Autorizar aplicações de renome com o Gráfico de Segurança Inteligente (ISG)
Observação
Algumas capacidades do Controlo de Aplicações do Windows Defender só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade da funcionalidade Controlo de Aplicações do Windows Defender.
O controlo de aplicações pode ser difícil de implementar em organizações que não implementam e gerem aplicações através de um sistema gerido por TI. Nestes ambientes, os utilizadores podem adquirir as aplicações que pretendem utilizar para trabalhar, dificultando a criação de uma política de controlo de aplicações eficaz.
Para reduzir o atrito do utilizador final e as chamadas de suporte técnico, pode definir o Controlo de Aplicações do Windows Defender (WDAC) para permitir automaticamente aplicações que o Graph de Segurança Inteligente (ISG) da Microsoft reconhece como tendo uma boa reputação conhecida. A opção ISG ajuda as organizações a começar a implementar o controlo de aplicações mesmo quando a organização tem controlo limitado sobre o respetivo ecossistema de aplicações. Para saber mais sobre o ISG, consulte a secção Segurança em Principais serviços e funcionalidades no Microsoft Graph.
Aviso
Os binários críticos para iniciar o sistema têm de ser permitidos através de regras explícitas na sua política WDAC. Não confie no ISG para autorizar estes ficheiros.
A opção ISG não é a forma recomendada de permitir aplicações críticas para a empresa. Deve autorizar sempre aplicações críticas para a empresa através de regras de permissão explícitas ou ao instalá-las com um instalador gerido.
Como funciona o WDAC com o ISG?
O ISG não é uma "lista" de aplicações. Em vez disso, utiliza a mesma vasta análise de machine learning e inteligência de segurança que alimenta o Microsoft Defender SmartScreen e o Antivírus do Microsoft Defender para ajudar a classificar as aplicações como tendo uma reputação "conhecida como boa", "mal conhecida" ou "desconhecida". Esta IA baseada na cloud baseia-se em triliões de sinais recolhidos a partir de pontos finais do Windows e de outras origens de dados e processados a cada 24 horas. Como resultado, a decisão da cloud pode mudar.
O WDAC só verifica o ISG quanto a binários que não são explicitamente permitidos ou negados pela sua política e que não foram instalados por um instalador gerido. Quando um binário deste tipo é executado num sistema com o WDAC ativado com a opção ISG, o WDAC verificará a reputação do ficheiro ao enviar o hash e as informações de assinatura para a cloud. Se o ISG indicar que o ficheiro tem uma reputação de "bem conhecido", o ficheiro terá permissão para ser executado. Caso contrário, será bloqueado pelo WDAC.
Se o ficheiro com boa reputação for um instalador de aplicações, a reputação do instalador será transmitida a todos os ficheiros que escrever no disco. Desta forma, todos os ficheiros necessários para instalar e executar uma aplicação herdam os dados de reputação positivos do instalador. Os ficheiros autorizados com base na reputação do instalador terão a $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) escrito no ficheiro.
O WDAC consulta periodicamente os dados de reputação num ficheiro. Além disso, as empresas podem especificar que os resultados de reputação em cache são eliminados no reinício através da opção Ativado:Invalidar EAs no Reinício .
Configurar a autorização ISG para a política WDAC
Configurar o ISG é fácil ao utilizar qualquer solução de gestão pretendida. A configuração da opção ISG envolve estes passos básicos:
- Certifique-se de que a opção de autorização Ativado:Gráfico de Segurança Inteligente está definida no XML da política WDAC
- Ative os serviços necessários para permitir que o WDAC utilize o ISG corretamente no cliente
Confirme que a opção ISG está definida no XML da política WDAC
Para permitir aplicações e binários com base no Microsoft Intelligent Security Graph, a opção de autorização Enabled:Intelligent Security Graph tem de ser especificada na política do WDAC. Este passo pode ser feito com o cmdlet Set-RuleOption. Também deve definir a opção Ativado:Invalidar EAs no Reinício para que os resultados do ISG sejam verificados novamente após cada reinício. A opção ISG não é recomendada para dispositivos que não têm acesso regular à Internet. O exemplo seguinte mostra ambas as opções definidas.
<Rules>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Enabled:Managed Installer</Option>
</Rule>
<Rule>
<Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
<Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
</Rules>
Ative os serviços necessários para permitir que o WDAC utilize o ISG corretamente no cliente
Para que a heurística utilizada pelo ISG funcione corretamente, outros componentes no Windows têm de estar ativados. Pode configurar estes componentes ao executar o executável appidtel no c:\windows\system32
.
appidtel start
Este passo não é necessário para as políticas WDAC implementadas através de MDM, uma vez que o CSP ativará os componentes necessários. Este passo também não é necessário quando o ISG é configurado com a integração do WDAC do Configuration Manager.
Considerações de segurança com a opção ISG
Uma vez que o ISG é um mecanismo baseado em heurística, não fornece as mesmas garantias de segurança que as regras explícitas de permissão ou negação. É mais adequado onde os utilizadores operam com direitos de utilizador padrão e onde é utilizada uma solução de monitorização de segurança como o Microsoft Defender para Endpoint.
Os processos em execução com privilégios de kernel podem contornar o WDAC ao definir o atributo de ficheiro expandido ISG para fazer com que um binário pareça ter uma boa reputação conhecida.
Além disso, uma vez que a opção ISG passa a reputação dos instaladores de aplicações para os binários que escrevem no disco, pode autorizar ficheiros em alguns casos. Por exemplo, se o instalador iniciar a aplicação após a conclusão, todos os ficheiros que a aplicação escrever durante a primeira execução também serão permitidos.
Limitações conhecidas com a utilização do ISG
Uma vez que o ISG só permite binários que são "conhecidos como bons", existem casos em que o ISG pode não conseguir prever se o software legítimo é seguro para ser executado. Se isso acontecer, o software será bloqueado pelo WDAC. Neste caso, tem de permitir o software com uma regra na sua política WDAC, implementar um catálogo assinado por um certificado fidedigno na política do WDAC ou instalar o software a partir de um instalador gerido pelo WDAC. Os instaladores ou aplicações que criam dinamicamente binários em runtime e aplicações de atualização automática podem apresentar este sintoma.
As aplicações em pacote não são suportadas com o ISG e terão de ser autorizadas separadamente na sua política WDAC. Uma vez que as aplicações em pacote têm uma identidade de aplicação forte e têm de ser assinadas, é simples autorizar aplicações em pacote com a sua política WDAC.
O ISG não autoriza controladores de modo kernel. A política do WDAC deve ter regras que permitem a execução dos drivers necessários.
Observação
Uma regra que negue ou permita explicitamente um ficheiro terá precedência sobre os dados de reputação desse ficheiro. O suporte WDAC incorporado do Microsoft Intune inclui a opção de confiar em aplicações com boa reputação através do ISG, mas não tem a opção de adicionar regras explícitas de permissão ou negação. Na maioria dos casos, os clientes que utilizam o controlo de aplicações terão de implementar uma política WDAC personalizada (que pode incluir a opção ISG, se desejar) com a funcionalidade OMA-URI do Intune.
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de