

  • A választott kényszerítési módtól függetlenül az alkalmazásvezérlési szabályzatok telepítésekor az eszközök nem futtathatnak HTML-alkalmazásokat fájlkiterjesztéssel .hta .

Alkalmazásvezérlési szabályzat létrehozása

  1. Az Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre.

  2. Bontsa ki az Endpoint Protection elemet, majd válassza ki a Windows Defender alkalmazásvezérlési csomópontot.

  3. A menüszalag KezdőlapjánakLétrehozás csoportjában válassza az Alkalmazásvezérlési szabályzat létrehozása lehetőséget.

  4. Az Alkalmazásvezérlési házirend létrehozása varázslóÁltalános lapján adja meg a következő beállításokat:

    • Név: Adjon meg egy egyedi nevet ehhez az alkalmazásvezérlési szabályzathoz.

    • Leírás: Igény szerint adjon meg egy leírást a szabályzathoz, amely segít a Configuration Manager konzolon való azonosításában.

    • Az eszközök újraindításának kényszerítése, hogy ez a szabályzat minden folyamatra kényszeríthető legyen: Miután az eszköz feldolgozta a házirendet, az ügyfél újraindítást ütemez a számítógép újraindításánakügyfélbeállításai szerint. Az eszközön jelenleg futó alkalmazások csak újraindítás után alkalmazzák az új alkalmazásvezérlési szabályzatot. A szabályzat alkalmazása után indított alkalmazások azonban tiszteletben tartják az új szabályzatot.

    • Kényszerítési mód: Válasszon az alábbi kényszerítési módszerek közül:

      • Kényszerítés engedélyezve: Csak megbízható alkalmazások futtathatók.

      • Csak naplózás: Az összes alkalmazás futtatásának engedélyezése, de a futtatott nem megbízható programok naplózása. A naplóüzenetek a helyi ügyfél eseménynaplójában találhatók.

  5. Az Alkalmazásvezérlési házirend létrehozása varázslóBelefoglalások lapján válassza ki, hogy az Intelligent Security Graph által megbízhatónak számító szoftvereket kívánja-e engedélyezni.

  6. Ha bizonyos fájlokhoz vagy mappákhoz szeretne megbízhatóságot hozzáadni az eszközökön, válassza a Hozzáadás lehetőséget. A Megbízható fájl vagy mappa hozzáadása párbeszédpanelen megadhat egy helyi fájlt vagy egy megbízható mappa elérési útját. Olyan távoli eszközön is megadhat fájl- vagy mappaelérési utat, amelyen rendelkezik a csatlakozáshoz szükséges engedéllyel. Ha egy alkalmazásvezérlési házirendben adott fájlokhoz vagy mappákhoz ad megbízhatósági kapcsolatot, a következőt teheti:

    • Hárítsa el a felügyelt telepítő viselkedésével kapcsolatos problémákat.

    • Megbízhat az üzletági alkalmazásokban, amelyeket nem tud üzembe helyezni Configuration Manager.

    • Az operációs rendszer központi telepítési lemezképében található alkalmazások megbízhatósága.

  7. Fejezze be a varázslót.

Alkalmazásvezérlési szabályzat üzembe helyezése

  1. Az Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre.

  2. Bontsa ki az Endpoint Protection elemet, majd válassza ki a Windows Defender alkalmazásvezérlési csomópontot.

  3. A szabályzatok listájából válassza ki az üzembe helyezni kívánt szabályzatot. A menüszalag KezdőlapjánakÜzembe helyezés csoportjában válassza az Alkalmazásvezérlési szabályzat telepítése lehetőséget.

  4. Az Alkalmazásvezérlési szabályzat telepítése párbeszédpanelen válassza ki azt a gyűjteményt, amelyre telepíteni szeretné a szabályzatot. Ezután konfiguráljon egy ütemezést arra az időpontra, amikor az ügyfelek kiértékelik a szabályzatot. Végül válassza ki, hogy az ügyfél kiértékelheti-e a szabályzatot bármely konfigurált karbantartási időszakon kívül.

  5. Ha végzett, kattintson az OK gombra a szabályzat üzembe helyezéséhez.

Alkalmazásvezérlési szabályzat figyelése

Általában használja a Megfelelőségi beállítások figyelése című cikkben található információkat. Ez az információ segíthet annak monitorozásában, hogy az üzembe helyezett szabályzat megfelelően lett-e alkalmazva az összes eszközre.

Az alkalmazásvezérlési szabályzatok feldolgozásának figyeléséhez használja az alábbi naplófájlt az eszközökön:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

A blokkolt vagy naplózott adott szoftver ellenőrzéséhez tekintse meg a következő helyi ügyfélesemény-naplókat:

  • A végrehajtható fájlok blokkolásához és naplózásához használja az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>kódintegritási>műveletét.

  • A Windows Installer- és parancsfájlfájlok blokkolásához és naplózásához használja az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>AppLocker>MSI-t és szkriptet.

Biztonsági és adatvédelmi információk

  • Azok az eszközök, amelyeken a házirend csak naplózási vagy kényszerítési engedélyezve módban van üzembe helyezve, de a házirend kényszerítése érdekében nem lettek újraindítva, sebezhetőek a nem megbízható szoftverek telepítésével szemben. Ebben az esetben előfordulhat, hogy a szoftver továbbra is fut, még akkor is, ha az eszköz újraindul, vagy kényszerítési engedélyezve módban kap egy szabályzatot.

  • Az alkalmazásvezérlési szabályzat hatékonyságának növelése érdekében először készítse elő az eszközt tesztkörnyezetben. Telepítsen egy kényszerítési kompatibilis szabályzatot , majd indítsa újra az eszközt. Miután ellenőrizte, hogy az alkalmazások működnek-e, adja át az eszközt a felhasználónak.

  • Ne telepítsen olyan szabályzatot, amelynél a kényszerítés engedélyezve van , majd később a Csak naplózás funkcióval rendelkező szabályzatot helyezzen üzembe ugyanarra az eszközre. Ez a konfiguráció nem megbízható szoftverek futtatását eredményezheti.

  • Ha Configuration Manager használatával engedélyezi az alkalmazásvezérlést az eszközökön, a szabályzat nem akadályozza meg a helyi rendszergazdai jogosultsággal rendelkező felhasználókat abban, hogy megkerüljék az alkalmazásvezérlési házirendeket, vagy más módon nem megbízható szoftvereket futtassanak.

  • A helyi rendszergazdai jogosultságokkal rendelkező felhasználók csak úgy tilthatják le az alkalmazásvezérlést, ha aláírt bináris szabályzatot helyeznek üzembe. Ez az üzembe helyezés csoportházirenden keresztül lehetséges, de a Configuration Manager jelenleg nem támogatott.

  • A Configuration Manager felügyelt telepítőként való beállítása az eszközökön Windows AppLocker-szabályzatot használ. Az AppLocker csak a felügyelt telepítők azonosítására szolgál. Minden kényszerítés az alkalmazásvezérléssel történik.

Következő lépések

Kártevőirtó-házirendek és tűzfalbeállítások kezelése