Поделиться через


Планирование управления жизненным циклом управления приложениями для бизнеса

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

В этой статье описываются решения, необходимые для создания процессов управления политиками управления приложениями для бизнеса и их поддержки.

Управление жизненным циклом XML политики

Первым шагом в реализации управления приложениями является рассмотрение того, как политики будут управляться и поддерживаться с течением времени. Разработка процесса управления политиками управления приложениями для бизнеса помогает гарантировать, что управление приложениями продолжает эффективно контролировать, как приложения могут запускаться в вашей организации.

Большинство политик управления приложениями для бизнеса будут со временем развиваться и проходить через набор идентифицируемых этапов в течение их жизненного цикла. Как правило, к этим этапам относятся:

  1. Определите (или уточните) "круг доверия" для политики и создайте версию XML-кода политики в режиме аудита. В режиме аудита создаются события блоков, но файлы не препятствуют выполнению.
  2. Разверните политику режима аудита на предполагаемых устройствах.
  3. Отслеживайте события блоков аудита с предполагаемых устройств и добавляйте, редактируйте и удаляйте правила по мере необходимости для устранения непредвиденных или нежелательных блоков.
  4. Повторите шаги 2–3 до тех пор, пока оставшиеся события блока не соответствуют ожиданиям.
  5. Создайте версию политики в принудительном режиме . В принудительном режиме запрещается запуск файлов, которые политика не разрешает, и создаются соответствующие события блоков.
  6. Разверните политику принудительного режима на предполагаемых устройствах. Мы рекомендуем использовать поэтапные развертывания для принудительных политик, чтобы обнаруживать проблемы и реагировать на них перед развертыванием политики в широком смысле.
  7. Повторите шаги 1–6 при изменении требуемого "круга доверия".

Рекомендуемый процесс развертывания политики управления приложениями.

Сохранение политик управления приложениями в системе управления версиями или в решении для управления документами

Чтобы эффективно управлять политиками управления приложениями для бизнеса, следует хранить XML-документы политики в центральном репозитории, который доступен всем, кто отвечает за управление политиками управления приложениями. Мы рекомендуем решение системы управления версиями, например GitHub, или решение для управления документами, например Office 365 SharePoint, которое обеспечивает управление версиями и позволяет указывать метаданные о XML-документах.

Задайте метаданные PolicyName, PolicyID и Version для каждой политики.

Используйте командлет Set-CIPolicyIDInfo , чтобы присвоить каждой политике описательное имя и задать уникальный идентификатор политики. Эти уникальные атрибуты помогают различать каждую политику при просмотре событий управления приложениями для бизнеса или при просмотре XML-документа политики. Хотя можно указать строковое значение для PolicyId, для политик, использующих формат нескольких политик, рекомендуется использовать параметр -ResetPolicyId, чтобы позволить системе автоматически создать уникальный идентификатор политики.

Примечание.

PolicyID применяется только к политикам, использующим формат нескольких политик на компьютерах под управлением Windows 10, версии 1903 и выше или Windows 11. Запуск -ResetPolicyId в политике, созданной для компьютеров до 1903, преобразует его в несколько форматов политики и не позволит запустить его в более ранних версиях Windows 10. PolicyID следует задавать только один раз для каждой политики и использовать разные идентификаторы политики для версий аудита и принудительного режима каждой политики.

Кроме того, рекомендуется использовать командлет Set-CIPolicyVersion , чтобы увеличить внутренний номер версии политики при внесении изменений в политику. Версия должна быть определена как стандартная четырехкомпонентная строка версии (например, 1.0.0.0).

Обновления правил политики

Вам может потребоваться изменить политику при развертывании новых приложений или обновлении существующих приложений издателем программного обеспечения, чтобы убедиться, что приложения работают правильно. Требуются ли обновления правил политики, будет в значительной мере зависеть от типов правил, которые содержит ваша политика. Правила, основанные на сертификатах codesigning, обеспечивают наибольшую устойчивость к изменениям приложения, в то время как правила, основанные на атрибутах файла или хэшах, скорее всего, потребуют обновления при изменении приложений. Кроме того, если вы используете функциональность управляемого установщика управления приложениями и последовательно развертываете все приложения и их обновления с помощью управляемого установщика, то вам менее вероятно, потребуются обновления политики.

Управление событиями элемента управления приложениями

Каждый раз, когда элемент управления приложениями блокирует процесс, события записываются в журналы событий CodeIntegrity\Operational или AppLocker\MSI и Script Windows. Событие описывает файл, который пытался запустить, атрибуты этого файла и его сигнатуры, а также процесс, который пытался запустить заблокированный файл.

Сбор этих событий в централизованном расположении помогает поддерживать политику управления приложениями для бизнеса и устранять проблемы с конфигурацией правил. Агент Azure Monitor можно использовать для автоматического сбора событий управления приложениями для анализа.

Кроме того, Microsoft Defender для конечной точки собирает события управления приложениями, которые можно запрашивать с помощью расширенной функции охоты.

Политика поддержки приложений и пользователей

Ниже приведены рекомендации.

  • Какой тип поддержки конечных пользователей предоставляется для заблокированных приложений?
  • Как добавляются новые правила в политику?
  • Как обновляются существующие правила?
  • Перенаправляются ли события на проверку?

Поддержка службы технической поддержки

Если в вашей организации есть созданный отдел поддержки, при развертывании политик управления приложениями для бизнеса учитывайте следующие моменты:

  • Какая документация требуется вашему отделу поддержки для развертывания новых политик?
  • Какие критически важные процессы в каждой бизнес-группе как в рабочем потоке, так и во времени, на которые будут влиять политики управления приложениями, и как они могут повлиять на рабочую нагрузку отдела поддержки?
  • Кто является контактами в отделе поддержки?
  • Как отдел поддержки будет устранять проблемы управления приложениями между конечным пользователем и теми ресурсами, которые поддерживают правила управления приложениями для бизнеса?

Поддержка конечных пользователей

Так как элемент управления приложениями для бизнеса предотвращает запуск неутвержденных приложений, важно, чтобы ваша организация тщательно планировала предоставление поддержки конечным пользователям. Ниже приведены рекомендации.

  • Хотите ли вы использовать сайт интрасети в качестве первой линии поддержки для пользователей, которые пытаются запустить заблокированное приложение?
  • Как вы хотите поддерживать исключения из политики? Разрешите ли вы пользователям запускать скрипт, чтобы временно разрешить доступ к заблокированным приложениям?

Документирование плана

После принятия решения о том, как ваша организация будет управлять политикой Управления приложениями для бизнеса, запишите полученные результаты.

  • Политика поддержки конечных пользователей. Задокументируйте процесс обработки звонков от пользователей, которые пытались запустить заблокированное приложение, и убедитесь, что сотрудники службы поддержки имеют четкие шаги эскалации, чтобы администратор при необходимости смог обновить политику Управления приложениями для бизнеса.
  • Обработка событий. Задокументируйте, будут ли события собираться в центральном расположении, называемом хранилищем, как это хранилище будет архивироваться и будут ли эти события обрабатываться для анализа.
  • Управление политиками. Подробные сведения о запланированных политиках, способах управления ими и о том, как правила будут поддерживаться с течением времени.