Compartilhar via

Autorizar aplicações de renome com o Gráfico de Segurança Inteligente (ISG)

Observação

Algumas capacidades do Controlo de Aplicações do Windows Defender só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade da funcionalidade Controlo de Aplicações do Windows Defender.

O controlo de aplicações pode ser difícil de implementar em organizações que não implementam e gerem aplicações através de um sistema gerido por TI. Nestes ambientes, os utilizadores podem adquirir as aplicações que pretendem utilizar para trabalhar, dificultando a criação de uma política de controlo de aplicações eficaz.

Para reduzir o atrito do utilizador final e as chamadas de suporte técnico, pode definir o Controlo de Aplicações do Windows Defender (WDAC) para permitir automaticamente aplicações que o Graph de Segurança Inteligente (ISG) da Microsoft reconhece como tendo uma boa reputação conhecida. A opção ISG ajuda as organizações a começar a implementar o controlo de aplicações mesmo quando a organização tem controlo limitado sobre o respetivo ecossistema de aplicações. Para saber mais sobre o ISG, consulte a secção Segurança em Principais serviços e funcionalidades no Microsoft Graph.

Aviso

Os binários críticos para iniciar o sistema têm de ser permitidos através de regras explícitas na sua política WDAC. Não confie no ISG para autorizar estes ficheiros.

A opção ISG não é a forma recomendada de permitir aplicações críticas para a empresa. Deve autorizar sempre aplicações críticas para a empresa através de regras de permissão explícitas ou ao instalá-las com um instalador gerido.

Como funciona o WDAC com o ISG?

O ISG não é uma "lista" de aplicações. Em vez disso, utiliza a mesma vasta análise de machine learning e inteligência de segurança que alimenta o Microsoft Defender SmartScreen e o Antivírus do Microsoft Defender para ajudar a classificar as aplicações como tendo uma reputação "conhecida como boa", "mal conhecida" ou "desconhecida". Esta IA baseada na cloud baseia-se em triliões de sinais recolhidos a partir de pontos finais do Windows e de outras origens de dados e processados a cada 24 horas. Como resultado, a decisão da cloud pode mudar.

O WDAC só verifica o ISG quanto a binários que não são explicitamente permitidos ou negados pela sua política e que não foram instalados por um instalador gerido. Quando um binário deste tipo é executado num sistema com o WDAC ativado com a opção ISG, o WDAC verificará a reputação do ficheiro ao enviar o hash e as informações de assinatura para a cloud. Se o ISG indicar que o ficheiro tem uma reputação de "bem conhecido", o ficheiro terá permissão para ser executado. Caso contrário, será bloqueado pelo WDAC.

Se o ficheiro com boa reputação for um instalador de aplicações, a reputação do instalador será transmitida a todos os ficheiros que escrever no disco. Desta forma, todos os ficheiros necessários para instalar e executar uma aplicação herdam os dados de reputação positivos do instalador. Os ficheiros autorizados com base na reputação do instalador terão a $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) escrito no ficheiro.

O WDAC consulta periodicamente os dados de reputação num ficheiro. Além disso, as empresas podem especificar que os resultados de reputação em cache são eliminados no reinício através da opção Ativado:Invalidar EAs no Reinício .

Configurar a autorização ISG para a política WDAC

Configurar o ISG é fácil ao utilizar qualquer solução de gestão pretendida. A configuração da opção ISG envolve estes passos básicos:

Confirme que a opção ISG está definida no XML da política WDAC

Para permitir aplicações e binários com base no Microsoft Intelligent Security Graph, a opção de autorização Enabled:Intelligent Security Graph tem de ser especificada na política do WDAC. Este passo pode ser feito com o cmdlet Set-RuleOption. Também deve definir a opção Ativado:Invalidar EAs no Reinício para que os resultados do ISG sejam verificados novamente após cada reinício. A opção ISG não é recomendada para dispositivos que não têm acesso regular à Internet. O exemplo seguinte mostra ambas as opções definidas.

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

Ative os serviços necessários para permitir que o WDAC utilize o ISG corretamente no cliente

Para que a heurística utilizada pelo ISG funcione corretamente, outros componentes no Windows têm de estar ativados. Pode configurar estes componentes ao executar o executável appidtel no c:\windows\system32.

appidtel start

Este passo não é necessário para as políticas WDAC implementadas através de MDM, uma vez que o CSP ativará os componentes necessários. Este passo também não é necessário quando o ISG é configurado com a integração do WDAC do Configuration Manager.

Considerações de segurança com a opção ISG

Uma vez que o ISG é um mecanismo baseado em heurística, não fornece as mesmas garantias de segurança que as regras explícitas de permissão ou negação. É mais adequado onde os utilizadores operam com direitos de utilizador padrão e onde é utilizada uma solução de monitorização de segurança como o Microsoft Defender para Endpoint.

Os processos em execução com privilégios de kernel podem contornar o WDAC ao definir o atributo de ficheiro expandido ISG para fazer com que um binário pareça ter uma boa reputação conhecida.

Além disso, uma vez que a opção ISG passa a reputação dos instaladores de aplicações para os binários que escrevem no disco, pode autorizar ficheiros em alguns casos. Por exemplo, se o instalador iniciar a aplicação após a conclusão, todos os ficheiros que a aplicação escrever durante a primeira execução também serão permitidos.

Limitações conhecidas com a utilização do ISG

Uma vez que o ISG só permite binários que são "conhecidos como bons", existem casos em que o ISG pode não conseguir prever se o software legítimo é seguro para ser executado. Se isso acontecer, o software será bloqueado pelo WDAC. Neste caso, tem de permitir o software com uma regra na sua política WDAC, implementar um catálogo assinado por um certificado fidedigno na política do WDAC ou instalar o software a partir de um instalador gerido pelo WDAC. Os instaladores ou aplicações que criam dinamicamente binários em runtime e aplicações de atualização automática podem apresentar este sintoma.

As aplicações em pacote não são suportadas com o ISG e terão de ser autorizadas separadamente na sua política WDAC. Uma vez que as aplicações em pacote têm uma identidade de aplicação forte e têm de ser assinadas, é simples autorizar aplicações em pacote com a sua política WDAC.

O ISG não autoriza controladores de modo kernel. A política do WDAC deve ter regras que permitem a execução dos drivers necessários.

Observação

Uma regra que negue ou permita explicitamente um ficheiro terá precedência sobre os dados de reputação desse ficheiro. O suporte WDAC incorporado do Microsoft Intune inclui a opção de confiar em aplicações com boa reputação através do ISG, mas não tem a opção de adicionar regras explícitas de permissão ou negação. Na maioria dos casos, os clientes que utilizam o controlo de aplicações terão de implementar uma política WDAC personalizada (que pode incluir a opção ISG, se desejar) com a funcionalidade OMA-URI do Intune.