Autorizzare app affidabili con Intelligent Security Graph (ISG)

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Il controllo delle applicazioni può essere difficile da implementare nelle organizzazioni che non distribuiscono e gestiscono le applicazioni tramite un sistema gestito dall'IT. In tali ambienti, gli utenti possono acquisire le applicazioni che vogliono usare per il lavoro, rendendo difficile la creazione di un criterio di controllo delle applicazioni efficace.

Per ridurre l'attrito degli utenti finali e le chiamate al supporto tecnico, è possibile impostare Windows Defender controllo delle applicazioni (WDAC) per consentire automaticamente alle applicazioni riconosciute dall'ISG (Intelligent Security Graph) di Microsoft di avere una buona reputazione nota. L'opzione ISG consente alle organizzazioni di iniziare a implementare il controllo delle applicazioni anche quando l'organizzazione ha un controllo limitato sull'ecosistema delle app. Per altre informazioni sull'ISG, vedere la sezione Sicurezza in Principali servizi e funzionalità in Microsoft Graph.

Warning

I file binari critici per l'avvio del sistema devono essere consentiti usando regole esplicite nei criteri WDAC. Non fare affidamento sull'ISG per autorizzare questi file.

L'opzione ISG non è il modo consigliato per consentire le app business critical. È consigliabile autorizzare sempre le app business critical usando regole di autorizzazione esplicite o installandole con un programma di installazione gestito.

Come funziona WDAC con l'ISG?

L'ISG non è un "elenco" di app. Usa invece la stessa vasta intelligence di sicurezza e l'analisi di Machine Learning che alimentano Microsoft Defender SmartScreen e Microsoft Defender Antivirus per classificare le applicazioni come "note buone", "note male" o "sconosciute". Questa intelligenza artificiale basata sul cloud si basa su trilioni di segnali raccolti dagli endpoint windows e da altre origini dati ed elaborati ogni 24 ore. Di conseguenza, la decisione del cloud può cambiare.

WDAC controlla solo l'ISG per i file binari che non sono esplicitamente consentiti o negati dai criteri e che non sono stati installati da un programma di installazione gestito. Quando un file binario di questo tipo viene eseguito in un sistema con WDAC abilitato con l'opzione ISG, WDAC controllerà la reputazione del file inviando il relativo hash e le relative informazioni di firma al cloud. Se l'ISG segnala che il file ha una reputazione "nota", il file potrà essere eseguito. In caso contrario, verrà bloccato da WDAC.

Se il file con buona reputazione è un programma di installazione dell'applicazione, la reputazione del programma di installazione passerà a tutti i file scritti su disco. In questo modo, tutti i file necessari per installare ed eseguire un'app ereditano i dati di reputazione positivi dal programma di installazione. I file autorizzati in base alla reputazione del programma di installazione avranno la $KERNEL. SMARTLOCKER. Attributo esteso (EA) del kernel ORIGINCLAIM scritto nel file.

WDAC rieseguire periodicamente la query sui dati di reputazione in un file. Inoltre, le aziende possono specificare che tutti i risultati della reputazione memorizzati nella cache vengono scaricati al riavvio usando l'opzione Enabled:Invalidate EAs on Reboot .

Configurazione dell'autorizzazione ISG per i criteri WDAC

La configurazione dell'ISG è semplice usando qualsiasi soluzione di gestione desiderata. La configurazione dell'opzione ISG prevede i passaggi di base seguenti:

Assicurarsi che l'opzione ISG sia impostata nel codice XML dei criteri WDAC

Per consentire app e file binari basati su Microsoft Intelligent Security Graph, è necessario specificare l'opzione di autorizzazione Enabled:Intelligent Security Graph nei criteri WDAC. Questo passaggio può essere eseguito con il cmdlet Set-RuleOption. È anche necessario impostare l'opzione Enabled:Invalidate EAs on Reboot in modo che i risultati isg vengano verificati di nuovo dopo ogni riavvio. L'opzione ISG non è consigliata per i dispositivi che non hanno accesso normale a Internet. L'esempio seguente mostra entrambe le opzioni impostate.

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules> 

Abilitare i servizi necessari per consentire a WDAC di usare correttamente l'ISG nel client

Affinché l'euristica usata dall'ISG funzioni correttamente, è necessario abilitare altri componenti in Windows. È possibile configurare questi componenti eseguendo l'eseguibile appidtel in c:\windows\system32.

appidtel start

Questo passaggio non è necessario per i criteri WDAC distribuiti in MDM, perché il CSP abiliterà i componenti necessari. Questo passaggio non è necessario anche quando l'ISG viene configurato usando l'integrazione WDAC di Configuration Manager.

Considerazioni sulla sicurezza con l'opzione ISG

Poiché l'ISG è un meccanismo basato su euristica, non offre le stesse garanzie di sicurezza delle regole di autorizzazione o negazione esplicite. È più adatto in cui gli utenti operano con diritti utente standard e in cui viene usata una soluzione di monitoraggio della sicurezza come Microsoft Defender per endpoint.

I processi in esecuzione con privilegi del kernel possono aggirare WDAC impostando l'attributo del file esteso ISG in modo che un file binario sembri avere una buona reputazione nota.

Inoltre, poiché l'opzione ISG passa la reputazione dai programmi di installazione delle app ai file binari che scrivono su disco, in alcuni casi può autorizzare in modo eccessivo i file. Ad esempio, se il programma di installazione avvia l'app al completamento, saranno consentiti anche i file scritti dall'app durante la prima esecuzione.

Limitazioni note con l'uso dell'ISG

Poiché l'ISG consente solo file binari noti, in alcuni casi l'ISG potrebbe non essere in grado di prevedere se il software legittimo è sicuro da eseguire. In questo caso, il software verrà bloccato da WDAC. In questo caso, è necessario consentire al software con una regola nei criteri WDAC, distribuire un catalogo firmato da un certificato attendibile nei criteri WDAC o installare il software da un programma di installazione gestito di WDAC. I programmi di installazione o le applicazioni che creano dinamicamente file binari in fase di esecuzione e applicazioni auto-aggiornanti possono presentare questo sintomo.

Le app in pacchetto non sono supportate con l'ISG e dovranno essere autorizzate separatamente nei criteri WDAC. Poiché le app in pacchetto hanno un'identità di app avanzata e devono essere firmate, è semplice autorizzare le app in pacchetto con i criteri WDAC.

L'ISG non autorizza i driver in modalità kernel. Il criterio WDAC deve disporre di regole che consentano l'esecuzione dei driver necessari.

Nota

Una regola che nega o consente esplicitamente un file avrà la precedenza sui dati di reputazione del file. il supporto predefinito di WDAC di Microsoft Intune include l'opzione per considerare attendibili le app con buona reputazione tramite l'ISG, ma non ha alcuna opzione per aggiungere regole di autorizzazione o negazione esplicite. Nella maggior parte dei casi, i clienti che usano il controllo dell'applicazione dovranno distribuire criteri WDAC personalizzati (che possono includere l'opzione ISG, se lo si desidera) usando la funzionalità OMA-URI di Intune.