Поделиться через

Создание политики WDAC для полностью управляемых устройств

Примечание.

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этом разделе описывается процесс создания политики управления приложениями Защитник Windows (WDAC) для полностью управляемых устройств в организации. Основное различие между этим сценарием и легко управляемыми устройствами заключается в том, что все программное обеспечение, развернутое на полностью управляемом устройстве, управляется ИТ-службой, и пользователи устройства не могут устанавливать произвольные приложения. В идеале все приложения развертываются с помощью решения для распространения программного обеспечения, например Microsoft Intune. Кроме того, пользователи на полностью управляемых устройствах в идеале должны работать от имени обычного пользователя, и только авторизованные ИТ-специалисты имеют административный доступ.

Примечание.

Некоторые из Защитник Windows параметров управления приложениями, описанные в этом разделе, доступны только в Windows 10 версии 1903 и выше или Windows 11. При использовании этого раздела для планирования политик WDAC вашей организации следует учитывать, могут ли управляемые клиенты использовать все или некоторые из этих функций, а также оценить влияние на любые функции, которые могут быть недоступны для ваших клиентов. Возможно, вам потребуется адаптировать это руководство в соответствии с потребностями конкретной организации.

Как описано в распространенных сценариях Защитник Windows развертывания управления приложениями, мы будем использовать пример Lamna Healthcare Company (Lamna), чтобы проиллюстрировать этот сценарий. Lamna пытается внедрить более строгие политики приложений, включая использование управления приложениями, чтобы предотвратить запуск нежелательных или несанкционированных приложений на управляемых устройствах.

Алиса Пена является руководителем ИТ-команды, которым поручено развертывание WDAC.

Ранее Алиса создала политику для легко управляемых устройств организации. Однако некоторые устройства управляются более жестко и могут воспользоваться преимуществами политики с более ограниченными ограничениями. В частности, некоторым функциям, таким как административный персонал и сотрудники первой линии, не предоставляется доступ к устройствам уровня администратора. Аналогичным образом общие киоски настраиваются только с управляемым набором приложений, и все пользователи устройства, кроме ИТ, работают от имени обычного пользователя. На этих устройствах ИТ-служба развертывает и устанавливает все приложения.

Определение "круга доверия" для полностью управляемых устройств

Алиса определяет следующие ключевые факторы для получения "круга доверия" для полностью управляемых устройств Lamna:

  • Все клиенты работают Windows 10 версии 1903 или более поздней или Windows 11;
  • Все клиенты управляются Configuration Manager или с помощью Intune;
  • Большинство( но не все) приложений развертываются с помощью Configuration Manager;
  • Иногда ИТ-специалисты устанавливают приложения непосредственно на эти устройства без использования Configuration Manager.
  • Все пользователи, кроме ИТ, являются стандартными пользователями на этих устройствах.

Команда Алисы разрабатывает простое консольное приложение под названиемLamnaITInstaller.exe, которое станет авторизованным способом установки приложений непосредственно на устройства для ИТ-специалистов. LamnaITInstaller.exe позволяет ИТ-специалистам запускать другой процесс, например установщик приложений. Алиса настроит LamnaITInstaller.exe в качестве дополнительного управляемого установщика для WDAC и позволит ей устранить необходимость в правилах пути к файлам.

Основываясь на приведенном выше, Алиса определяет псевдо-правила для политики:

  1. "Windows работает" правила, которые разрешают:

    • Windows
    • WHQL (сторонние драйверы ядра)
    • Приложения, подписанные в Магазине Windows

  2. Правила "ConfigMgr работает", которые включают правила подписывания и хэша для правильной работы компонентов Configuration Manager.

  3. Разрешить управляемый установщик (Configuration Manager и LamnaITInstaller.exe настроен как управляемый установщик)

Критические различия между этим набором псевдо-правил и псевдо-правилами, определенными для легко управляемых устройств Lamna:

  • Удаление параметра Intelligent Security Graph (ISG); И
  • Удаление правил пути к файлам.

Создание настраиваемой базовой политики с помощью примера базовой политики WDAC

Определив "круг доверия", Алиса готова создать начальную политику для полностью управляемых устройств Lamna и решает использовать Configuration Manager для создания начальной базовой политики, а затем настроить ее в соответствии с потребностями Lamna.

Чтобы выполнить эту задачу, Алиса выполняет следующие действия:

Примечание.

Если вы не используете Configuration Manager или предпочитаете использовать другой пример Защитник Windows базовой политики управления приложениями для собственной политики, перейдите к шагу 2 и замените путь политики Configuration Manager предпочитаемым примером базовой политики.

  1. Используйте Configuration Manager для создания и развертывания политики аудита на клиентском устройстве под управлением Windows 10 версии 1903 или более поздней или Windows 11.

  2. На клиентском устройстве выполните следующие команды в сеансе с повышенными привилегиями Windows PowerShell для инициализации переменных:

    $PolicyPath=$env:userprofile+"\Desktop\"
$PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$PolicyPath+$PolicyName+".xml"
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"

  3. Скопируйте политику, созданную Configuration Manager, на рабочий стол:

    cp $ConfigMgrPolicy $LamnaPolicy

  4. Присвойте новой политике уникальный идентификатор, описательное имя и номер начальной версии:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"

  5. Измените скопированную политику, чтобы задать правила политики:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security

  6. При необходимости добавьте дополнительные правила подписывающего или файлового приложения, чтобы настроить политику для организации.

  7. Используйте ConvertFrom-CIPolicy для преобразования политики управления приложениями Защитник Windows в двоичный формат:

     [xml]$PolicyXML = Get-Content $LamnaPolicy
 $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
 ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin

  8. Отправьте базовый XML-код политики и связанный двоичный файл в решение системы управления версиями, например GitHub, или в решение для управления документами, например Office 365 SharePoint.

На этом этапе у Алисы есть начальная политика, которая готова к развертыванию в режиме аудита для управляемых клиентов в Lamna.

Вопросы безопасности этой полностью управляемой политики

Алиса определила политику для полностью управляемых устройств Lamna, которая делает некоторые компромиссы между безопасностью и управляемостью для приложений. Некоторые из компромиссов включают в себя:

  • Пользователи с административным доступом
    Несмотря на то, что Lamna применяется к меньшему количеству пользователей, некоторые ИТ-специалисты по-прежнему могут выполнять вход на полностью управляемые устройства в качестве администратора. Эта привилегия позволяет этим пользователям (или вредоносным программам, работающим с правами пользователя) изменять или полностью удалять политику WDAC, применяемую на устройстве. Кроме того, администраторы могут настроить любое приложение, которое они хотят использовать в качестве управляемого установщика, что позволит им получить постоянную авторизацию приложения для любых приложений или двоичных файлов, которые они хотят.

    Возможные способы устранения рисков:

    • Используйте подписанные политики WDAC и защиту доступа UEFI BIOS, чтобы предотвратить незаконное изменение политик WDAC.
    • Создавайте и развертывайте подписанные файлы каталога в процессе развертывания приложения, чтобы удалить требование к управляемому установщику.
    • Используйте аттестацию устройства, чтобы определить состояние конфигурации WDAC во время загрузки и использовать эти сведения для условий доступа к конфиденциальным корпоративным ресурсам.

  • Политики без знака
    Неподписанные политики могут быть заменены или удалены без последствий любым процессом, запущенным от имени администратора. Неподписанные базовые политики, которые также поддерживают дополнительные политики, могут иметь свой "круг доверия", измененный любой дополнительной политикой без знака.

    Примененные существующие меры по устранению рисков:

    • Ограничьте доступ к администратору на устройстве.

    Возможные способы устранения рисков:

    • Используйте подписанные политики WDAC и защиту доступа UEFI BIOS, чтобы предотвратить незаконное изменение политик WDAC.

  • Управляемый установщик
    Ознакомьтесь с рекомендациями по безопасности с помощью управляемого установщика.

    Примененные существующие меры по устранению рисков:

    • Ограничьте доступ к администратору на устройстве.

    Возможные способы устранения рисков:

    • Создавайте и развертывайте подписанные файлы каталога в процессе развертывания приложения, чтобы удалить требование к управляемому установщику.

  • Дополнительные политики
    Дополнительные политики предназначены для ослаблять связанную базовую политику. Кроме того, разрешение неподписанных политик позволяет любому администратору без ограничений расширять "круг доверия", определенный базовой политикой.

    Возможные способы устранения рисков:

    • Используйте подписанные политики WDAC, разрешающие только авторизованные подписанные дополнительные политики.
    • Используйте политику режима ограниченного аудита для аудита использования приложений и расширения обнаружения уязвимостей.

Далее