Создание начальной политики с помощью политики управления интеллектуальными приложениями

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

В этой статье описывается создание политики управления приложениями для бизнеса с помощью политики интеллектуального управления приложениями в качестве шаблона. Интеллектуальное управление приложениями — это решение безопасности на основе управления приложениями, предназначенное для пользователей-потребителей. Она использует ту же технологию, что и Управление приложениями для бизнеса, поэтому ее легко использовать в качестве основы для столь же надежной, но гибкой корпоративной политики.

Совет

Корпорация Майкрософт рекомендует политику, созданную в этой статье, в качестве идеальной начальной политики для большинства развертываний управления приложениями на устройствах пользователей. Как правило, организации, не знакомые с Элементом управления приложениями, наиболее успешны, если они начинают с разрешительной политики, как описано в этой статье. Вы можете со временем ужесточить политику, чтобы повысить общую безопасность на устройствах, управляемых элементом управления приложениями, как описано в последующих статьях.

Как и в разделе Управление приложениями для бизнеса в разных сценариях, давайте рассмотрим вымышленный пример Lamna Healthcare Company (Lamna), чтобы проиллюстрировать этот сценарий. Lamna намерена внедрить более строгие политики приложений, включая использование управления приложениями, чтобы предотвратить запуск нежелательных или несанкционированных приложений на управляемых устройствах.

Алиса Пена (она/ она) является руководителем ИТ-команды, которым поручено развертывание управления приложениями. В настоящее время Lamna имеет более строгие политики использования приложений и культуру максимальной гибкости приложений для пользователей. Таким образом, Алиса знает, что им нужно использовать добавочный подход к управлению приложениями и, скорее всего, использовать разные политики для разных сегментов пользователей. Но на данный момент Алиса хочет политику, которая может охватывать большинство пользователей без каких-либо изменений, политика Smart App Control "Подписанный & Авторитет" адаптирована для Lamna.

Анализ того, как "круг доверия" интеллектуального управления приложениями подходит для вас

Алиса следует рекомендациям из статьи Планирование управления жизненным циклом политики управления приложениями и начинает с анализа "круга доверия" для политики интеллектуального управления приложениями. Алиса читает справочные статьи Майкрософт в Интернете об интеллектуальном управлении приложениями, чтобы хорошо понять его. Из этого чтения Алиса узнает, что управление интеллектуальными приложениями разрешает только общедоступный доверенный подписанный код или неподписанный код, который, по прогнозам Intelligent Security Graph (ISG), будет безопасным. Общедоступный доверенный подписанный код означает, что издатель сертификата подписи является одним из центров сертификации (ЦС) в доверенной корневой программе Майкрософт. Неподписанный код блокируется, если ISG не может предсказать, что код является безопасным для выполнения. А код, определенный как небезопасный, всегда блокируется.

Теперь Алиса рассматривает, как адаптировать политику для использования Lamna. Алиса хочет создать начальную политику, которая будет максимально спокойной, но по-прежнему обеспечивает надежную безопасность. Некоторые в Lamna выступают за более агрессивный подход, чем Алиса планирует. Они хотят немедленно заблокировать устройства конечных пользователей и надеяться на ограниченные выпадения. Но команда руководителей соглашается с Алиса, что культура приложений Lamna, сформированная медленно с течением времени, не просто уйдет в одночасье, поэтому первоначальная политика требует большой гибкости.

Учитывайте ключевые факторы, влияющие на вашу организацию

Далее Алиса определяет ключевые факторы, влияющие на среду Lamna, которые влияют на "круг доверия" компании. Политика должна быть гибкой для удовлетворения потребностей бизнеса в краткосрочной и среднесрочной перспективе. Это дает Lamna время для внедрения новых процессов и политик управления приложениями, чтобы сделать его практичным для более ограничительной политики управления приложениями в будущем. Ключевые факторы также помогают Алисе выбрать, какие системы следует включить в первое развертывание. Алиса записывает эти факторы в документ планирования:

• Права пользователя: Большинство пользователей являются обычными пользователями, но почти четверть имеют права локального администратора на своих устройствах, и возможность запуска любого выбранного приложения является одним из основных факторов.
• Операционные системы: Windows 11 работает большинство пользовательских устройств, но Lamna ожидает, что около 10% клиентов останутся на Windows 10 в течение следующего финансового года, особенно в небольших вспомогательных офисах. Серверы и специализированное оборудование Lamna в настоящее время не область.
• Управление клиентами: Lamna использует Microsoft Intune для всех Windows 11 устройств, развернутых как Microsoft Entra облачных. Они по-прежнему используют microsoft Endpoint Configuration Manager (MEMCM) для большинства устройств Windows 10, развернутых Microsoft Entra гибридного присоединения.
• Управление приложениями. Lamna имеет сотни бизнес-приложений (LOB) в своих подразделениях. Команда Алисы развертывает большинство, но не все из этих приложений с помощью Intune. Кроме того, существует длинный ряд приложений, используемых небольшими командами, в том числе многими приложениями "Теневой ИТ", которые не имеют официального устава, но имеют решающее значение для сотрудников, которые их используют.
• Разработка приложений и подписывание кода: Подразделения Lamna не стандартизированы на платформах и платформах разработки, поэтому вероятно, значительная вариативность и сложность. Почти во всех приложениях используется неподписанный или в основном неподписанный код. Хотя компании теперь требуется кодописывание, сертификаты Lamna поступают из корпоративной инфраструктуры открытых ключей (PKI) и требуют настраиваемых правил в политике.

Определение "круга доверия" для легко управляемых устройств

Основываясь на этих факторах, Алиса пишет псевдо-правила для версии Lamna подписанной & авторитетной политики Майкрософт:

1. "Драйверы ядра, сертифицированные для Windows и Майкрософт" Одно или несколько правил подписывающего, разрешающих:

   • Windows и ее компоненты.
   • Драйверы ядра, подписанные центром сертификации Windows Hardware Quality Labs (WHQL).

2. "Общедоступный доверенный подписанный код" Одно или несколько правил подписывающего, разрешающих:

   • Код, подписанный сертификатами, выданными любым центром сертификации, участвующим в доверенной корневой программе Майкрософт ("AuthRoot"), или кодом, не входящим в ОС, подписанным корпорацией Майкрософт.

3. Подписанный код Lamna Одно или несколько правил подписывающего, разрешающих:

   • Код, подписанный сертификатами, выданными из Lamna Codesigning private certificate authority (PCA), промежуточным сертификатом, выданным из собственной внутренней PKI.

4. Разрешить приложения на основе их "репутации" Параметр политики, позволяющий:

   • По прогнозам ISG, приложения будут "безопасными".

5. Разрешить управляемый установщик Параметр политики, позволяющий:

   • Код, написанный в систему процессом, назначенным политикой в качестве управляемого установщика. Для политики управляемого установщика Lamna Алиса включает расширение управления Intune, а также известные процессы автоматического обновления для широко используемых приложений. Алиса также включает правило пути к файлу "D:\ Lamna Helpdesk*", где администраторы службы поддержки Lamna обучены копировать установщики приложений и скрипты, которые они используют для восстановления приложений и систем пользователей.

6. Администратор только правила пути Одно или несколько правил пути к файлам для следующих расположений:

   • "C:\Program Files*"
   • "C:\Program Files (x86)*"
   • "%windir%*"
   • "D:\Lamna Helpdesk*"

Изменение шаблона политики "Подписанный & уважаемый" для вашей организации

Алиса скачивает мастер политики управления приложениями и https://aka.ms/appcontrolwizard запускает его.

1. На странице приветствия Алиса отображает три параметра: "Создатель политики", "Политика Редактор" и "Слияние политик". Алиса выбирает создателя политики , который переносит ее на следующую страницу.

2. В разделе Выбор типа политики Алиса должна выбрать, следует ли создать политику с несколькими политиками или с одним форматом политики . Так как все устройства конечных пользователей работают Windows 11 или текущих версий Windows 10, Алиса оставляет формат множественной политики по умолчанию. Аналогичным образом, выбор между базовой политикой и дополнительной политикой является простым, и здесь также оставляет выбранную базовую политику по умолчанию. Алиса нажимает кнопку Далее , чтобы продолжить.

3. На следующей странице Алиса выберет базовый шаблон для политики. Мастер управления приложениями предлагает три политики шаблонов для использования при создании новой базовой политики. Каждая политика шаблона применяет немного разные правила для изменения своего круга доверия и модели безопасности политики. Ниже приведены три политики шаблонов:

   

   Базовая политика шаблона	Описание
   Режим Windows по умолчанию	Режим Windows по умолчанию авторизует следующие компоненты: Компоненты операционной системы Windows — любой двоичный файл, установленный новой установкой Windows Упакованные приложения MSIX, подписанные подписывателем Microsoft Store MarketPlace Приложения Microsoft Office365, OneDrive и Microsoft Teams Драйверы с подписью WHQL
   Разрешить режим Майкрософт	Разрешить режим Майкрософт авторизует следующие компоненты: Весь код, разрешенный режимом Windows по умолчанию, а также... Все программное обеспечение, подписанное корпорацией Майкрософт
   Подписанный и уважаемый режим	Режимы подписанных и уважаемых авторизуют следующие компоненты: Весь код, разрешенный в режиме "Разрешить Майкрософт", а также...< Файлы, созданные или установленные процессом, настроенным в качестве управляемого установщика Файлы с хорошей репутацией для технологии Intelligent Security Graph Microsoft Defender

   Алиса выбирает шаблон режимов подписанный и авторитетный, а затем далее, принимая значения по умолчанию для имени файла и расположения политики.

4. На странице Настройка шаблона политики — правила политики Алиса проверяет набор параметров, включенных для политики. В шаблоне уже настроено большинство параметров, как рекомендуется корпорацией Майкрософт. Единственными изменениями, которые Алиса вносит, являются проверка параметров управляемого установщика и требовать WHQL. Таким образом, приложения, установленные Intune или другими управляемыми установщиками, автоматически разрешаются, и могут запускаться только драйверы ядра, созданные для Windows 10 или более поздних версий. При нажатии кнопки Далее мастер переходит в действие.

   

5. На странице Правила файлов отображаются правила из политики шаблонов режимов подписанного и авторитетного режима. Алиса добавляет правило signer, чтобы доверять коду, подписанному Lamna, и правила пути к файлам, чтобы разрешить код в расположениях, доступных только администратору, в двух каталогах Program Files, каталоге Windows и папке Lamna's Helpdesk.

   Чтобы создать каждое правило, Алиса выбирает + Добавить пользовательское , что открывает диалоговое окно Настраиваемые правила , в котором определены условия для правила. Для первого правила правильные значения по умолчанию для области правила и действия правила . В раскрывающемся списке Тип правила параметр Publisher является правильным выбором для создания правила подписывателя. Затем Алиса выбирает Обзор и выбирает файл, подписанный сертификатом, выданным Lamna Codesigning PCA. Мастер отображает сведения о сигнатуре и сведения, полученные из раздела заголовка ресурса (RSRC) файла, например название продукта и исходное имя файла с флажками по каждому элементу. В этом случае, так как они намерены разрешить все, что подписано с внутренними сертификатами Lamna codesigning, Алиса оставляет только выпустить ЦС и издателя . С условиями правила для набора правил Lamna Codesigning PCA Алиса выбирает Создать правило и видит, что правило включено в список. Алиса повторяет эти шаги для остальных пользовательских правил Lamna.

   

6. Теперь, когда все изменения, описанные в псевдо-правилах, выполнены, Алиса нажимает кнопку Далее , и мастер создаст файлы политики управления приложениями. Выходные файлы включают XML-форму и скомпилированную двоичную форму политики. Алиса выполняет беглый просмотр XML-файла политики, чтобы убедиться, что результат выглядит хорошо, а затем закрывает мастер.

Алиса отправляет оба файла в репозиторий GitHub, созданный специально для файлов политики управления приложениями Lamna.

Начальная политика Алисы теперь готова к развертыванию в режиме аудита на управляемых устройствах Lamna.

Вопросы безопасности в этой политике

Чтобы свести к минимуму вероятность негативного влияния на производительность пользователей, Алиса определила политику, которая делает несколько компромиссов между безопасностью и гибкостью пользовательского приложения. Некоторые из компромиссов включают в себя:

• Пользователи с административным доступом

  Этот компромисс является наиболее влияющим компромиссом в области безопасности. Он позволяет пользователю устройства или вредоносному ПО, запущенным с правами пользователя, изменять или удалять политику управления приложениями на устройстве. Кроме того, администраторы могут настроить любое приложение в качестве управляемого установщика, что позволит им получать постоянную авторизацию для любых приложений или двоичных файлов, которые они хотят.

  Возможные способы устранения рисков:

  • Чтобы предотвратить незаконное изменение политик управления приложениями, используйте подписанные политики управления приложениями в системах с встроенным ПО UEFI.
  • Чтобы устранить необходимость в доверии к управляемому установщику, создайте и разверните подписанные файлы каталога или разверните обновленные политики в рамках обычных процедур развертывания и обновления приложений.
  • Чтобы контролировать доступ к другим корпоративным ресурсам и данным, используйте измерение времени загрузки состояния конфигурации управления приложениями из журнала группы доверенных вычислений (TCG) с аттестацией устройства.

• Политики без знака

  Любой процесс, запущенный от имени администратора, может без последствий заменить или удалить неподписанные политики. Аналогичным образом, неподписанные дополнительные политики могут изменять "круг доверия" для неподписаной базовой политики, которая включает параметр 17 Enabled:Allow Дополнительные политики.

  Возможные способы устранения рисков:

  • Чтобы предотвратить незаконное изменение политик управления приложениями, используйте подписанные политики управления приложениями в системах с встроенным ПО UEFI.
  • Чтобы свести к минимуму риск, ограничьте доступ к администратору на устройстве.

• Управляемый установщик

  Ознакомьтесь с рекомендациями по безопасности с помощью управляемого установщика.

  Возможные способы устранения рисков:

  • Чтобы устранить необходимость в доверии к управляемому установщику, создайте и разверните подписанные файлы каталога или разверните обновленные политики в рамках обычных процедур развертывания и обновления приложений.
  • Чтобы свести к минимуму риск, ограничьте доступ к администратору на устройстве.

• Граф интеллектуальной безопасности (ISG)

  Ознакомьтесь с рекомендациями по обеспечению безопасности в графе интеллектуальной безопасности

  Возможные способы устранения рисков:

  • Чтобы устранить необходимость в доверии ISG, выполните комплексный аудит существующего использования и установки приложений. Подключение всех приложений, которые в настоящее время не управляются в вашем решении для распространения программного обеспечения, например Microsoft Intune. Реализуйте политики, чтобы требовать, чтобы приложениями управляла ИТ-служба. Затем перейдите с isg на управляемый установщик, подписанные файлы каталога и (или) обновленные правила политики и развертывайте их в рамках обычных процедур развертывания и обновления приложений.
  • Чтобы собрать больше данных для использования в расследованиях инцидентов безопасности и после инцидентов, разверните политику управления приложениями с высоким уровнем ограничений в режиме аудита. Данные, захваченные в журналах событий элемента управления приложениями, содержат полезные сведения обо всем коде, который выполняется без подписи Windows. Чтобы предотвратить влияние политики на производительность и функциональность устройства, убедитесь, что она минимально разрешает код Windows, который выполняется в процессе загрузки.

• Дополнительные политики

  Дополнительные политики предназначены для расширения "круга доверия", определенного базовой политикой. Если базовая политика также не подписана, любой процесс, выполняющийся от имени администратора, может разместить дополнительную политику без знака и без ограничений расширить круг доверия базовой политики.

  Возможные способы устранения рисков:

  • Используйте подписанные политики управления приложениями, разрешающие только авторизованные подписанные дополнительные политики.
  • Используйте политику режима ограниченного аудита для аудита использования приложений и расширения обнаружения уязвимостей.

• Правила FilePath

  Дополнительные сведения о правилах пути к файлам

  Возможные способы устранения рисков:

  • Ограничьте доступ к администратору на устройстве.
  • Переход с правил пути к файлам на управляемый установщик или правила на основе сигнатур.

• Подписанная вредоносная программа

  Подписывание кода само по себе не является решением безопасности, но оно предоставляет два критически важных стандартных блока, которые делают возможными решения безопасности, такие как управление приложениями. Во-первых, подписывание кода тесно связывает код с реальным удостоверением... и реальная идентификация может столкнуться с последствиями, которые не имеет безымятельная, теневая фигура, ответственная за неподписанные вредоносные программы. Во-вторых, подписывание кода обеспечивает криптографическое подтверждение того, что выполняемый код остается неумерованным с тех пор, как издатель подписал его. Политика управления приложениями, требующая подписи всего кода или явного разрешения политики, повышает ставки и расходы для злоумышленника. Но у мотивированного злоумышленника остаются способы получить подпись и доверие к вредоносному коду, по крайней мере на некоторое время. И даже если программное обеспечение поступает из надежного источника, это не означает, что оно безопасно для работы. Любой код может предоставить мощные возможности, которые злоумышленник может использовать для собственных злонамеренных намерений. И уязвимости могут превратить самый небезопасный код во что-то действительно опасное.

  Возможные способы устранения рисков:

  • Используйте надежное антивирусное или антивирусное программное обеспечение с защитой в режиме реального времени, например Microsoft Defender, чтобы защитить устройства от вредоносных файлов, рекламного ПО и других угроз.

Что следует прочитать дальше

• Дополнительные сведения об управляемых установщиках: как они работают, как их настроить и каковы их ограничения, см. в статье Автоматическое разрешение приложений, развернутых управляемым установщиком.

• Узнайте, как развернуть начальную политику и увидеть ее в действии в статье Развертывание политик управления приложениями для бизнеса.