Windows Defender alkalmazásvezérlés kezelése a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Windows Defender alkalmazásvezérlés célja, hogy megvédje az eszközöket a kártevőkkel és más nem megbízható szoftverekkel szemben. Megakadályozza a rosszindulatú kódok futtatását, mivel biztosítja, hogy csak a jóváhagyott kód, mint tudja, futtatható legyen.
Az Alkalmazásvezérlés egy szoftveralapú biztonsági réteg, amely kikényszeríti a számítógépen futtatható szoftverek explicit listáját. Az alkalmazásvezérlésnek önmagában nincs hardver- vagy belsővezérlőprogram-előfeltétele. A Configuration Manager telepített alkalmazásvezérlési szabályzatok olyan házirendet tesznek lehetővé a megcélzott gyűjteményekben lévő eszközökön, amelyek megfelelnek az ebben a cikkben ismertetett minimális Windows-verzióra és termékváltozatra vonatkozó követelményeknek. Igény szerint a Configuration Manager keresztül üzembe helyezett alkalmazásvezérlési szabályzatok hipervizoralapú védelme engedélyezhető a kompatibilis hardverekre vonatkozó csoportházirenddel.
További információ: A Windows Defender alkalmazásvezérlés üzembe helyezési útmutatója.
Megjegyzés:
Ezt a funkciót korábban konfigurálható kódintegritásnak és Device Guardnak nevezték.
Az Alkalmazásvezérlés használata Configuration Manager
A Configuration Manager használatával alkalmazásvezérlési szabályzatokat helyezhet üzembe. Ez a szabályzat lehetővé teszi annak a módnak a konfigurálását, amelyben az alkalmazásvezérlés egy gyűjtemény eszközein fut.
Az alábbi módok egyikét konfigurálhatja:
- Kényszerítés engedélyezve – Csak megbízható végrehajtható fájlok futtathatók.
- Csak naplózás – Az összes végrehajtható fájl futtatásának engedélyezése, de a helyi ügyfél eseménynaplójában futó nem megbízható végrehajtható fájlok naplózása.
Mi futtatható alkalmazásvezérlési szabályzat telepítésekor?
Az alkalmazásvezérléssel szigorúan szabályozhatja, hogy mi futtatható a felügyelt eszközökön. Ez a funkció a magas biztonsági szintű részlegek eszközei számára lehet hasznos, ahol létfontosságú, hogy a nemkívánatos szoftverek ne fussanak.
Szabályzat telepítésekor általában a következő végrehajtható fájlok futhatnak:
- Windows operációs rendszer összetevői
- Hardveres fejlesztői központ illesztőprogramjai Windows hardverminőségi tesztkörnyezeti aláírásokkal
- Windows Áruházbeli alkalmazások
- Az Configuration Manager-ügyfél
- Az Configuration Manager által telepített összes szoftver, amelyet az eszközök az alkalmazásvezérlési szabályzat feldolgozása után telepítenek
- Frissítések a beépített Windows-összetevőkhöz a következő helyről:
- Windows Update
- Windows Update Vállalati verzió
- Windows Server Update Services
- Konfigurációkezelő
- Igény szerint a Microsoft Intelligent Security Graph (ISG) által meghatározott jó hírnevű szoftverek. Az ISG tartalmazza a Windows Defender SmartScreent és más Microsoft-szolgáltatásokat. Az eszköznek a Windows Defender SmartScreent kell futtatnia, és Windows 10 1709-es vagy újabb verzióját ahhoz, hogy a szoftver megbízható legyen.
Fontos
Ezek az elemek nem tartalmaznak olyan szoftvert, amely nem a Windows beépített része, és amely automatikusan frissül az internetről vagy külső szoftverfrissítésekből. Ez a korlátozás akkor érvényes, ha a felsorolt frissítési mechanizmusok bármelyike vagy az internetről telepíti őket. Az Alkalmazásvezérlés csak az Configuration Manager-ügyfélen keresztül telepített szoftvermódosításokat engedélyezi.
Támogatott operációs rendszerek
Az alkalmazásvezérlés Configuration Manager való használatához az eszközöknek a következő támogatott verzióit kell futtatniuk:
- Windows 11 vagy újabb, Enterprise kiadás
- Windows 10 vagy újabb, Enterprise kiadás
- Windows Server 2019 vagy újabb
Tipp
A Configuration Manager 2006-os vagy korábbi verziójával létrehozott alkalmazásvezérlési szabályzatok nem működnek a Windows Serverrel. A Windows Server támogatásához hozzon létre új alkalmazásvezérlési szabályzatokat.
Mielőtt elkezdené
Miután sikeresen feldolgozta a szabályzatot egy eszközön, Configuration Manager konfigurálva lesz felügyelt telepítőként az adott ügyfélen. A szabályzatfolyamatok után a Configuration Manager által telepített szoftverek automatikusan megbízhatónak lesznek minősítve. Mielőtt az eszköz feldolgozza az alkalmazásvezérlési szabályzatot, a Configuration Manager által telepített szoftverek nem lesznek automatikusan megbízhatók.
Megjegyzés:
Például nem használhatja az Alkalmazás telepítése lépést feladatütemezésben alkalmazások telepítéséhez az operációs rendszer központi telepítése során. További információ: Feladatütemezési lépések – Alkalmazás telepítése.
Az alkalmazásvezérlési szabályzatok alapértelmezett megfelelőségi kiértékelési ütemezése minden nap. Ez az ütemezés a szabályzat üzembe helyezése során konfigurálható. Ha problémákat tapasztal a szabályzatok feldolgozása során, konfigurálja a megfelelőségértékelés ütemezését gyakoribbra. Például óránként. Ez az ütemezés határozza meg, hogy az ügyfelek milyen gyakran dolgozzanak fel újra egy alkalmazásvezérlési szabályzatot hiba esetén.
A választott kényszerítési módtól függetlenül az alkalmazásvezérlési szabályzatok telepítésekor az eszközök nem futtathatnak HTML-alkalmazásokat fájlkiterjesztéssel
.hta
.
Alkalmazásvezérlési szabályzat létrehozása
Az Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre.
Bontsa ki az Endpoint Protection elemet, majd válassza ki a Windows Defender alkalmazásvezérlési csomópontot.
A menüszalag KezdőlapjánakLétrehozás csoportjában válassza az Alkalmazásvezérlési szabályzat létrehozása lehetőséget.
Az Alkalmazásvezérlési házirend létrehozása varázslóÁltalános lapján adja meg a következő beállításokat:
Név: Adjon meg egy egyedi nevet ehhez az alkalmazásvezérlési szabályzathoz.
Leírás: Igény szerint adjon meg egy leírást a szabályzathoz, amely segít a Configuration Manager konzolon való azonosításában.
Az eszközök újraindításának kényszerítése, hogy ez a szabályzat minden folyamatra kényszeríthető legyen: Miután az eszköz feldolgozta a házirendet, az ügyfél újraindítást ütemez a számítógép újraindításánakügyfélbeállításai szerint. Az eszközön jelenleg futó alkalmazások csak újraindítás után alkalmazzák az új alkalmazásvezérlési szabályzatot. A szabályzat alkalmazása után indított alkalmazások azonban tiszteletben tartják az új szabályzatot.
Kényszerítési mód: Válasszon az alábbi kényszerítési módszerek közül:
Kényszerítés engedélyezve: Csak megbízható alkalmazások futtathatók.
Csak naplózás: Az összes alkalmazás futtatásának engedélyezése, de a futtatott nem megbízható programok naplózása. A naplóüzenetek a helyi ügyfél eseménynaplójában találhatók.
Az Alkalmazásvezérlési házirend létrehozása varázslóBelefoglalások lapján válassza ki, hogy az Intelligent Security Graph által megbízhatónak számító szoftvereket kívánja-e engedélyezni.
Ha bizonyos fájlokhoz vagy mappákhoz szeretne megbízhatóságot hozzáadni az eszközökön, válassza a Hozzáadás lehetőséget. A Megbízható fájl vagy mappa hozzáadása párbeszédpanelen megadhat egy helyi fájlt vagy egy megbízható mappa elérési útját. Olyan távoli eszközön is megadhat fájl- vagy mappaelérési utat, amelyen rendelkezik a csatlakozáshoz szükséges engedéllyel. Ha egy alkalmazásvezérlési házirendben adott fájlokhoz vagy mappákhoz ad megbízhatósági kapcsolatot, a következőt teheti:
Hárítsa el a felügyelt telepítő viselkedésével kapcsolatos problémákat.
Megbízhat az üzletági alkalmazásokban, amelyeket nem tud üzembe helyezni Configuration Manager.
Az operációs rendszer központi telepítési lemezképében található alkalmazások megbízhatósága.
Fejezze be a varázslót.
Alkalmazásvezérlési szabályzat üzembe helyezése
Az Configuration Manager konzolon lépjen az Eszközök és megfelelőség munkaterületre.
Bontsa ki az Endpoint Protection elemet, majd válassza ki a Windows Defender alkalmazásvezérlési csomópontot.
A szabályzatok listájából válassza ki az üzembe helyezni kívánt szabályzatot. A menüszalag KezdőlapjánakÜzembe helyezés csoportjában válassza az Alkalmazásvezérlési szabályzat telepítése lehetőséget.
Az Alkalmazásvezérlési szabályzat telepítése párbeszédpanelen válassza ki azt a gyűjteményt, amelyre telepíteni szeretné a szabályzatot. Ezután konfiguráljon egy ütemezést arra az időpontra, amikor az ügyfelek kiértékelik a szabályzatot. Végül válassza ki, hogy az ügyfél kiértékelheti-e a szabályzatot bármely konfigurált karbantartási időszakon kívül.
Ha végzett, kattintson az OK gombra a szabályzat üzembe helyezéséhez.
Alkalmazásvezérlési szabályzat figyelése
Általában használja a Megfelelőségi beállítások figyelése című cikkben található információkat. Ez az információ segíthet annak monitorozásában, hogy az üzembe helyezett szabályzat megfelelően lett-e alkalmazva az összes eszközre.
Az alkalmazásvezérlési szabályzatok feldolgozásának figyeléséhez használja az alábbi naplófájlt az eszközökön:
%WINDIR%\CCM\Logs\DeviceGuardHandler.log
A blokkolt vagy naplózott adott szoftver ellenőrzéséhez tekintse meg a következő helyi ügyfélesemény-naplókat:
A végrehajtható fájlok blokkolásához és naplózásához használja az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>kódintegritási>műveletét.
A Windows Installer- és parancsfájlfájlok blokkolásához és naplózásához használja az Alkalmazások és szolgáltatások naplói>Microsoft>Windows>AppLocker>MSI-t és szkriptet.
Biztonsági és adatvédelmi információk
Azok az eszközök, amelyeken a házirend csak naplózási vagy kényszerítési engedélyezve módban van üzembe helyezve, de a házirend kényszerítése érdekében nem lettek újraindítva, sebezhetőek a nem megbízható szoftverek telepítésével szemben. Ebben az esetben előfordulhat, hogy a szoftver továbbra is fut, még akkor is, ha az eszköz újraindul, vagy kényszerítési engedélyezve módban kap egy szabályzatot.
Az alkalmazásvezérlési szabályzat hatékonyságának növelése érdekében először készítse elő az eszközt tesztkörnyezetben. Telepítsen egy kényszerítési kompatibilis szabályzatot , majd indítsa újra az eszközt. Miután ellenőrizte, hogy az alkalmazások működnek-e, adja át az eszközt a felhasználónak.
Ne telepítsen olyan szabályzatot, amelynél a kényszerítés engedélyezve van , majd később a Csak naplózás funkcióval rendelkező szabályzatot helyezzen üzembe ugyanarra az eszközre. Ez a konfiguráció nem megbízható szoftverek futtatását eredményezheti.
Ha Configuration Manager használatával engedélyezi az alkalmazásvezérlést az eszközökön, a szabályzat nem akadályozza meg a helyi rendszergazdai jogosultsággal rendelkező felhasználókat abban, hogy megkerüljék az alkalmazásvezérlési házirendeket, vagy más módon nem megbízható szoftvereket futtassanak.
A helyi rendszergazdai jogosultságokkal rendelkező felhasználók csak úgy tilthatják le az alkalmazásvezérlést, ha aláírt bináris szabályzatot helyeznek üzembe. Ez az üzembe helyezés csoportházirenden keresztül lehetséges, de a Configuration Manager jelenleg nem támogatott.
A Configuration Manager felügyelt telepítőként való beállítása az eszközökön Windows AppLocker-szabályzatot használ. Az AppLocker csak a felügyelt telepítők azonosítására szolgál. Minden kényszerítés az alkalmazásvezérléssel történik.