Compartilhar via

Utilizar a política de Controlo de Aplicações Inteligentes para criar a política de arranque

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Este artigo descreve como criar uma política de Controlo de Aplicações para Empresas com a política de Controlo de Aplicações Inteligentes como um modelo. O Controlo de Aplicações Inteligentes é uma solução de segurança baseada no controlo de aplicações concebida para utilizadores consumidores. Utiliza a mesma tecnologia que o Controlo de Aplicações para Empresas, pelo que é fácil utilizá-la como base para uma política empresarial igualmente robusta, mas flexível.

Dica

A Microsoft recomenda a política criada neste artigo como a política de arranque ideal para a maioria das implementações do Controlo de Aplicações nos dispositivos dos utilizadores finais. Normalmente, as organizações novas no Controlo de Aplicações são mais bem-sucedidas se começarem com uma política permissiva como a descrita neste artigo. Pode proteger a política ao longo do tempo para alcançar uma postura de segurança geral mais forte nos seus dispositivos geridos pelo Controlo de Aplicações, conforme descrito em artigos posteriores.

Tal como fizemos na implementação do Controlo de Aplicações para Empresas em diferentes cenários, vamos utilizar o exemplo fictício da Lamna Healthcare Company (Lamna) para ilustrar este cenário. A Lamna pretende adotar políticas de aplicação mais fortes, incluindo a utilização do Controlo de Aplicações para impedir que aplicações indesejadas ou não autorizadas sejam executadas nos seus dispositivos geridos.

Alice Pena (ela) é a líder da equipa de TI encarregada da implementação do Controlo de Aplicações. Atualmente, a Lamna tem políticas de utilização de aplicações flexíveis e uma cultura de máxima flexibilidade de aplicações para os utilizadores. Por isso, a Alice sabe que precisa de adotar uma abordagem incremental ao Controlo de Aplicações e, provavelmente, utilizar políticas diferentes para diferentes segmentos de utilizador. No entanto, por agora, a Alice quer uma política que possa abranger a maioria dos utilizadores sem modificações, a política "Assinado & Respeitável" do Controlo de Aplicações Inteligentes adaptada à Lamna.

Analise a forma como o "círculo de confiança" do Controlo de Aplicações Inteligentes se adequa a si

Alice segue a documentação de orientação do artigo Planear a gestão do ciclo de vida da política de controlo de aplicações e começa por analisar o "círculo de confiança" da política do Controlo de Aplicações Inteligentes. Alice lê os artigos de ajuda online da Microsoft sobre o Controlo de Aplicações Inteligentes para o compreender bem. Nessa leitura, Alice aprende que o Controlo de Aplicações Inteligentes permite apenas código assinado publicamente fidedigno ou código não assinado que o Gráfico de Segurança Inteligente (ISG) prevê ser seguro. O código assinado publicamente fidedigno significa que o emissor do certificado de assinatura é uma das autoridades de certificação (AC) no Programa de Raiz Fidedigna da Microsoft. A execução do código não assinado será bloqueada se o ISG não conseguir prever que o código é seguro para ser executado. E o código determinado como não seguro está sempre bloqueado.

Agora, Alice considera como adaptar a política para utilização da Lamna. Alice quer criar uma política inicial que seja o mais relaxada possível, mas que ainda forneça um valor de segurança durável. Alguns da Lamna defendem uma abordagem mais agressiva do que os planos de Alice. Querem bloquear imediatamente os dispositivos dos utilizadores finais e esperar uma precipitação limitada. Mas a equipa de liderança concorda com Alice que a cultura de aplicações da Lamna, formada lentamente ao longo do tempo, não vai desaparecer de um dia para o outro e, por isso, a política inicial precisa de muita flexibilidade.

Considere os principais fatores sobre a sua organização

Em seguida, Alice identifica os principais fatores sobre o ambiente da Lamna que afetam o "círculo de confiança" da empresa. A política tem de ser flexível para satisfazer as necessidades da empresa a curto e médio prazo. Isto dá tempo à Lamna para introduzir novos processos e políticas de gestão de aplicações para torná-la prática para uma política de controlo de aplicações mais restritiva no futuro. Os principais fatores também ajudam Alice a escolher os sistemas a incluir na primeira implementação. Alice anota estes fatores no documento de planeamento:

  • Privilégios de utilizador: A maioria dos utilizadores é um utilizador padrão, mas quase um quarto tem direitos de administrador local nos seus dispositivos e a opção de executar qualquer aplicação que escolher é um fator importante que contribui.
  • Sistemas Operativos: Windows 11 executa a maioria dos dispositivos de utilizador, mas a Lamna espera que ~10% dos clientes permaneçam em Windows 10 durante o próximo ano fiscal, particularmente em escritórios de satélite mais pequenos. Neste momento, os servidores da Lamna e o equipamento especializado estão fora do âmbito.
  • Gestão de clientes: A Lamna utiliza Microsoft Intune para todos os dispositivos Windows 11, implementados como Microsoft Entra nativos da cloud. Continuam a utilizar o Microsoft Endpoint Configuration Manager (MEMCM) para a maioria dos dispositivos Windows 10, implementados como Microsoft Entra associação híbrida.
  • Gestão de aplicações: A Lamna tem centenas de aplicações de linha de negócio (LOB) nas suas unidades de negócio. A equipa da Alice implementa a maioria, mas não todas, destas aplicações com Intune. E há uma longa cauda de aplicações usadas por equipas mais pequenas, incluindo muitas aplicações "Shadow IT", que não têm carta oficial, mas são fundamentais para os funcionários que as utilizam.
  • Desenvolvimento de aplicações e assinatura de código: As unidades de negócio da Lamna não são padronizadas em arquiteturas e plataformas de desenvolvimento, pelo que é provável que haja uma grande variabilidade e complexidade. Quase todas as aplicações utilizam código não assinado ou maioritariamente não assinado. Embora a empresa necessite agora de atribuição de códigos, os certificados de atribuição de códigos da Lamna provêm da sua Infraestrutura de Chaves Públicas (PKI) empresarial e requerem regras personalizadas na política.

Definir o "círculo de confiança" para dispositivos ligeiramente geridos

Com base nestes fatores, Alice escreve as pseudo-regras para a versão Lamna da política de & De renome assinada da Microsoft:

  1. "Controladores de kernel certificados para Windows e Microsoft" Uma ou mais regras de signatário permitem:

    • Windows e os respetivos componentes.
    • Controladores kernel assinados pela autoridade de certificação do Windows Hardware Quality Labs (WHQL).

  2. "Código assinado publicamente fidedigno" Uma ou mais regras de signatário permitem:

  3. Código assinado da Lamna Uma ou mais regras de signatário permitem:

    • Código assinado por certificados emitidos pela Lamna Codesigning private certificate authority (PCA), o certificado intermédio emitido a partir da sua própria PKI interna.

  4. Permitir aplicações com base na sua "reputação" Uma opção de política que permite:

    • As aplicações previstas para serem "seguras" pelo ISG.

  5. Permitir Instalador Gerido Uma opção de política que permite:

    • Código escrito no sistema por um processo designado pela política como um instalador gerido. Para a política de instalação gerida da Lamna, Alice inclui a Extensão de Gestão de Intune e também processos de autoupdater bem conhecidos para aplicações amplamente utilizadas. Alice também inclui uma regra de caminho de ficheiro, "D:\ Lamna Helpdesk*" em que os administradores de suporte técnico da Lamna são preparados para copiar os instaladores de aplicações e scripts que utilizam para reparar as aplicações e os sistemas dos utilizadores.

  6. Administração regras de caminho apenas uma ou mais regras de caminho de ficheiro para as seguintes localizações:

    • "C:\Programas*"
    • "C:\Programas (x86)*"
    • "%windir%*"
    • "D:\Lamna Helpdesk*"

Modificar o modelo de política "& Respeitável" assinado para a sua organização

Alice transfere o Assistente de Política de Controlo de Aplicações a partir de https://aka.ms/appcontrolwizard e executa-o.

  1. Na página De boas-vindas, Alice vê três opções: Criador de Políticas, Editor de Políticas e Fusão de Políticas. Alice seleciona Criador de Políticas que a leva para a página seguinte.

  2. Em Selecionar um Tipo de Política, Alice tem de escolher se pretende criar uma política de Formato de Política Múltipla ou de Formato de Política Única . Uma vez que todos os dispositivos dos utilizadores finais executam Windows 11 ou versões atuais do Windows 10, Alice deixa o Formato de Política Múltipla predefinido. Da mesma forma, a escolha entre a Política Base e a Política Suplementar é simples e, também aqui, deixa a Política Base predefinida selecionada. Alice seleciona Seguinte para continuar.

  3. A página seguinte é onde Alice irá Selecionar um Modelo Base para a Política. O Assistente de Controlo de Aplicações oferece três políticas de modelo a utilizar ao criar uma nova Política Base. Cada política de modelo aplica regras ligeiramente diferentes para alterar o respetivo modelo de círculo de confiança e segurança da política. As três políticas de modelo são:

    Captura de ecrã que mostra a seleção de um modelo base para a política.

    Política base de modelos Descrição
    Modo Predefinido do Windows O modo Predefinido do Windows autoriza os seguintes componentes:
    • Componentes do sistema operativo Windows – qualquer binário instalado por uma nova instalação do Windows
    • Aplicações em pacote MSIX assinadas pelo signatário do Microsoft Store MarketPlace
    • Aplicações do Microsoft Office365, OneDrive e Microsoft Teams
    • Controladores assinados whQL
    Permitir o modo Microsoft Permitir o modo Microsoft autoriza os seguintes componentes:
    • Todo o código permitido pelo modo Predefinido do Windows, além de...
    • Todo o software assinado pela Microsoft
    Modo Assinado e Respeitável O modo Assinado e Dedutível autoriza os seguintes componentes:

    Alice seleciona o modelo de modo Assinado e Respeitável e, em seguida, Seguinte, aceitando as predefinições para o nome de ficheiro e localização da política.

  4. Em Configurar Modelo de Política - Regras de política, Alice revê o conjunto de opções ativadas para a política. O modelo já tem a maioria das opções definidas conforme recomendado pela Microsoft. As únicas alterações que Alice faz são marcar as opções para o Instalador Gerido e Exigir WHQL. Desta forma, as aplicações instaladas por Intune ou qualquer um dos outros instaladores geridos são automaticamente permitidas e apenas os controladores de kernel criados para Windows 10 ou superior podem ser executados. Selecionar Seguinte avança o assistente.

    Captura de ecrã a mostrar a IU das opções de regras para a política de modo Permitido do Windows.

  5. A página Regras de Ficheiro mostra as regras da política de modelo de modo Assinado e Respeitável. A Alice adiciona a regra do Signatário para confiar no código assinado pela Lamna e as regras de caminho de ficheiro para permitir código em localizações só graváveis pelo administrador nos dois diretórios de Ficheiros de Programa, o diretório do Windows e a pasta Helpdesk da Lamna.

    Para criar cada regra, Alice seleciona + Adicionar Personalizado , que abre a caixa de diálogo Regras Personalizadas onde as condições da regra são definidas. Para a primeira regra, as seleções predefinidas para Âmbito da Regra e Ação de Regra estão corretas. Para a lista pendente Tipo de Regra , a opção Publicador é a opção correta para criar uma regra de Signatário. Em seguida, Alice seleciona Procurar e escolhe um ficheiro assinado por um certificado emitido pela Lamna Codesigning PCA. O Assistente mostra as informações e informações da assinatura obtidas da secção de cabeçalho do recurso (RSRC) do ficheiro, como o nome do produto e o nome do ficheiro original com caixas de verificação por cada elemento. Neste caso, uma vez que pretendem permitir tudo o que foi assinado com os certificados de atribuição de código internos da Lamna, Alice deixa apenas a AC emissora e o Publisher selecionados. Com as condições da regra para o conjunto de regras da Lamna Codesigning PCA, Alice seleciona Criar Regra e vê que a regra está incluída na lista. Alice repete estes passos para o resto das regras personalizadas da Lamna.

    Captura de ecrã que mostra a criação de regras de ficheiro filepublisher personalizadas.

  6. Agora que todas as edições descritas nas pseudo-regras estão concluídas, Alice seleciona Seguinte e o assistente cria os ficheiros de política do Controlo de Aplicações. Os ficheiros de saída incluem um formulário XML e uma forma binária compilada da política. A Alice faz uma revisão superficial do ficheiro de política XML para confirmar que o resultado está correto e, em seguida, fecha o assistente.

A Alice carrega ambos os ficheiros para um repositório do GitHub criado especificamente para os ficheiros de política de controlo de aplicações da Lamna.

A política de arranque da Alice está agora pronta para ser implementada no modo de auditoria nos dispositivos geridos da Lamna.

Considerações de segurança desta política

Para minimizar o potencial de afetar negativamente a produtividade dos utilizadores, Alice definiu uma política que faz várias trocas entre a segurança e a flexibilidade da aplicação do utilizador. Algumas das trocas incluem:

  • Utilizadores com acesso administrativo

    Esta compensação é a troca de segurança mais impactante. Permite que o utilizador do dispositivo, ou software maligno em execução com os privilégios do utilizador, modifique ou remova a política de Controlo de Aplicações no dispositivo. Além disso, os administradores podem configurar qualquer aplicação para atuar como um instalador gerido, o que lhes permitiria obter autorização de aplicação persistente para as aplicações ou binários que desejarem.

    Possíveis mitigações:

    • Para impedir a adulteração de políticas de Controlo de Aplicações, utilize políticas de Controlo de Aplicações assinadas em sistemas com firmware UEFI (Extensible Firmware Interface) Unificado.
    • Para remover a necessidade de confiar no instalador gerido, crie e implemente ficheiros de catálogo assinados ou implemente políticas atualizadas como parte dos procedimentos regulares de implementação de aplicações e atualização de aplicações.
    • Para controlar o acesso a outros recursos e dados empresariais, utilize a medição do tempo de arranque do estado de configuração do Controlo de Aplicações do registo do Grupo de Computação Fidedigno (TCG) com o atestado do dispositivo.

  • Políticas não assinadas

    Qualquer processo em execução como administrador pode substituir ou remover políticas não assinadas sem consequências. Da mesma forma, as políticas suplementares não assinadas podem alterar o "círculo de confiança" de uma política base não assinada que inclua a opção 17 Ativada:Permitir Políticas Suplementares.

    Possíveis mitigações:

    • Para impedir a adulteração de políticas de Controlo de Aplicações, utilize políticas de Controlo de Aplicações assinadas em sistemas com firmware UEFI.
    • Para minimizar o risco, limite quem pode elevar para administrador no dispositivo.

  • Instalador gerido

    Veja considerações de segurança com o instalador gerido

    Possíveis mitigações:

    • Para remover a necessidade de confiar no instalador gerido, crie e implemente ficheiros de catálogo assinados ou implemente políticas atualizadas como parte dos procedimentos regulares de implementação de aplicações e atualização de aplicações.
    • Para minimizar o risco, limite quem pode elevar para administrador no dispositivo.

  • Gráfico de Segurança Inteligente (ISG)

    Ver considerações de segurança com o Gráfico de Segurança Inteligente

    Possíveis mitigações:

    • Para remover a necessidade de confiar no ISG, efetue uma auditoria abrangente da utilização e instalação de aplicações existentes. Integre todas as aplicações que encontrar que não são atualmente geridas para a sua solução de distribuição de software, como Microsoft Intune. Implemente políticas para exigir que as aplicações se tornem geridas por TI. Em seguida, mude do ISG para o instalador gerido, ficheiros de catálogo assinados e/ou regras de política atualizadas e implemente-as como parte dos procedimentos regulares de implementação de aplicações e atualização de aplicações.
    • Para recolher mais dados para utilização em investigações de incidentes de segurança e análises pós-incidente, implemente uma política de controlo de aplicações altamente restritiva no modo de auditoria. Os dados capturados nos registos de eventos do Controlo de Aplicações contêm informações úteis sobre todos os códigos que são executados que não são assinados pelo Windows. Para impedir que a política afete o desempenho e a funcionalidade do dispositivo, certifique-se de que permite minimamente o código do Windows que é executado como parte do processo de arranque.

  • Políticas suplementares

    As políticas suplementares foram concebidas para expandir o "círculo de confiança" definido pela política de base. Se a política de base também não estiver assinada, qualquer processo em execução como administrador pode colocar uma política suplementar não assinada e expandir o "círculo de confiança" da política de base sem restrições.

    Possíveis mitigações:

    • Utilize políticas de Controlo de Aplicações assinadas que permitem apenas políticas suplementares assinadas autorizadas.
    • Utilize uma política de modo de auditoria restritiva para auditar a utilização da aplicação e aumentar a deteção de vulnerabilidades.

  • Regras do FilePath

    Ver mais informações sobre regras de caminhos de ficheiro

    Possíveis mitigações:

    • Limite quem pode elevar para administrador no dispositivo.
    • Transição de regras de caminho de ficheiro para o instalador gerido ou regras baseadas em assinaturas.

  • Software maligno assinado

    A assinatura de código por si só não é uma solução de segurança, mas fornece dois blocos modulares críticos que tornam possível soluções de segurança como o Controlo de Aplicações. Primeiro, a assinatura de código associa fortemente código a uma identidade do mundo real... e uma identidade do mundo real pode enfrentar consequências que uma figura sem nome e sombria responsável por software maligno não assinado não tem. Em segundo lugar, a assinatura de código fornece uma prova criptográfica de que o código em execução permanece inalterado desde que o publicador o assinou. Uma política de controlo de aplicações que requer que todo o código seja assinado ou que a política a permita explicitamente aumenta as apostas e os custos de um atacante. No entanto, ainda existem formas de um atacante motivado assinar e confiar no seu código malicioso, pelo menos durante algum tempo. E mesmo quando o software provém de uma fonte fidedigna, não significa que seja seguro executar. Qualquer código pode expor capacidades avançadas que um ator mal intencionado pode explorar por sua própria intenção. E as vulnerabilidades podem transformar o código mais benigno em algo verdadeiramente perigoso.

    Possíveis mitigações:

    • Utilize um software antimalware ou antivírus respeitável com proteção em tempo real, como Microsoft Defender, para proteger os seus dispositivos de ficheiros maliciosos, adware e outras ameaças.
  • Last updated on