Citiți în limba engleză

Implementați politici de control adaptive ale aplicațiilor

100 XP
  • 12 minute

După ce personalul de operațiuni IT Contoso a activat controalele de aplicație adaptive, aceștia trebuie să configureze o politică de control a aplicației pentru a răspunde recomandărilor.

Configurarea unei noi politici de control al aplicației

Pentru a configura o nouă politică de control a aplicației, în Centrul de securitate, utilizați următoarea procedură:

  1. Selectați fila recomandată pentru o listă de grupuri cu recomandări de control al aplicațiilor:

    O captură de ecran a lamei controalelor de aplicație adaptive. Administratorul a selectat fila Recomandat. Centrul de securitate a recomandat două grupuri de computere pentru aplicarea controalelor de aplicație.

    Lista, sortată după abonamentul Azure, include următoarele informații.

    Nume coloană Descriere
    Nume grup Numele grupului listat cu abonamentul corespunzător.
    Maşini Este numărul de mașini virtuale din grup.
    Stat Starea recomandărilor.
    Severitate Nivelul de severitate al recomandărilor.

  2. După selectarea unui grup, revizuiți Configurarea regulilor de control al aplicației blade.

    O captură de ecran a lamei Configurare reguli de control a aplicației din portalul Azure. Sunt listate mai multe computere și aplicații recomandate.

  3. În secțiunea Selectare mașini, revizuiți lista de mașini virtuale recomandate și deselectați-le pe cele la care nu doriți să aplicați o politică de permisiuni pentru aplicații.

  4. În secțiunea Aplicații recomandate sunt două secțiuni așa cum este descris în tabelul următor.

    Nume secțiune Descriere
    Aplicații recomandate O listă de aplicații care sunt frecvente pe mașinile virtuale din acest grup și pe care Centrul de securitate recomandă să le permiteți să ruleze.
    Mai multe aplicații O listă de aplicații care sunt fie mai puțin frecvente în mașinile virtuale din acest grup, fie care sunt cunoscute ca exploatabile și pe care ar trebui să le revizuiți.

    O captură de ecran a lamei Configurare reguli de control a aplicației din portalul Azure. Mai multe aplicații sunt listate în secțiunea Mai multe aplicații.

  5. Revizuiți aplicațiile din fiecare listă și debifați casetele de selectare ale celor pe care nu doriți să le aplicați. Următorul tabel descrie informațiile pe care le conțin listele.

    Nume coloană Descriere
    Nume Acestea sunt informațiile de certificat pentru fișier sau calea completă a unei aplicații.
    Tipuri de fișiere Acesta este tipul de fișier al aplicației. Acesta poate fi un executabil (.exe), un script, un Microsoft Windows Installer (.msi) sau orice permutare a acestor tipuri de fișiere.
    Exploatat O pictogramă de avertisment indică dacă un hacker rău intenționat ar putea utiliza o anumită aplicație pentru a ocoli o listă de permisiuni pentru aplicație. Ar trebui să examinați aceste aplicații înainte de a le aproba.
    Utilizatorii aceștia sunt utilizatori recomandați să permită rularea unei aplicații.

  6. După ce terminați selecțiile, selectați Audit .

    Notă

    După ce selectați Audit, Centrul de securitate utilizează caracteristica Windows AppLocker și creează automat regulile corespunzătoare în partea de sus a soluției încorporate pentru aplicațiile care permit lista de aplicații disponibile pe serverele care rulează sistemul de operare Windows Server.

Rețineți informațiile din tabelul următor atunci când configurați politica.

Considerație Descriere
Două săptămâni de date necesare Centrul de securitate se bazează pe cel puțin două săptămâni de date pentru a crea o referință și a completa recomandările unice pentru fiecare grup de mașini virtuale. Clienții noi ai nivelului standard al Centrului de securitate ar trebui să se aștepte ca, la început, grupurile lor de mașini virtuale să apară sub fără filă de recomandare.
Nicio asistență pentru politicile AppLocker existente Controalele de aplicație adaptive din Centrul de securitate nu acceptă mașini virtuale pentru care este activată deja o politică AppLocker utilizând un obiect politică de grup (GPO) sau o politică de securitate locală.
Regulile Publisher sunt preferate Ca exemplu de bună practică de securitate, Centrul de securitate va încerca întotdeauna să creeze o regulă de editor pentru aplicațiile care sunt selectate pentru a fi permise. Dacă o aplicație nu are informații despre editor (adică nu este semnată), se va crea o regulă de cale pentru calea completă a aplicației specifice.

Important

La momentul scrierii (iulie 2020), este disponibil doar modul audit.

Editarea și monitorizarea unui grup configurat cu controlul aplicației

După ce ați configurat grupurile necesare, puteți să editați și să monitorizați grupul. Pentru a face acest lucru, parcurgeți următoarea procedură în Centrul de securitate.

  1. Pentru a edita și a monitoriza un grup configurat cu o politică de listă de permisiuni de aplicație, reveniți la controalele de aplicație adaptive blade și selectați configurat.

    O captură de ecran a lamei controalelor de aplicație adaptive. Administratorul a selectat fila Configurat. Se afișează un grup de revizuire.

    Lista, sortată după abonamentul Azure, include următoarele informații.

    Nume coloană Descriere
    Nume grup Numele grupului, listat sub abonamentul corespunzător.
    Maşini Este numărul de mașini virtuale din grup.
    Mod de protecție Jurnalele modului de auditare încearcă să ruleze aplicații care nu se află în lista de permisiuni. dar modul Impunere nu permite rularea aplicațiilor respective.
    Alerte Orice încălcări curente.

  2. Selectați un grup la care doriți să efectuați modificări. Se deschide politica Editare politică de control a aplicației blade.

  3. Selectați setări de grup pentru a efectua orice modificări la setările grupului.

    O captură de ecran a lamei politicii de control a aplicației. Administratorul a selectat setări de grup, iar lama setări de grup se afișează și el.

  4. Pe lama setări grup, în modul de protecție pentru tipul de fișier secțiunea, aveți opțiunea de a selecta între următoarele moduri de protecție a tipului de fișier:

    • audit: în acest mod, soluția de control a aplicației nu impune regulile și auditează doar activitatea pe mașinile virtuale protejate. Acest lucru este recomandat pentru scenariile în care doriți să observați mai întâi comportamentul general înainte de a bloca o aplicație pe mașinile virtuale țintă.
    • Impuneți: în acest mod, soluția de control a aplicației impune regulile, asigurându-vă că aplicațiile care nu au permisiunea de a rula sunt blocate.

    Important

    La momentul scrierii (iulie 2020), este disponibil doar modul audit.

  5. În secțiunea Adăugare mașini la grup, puteți adăuga mașini virtuale și la grup. După ce ați efectuat toate modificările, selectați Se aplică.

  6. Înapoi pe Editare politică de control a aplicației blade, revizuiți încălcările curente listate în secțiunea avertizări recente. Selectați fiecare linie de redirecționat la pagina avertizări din Centrul de securitate și revizuiți toate avertizările care au fost detectate de Centrul de securitate pe mașinile virtuale asociate.

  7. În reguli listă de permisiuni Publisher, Reguli listă de permisiuni caleși reguli listă hash secțiuni, puteți revizui regulile de permisiune pentru aplicații configurate în prezent în mașinile virtuale dintr-un grup, în funcție de tipul de colecție de reguli. Pentru fiecare regulă, puteți revizui regulă, tipurile de fișier , Excepțiiși Utilizatori.

  8. Dacă ați efectuat modificări, selectați Salvați.

Nicio listă de recomandări

Centrul de securitate recomandă doar politici de permitere a aplicațiilor pentru mașinile virtuale care rulează un set stabil de aplicații. Recomandările nu sunt create dacă:

  • VM-ul nu are instalat agentul Azure Log Analytics.
  • Agentul nu trimite evenimente.
  • VM-ul nu este acceptat.

Centrul de securitate listează mașinile virtuale și informațiile despre abonament.

Sfat

Puteți instala agentul Azure Log Analytics pe mașinile virtuale. Agentul colectează apoi datele de care are nevoie Centrul de securitate pentru controalele aplicației.

O captură de ecran a lamei controalelor de aplicație adaptive. Administratorul a selectat fila Fără recomandare. O singură mașini virtuale este listată și descrisă ca agent Lipsă sau nu există evenimente colectate.

Sfat

Centrul de securitate vă permite să definiți o politică de permitere a aplicațiilor pentru Nicio recomandare grupuri de mașini virtuale. Urmați aceleași principii așa cum s-a descris anterior pentru a configura și o politică de permitere a aplicației pentru acele grupuri.

Mutarea unei mașini virtuale dintr-un grup în altul

Puteți muta mașini virtuale dintr-un grup în altul. Atunci când mutați o mașină virtuală în alt grup, politica de control a aplicației aplicată acestuia se modifică la setările grupului în care l-ați mutat.

Sfat

De asemenea, puteți muta o VM dintr-un grup configurat într-un grup neconfigurat, ceea ce duce la eliminarea oricărei politici de control a aplicației care a fost aplicată anterior mașinii virtuale.

Pentru a muta o mașină virtuală dintr-un grup în altul, efectuați următoarea procedură:

  1. Din controale de aplicație adaptive blade, pe fila configurată, selectați grupul de care aparține în prezent VM.
  2. Selectați computerele configurate.
  3. Selectați punctele de suspensie, apoi selectați Mutare.
  4. În Mutați computerul în alt grup fereastră, selectați grupul în care să mutați VM, selectați Mutare computer, apoi selectați Salvare.

O captură de ecran a lamei politicii de control a aplicației, secțiunea Configurare mașini. Administratorul a selectat punctele de suspensie și poate alege între Mutare și ștergere.

Atenție

Asigurați-vă că selectați Salvare după selectarea Mutare computer. Dacă nu, atunci VM-ul nu este mutat în noul său grup.

Unitatea următoare: Verificarea cunoștințelor

Anterior Următorul