Поделиться через


Создание политики управления приложениями для полностью управляемых устройств

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

В этом разделе описывается процесс создания политики управления приложениями для бизнеса для полностью управляемых устройств в организации. Основное различие между этим сценарием и легко управляемыми устройствами заключается в том, что все программное обеспечение, развернутое на полностью управляемом устройстве, управляется ИТ-службой, и пользователи устройства не могут устанавливать произвольные приложения. В идеале все приложения развертываются с помощью решения для распространения программного обеспечения, например Microsoft Intune. Кроме того, пользователи на полностью управляемых устройствах в идеале должны работать от имени обычного пользователя, и только авторизованные ИТ-специалисты имеют административный доступ.

Примечание.

Некоторые параметры управления приложениями для бизнеса, описанные в этом разделе, доступны только в Windows 10 версии 1903 и выше или Windows 11. При использовании этого раздела для планирования политик управления приложениями в вашей организации подумайте, могут ли управляемые клиенты использовать все или некоторые из этих функций, и оцените влияние на любые функции, которые могут быть недоступны для ваших клиентов. Возможно, вам потребуется адаптировать это руководство в соответствии с потребностями конкретной организации.

Как описано в общих сценариях развертывания управления приложениями для бизнеса, мы будем использовать пример Lamna Healthcare Company (Lamna), чтобы проиллюстрировать этот сценарий. Lamna пытается внедрить более строгие политики приложений, включая использование управления приложениями, чтобы предотвратить запуск нежелательных или несанкционированных приложений на управляемых устройствах.

Алиса Пена является руководителем ИТ-команды, которым поручено развертывание управления приложениями.

Ранее Алиса создала политику для легко управляемых устройств организации. Однако некоторые устройства управляются более жестко и могут воспользоваться преимуществами политики с более ограниченными ограничениями. В частности, некоторым функциям, таким как административный персонал и сотрудники первой линии, не предоставляется доступ к устройствам уровня администратора. Аналогичным образом общие киоски настраиваются только с управляемым набором приложений, и все пользователи устройства, кроме ИТ, работают от имени обычного пользователя. На этих устройствах ИТ-служба развертывает и устанавливает все приложения.

Определение "круга доверия" для полностью управляемых устройств

Алиса определяет следующие ключевые факторы для получения "круга доверия" для полностью управляемых устройств Lamna:

  • Все клиенты работают Windows 10 версии 1903 или более поздней или Windows 11;
  • Все клиенты управляются Configuration Manager или с помощью Intune;
  • Большинство( но не все) приложений развертываются с помощью Configuration Manager;
  • Иногда ИТ-специалисты устанавливают приложения непосредственно на эти устройства без использования Configuration Manager.
  • Все пользователи, кроме ИТ, являются стандартными пользователями на этих устройствах.

Команда Алисы разрабатывает простое консольное приложение под названиемLamnaITInstaller.exe, которое станет авторизованным способом установки приложений непосредственно на устройства для ИТ-специалистов. LamnaITInstaller.exe позволяет ИТ-специалистам запускать другой процесс, например установщик приложений. Алиса настроит LamnaITInstaller.exe в качестве дополнительного управляемого установщика для управления приложениями и позволит ей избавиться от необходимости в правилах пути к файлам.

Основываясь на приведенном выше, Алиса определяет псевдо-правила для политики:

  1. "Windows работает" правила, которые разрешают:

    • Windows
    • WHQL (сторонние драйверы ядра)
    • Приложения, подписанные в Магазине Windows
  2. Правила "ConfigMgr работает", которые включают правила подписывания и хэша для правильной работы компонентов Configuration Manager.

  3. Разрешить управляемый установщик (Configuration Manager и LamnaITInstaller.exe настроен как управляемый установщик)

Критические различия между этим набором псевдо-правил и псевдо-правилами, определенными для легко управляемых устройств Lamna:

  • Удаление параметра Intelligent Security Graph (ISG); и
  • Удаление правил пути к файлам.

Создание настраиваемой базовой политики с помощью примера базовой политики управления приложениями

Определив "круг доверия", Алиса готова создать начальную политику для полностью управляемых устройств Lamna и решает использовать Configuration Manager для создания начальной базовой политики, а затем настроить ее в соответствии с потребностями Lamna.

Чтобы выполнить эту задачу, Алиса выполняет следующие действия:

Примечание.

Если вы не используете Configuration Manager или предпочитаете использовать другую базовую политику управления приложениями для бизнеса для собственной политики, перейдите к шагу 2 и замените путь к Configuration Manager политике предпочитаемым примером базовой политики.

  1. Используйте Configuration Manager для создания и развертывания политики аудита на клиентском устройстве под управлением Windows 10 версии 1903 или более поздней или Windows 11.

  2. На клиентском устройстве выполните следующие команды в сеансе с повышенными привилегиями Windows PowerShell для инициализации переменных:

    $PolicyPath=$env:userprofile+"\Desktop\"
    $PolicyName= "Lamna_FullyManagedClients_Audit"
    $LamnaPolicy=$PolicyPath+$PolicyName+".xml"
    $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
    
  3. Скопируйте политику, созданную Configuration Manager, на рабочий стол:

    cp $ConfigMgrPolicy $LamnaPolicy
    
  4. Присвойте новой политике уникальный идентификатор, описательное имя и номер начальной версии:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
    Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
    
  5. Измените скопированную политику, чтобы задать правила политики:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
    Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
    Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
    Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
    Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
    Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
    Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
    Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
    
  6. При необходимости добавьте дополнительные правила подписывающего или файлового приложения, чтобы настроить политику для организации.

  7. Используйте ConvertFrom-CIPolicy для преобразования политики элемента управления приложениями для бизнеса в двоичный формат:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
    $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
    ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
    
  8. Отправьте базовый XML-код политики и связанный двоичный файл в решение системы управления версиями, например GitHub, или в решение для управления документами, например Office 365 SharePoint.

На этом этапе у Алисы есть начальная политика, которая готова к развертыванию в режиме аудита для управляемых клиентов в Lamna.

Вопросы безопасности этой полностью управляемой политики

Алиса определила политику для полностью управляемых устройств Lamna, которая делает некоторые компромиссы между безопасностью и управляемостью для приложений. Некоторые из компромиссов включают в себя:

  • Пользователи с административным доступом

    Несмотря на то, что Lamna применяется к меньшему количеству пользователей, некоторые ИТ-специалисты по-прежнему могут выполнять вход на полностью управляемые устройства в качестве администратора. Эта привилегия позволяет этим пользователям (или вредоносным программам, запущенным с правами пользователя) изменять или полностью удалять политику управления приложениями, примененную на устройстве. Кроме того, администраторы могут настроить любое приложение, которое они хотят использовать в качестве управляемого установщика, что позволит им получить постоянную авторизацию приложения для любых приложений или двоичных файлов, которые они хотят.

    Возможные способы устранения рисков:

    • Используйте подписанные политики управления приложениями и защиту доступа UEFI BIOS, чтобы предотвратить незаконное изменение политик управления приложениями.
    • Создавайте и развертывайте подписанные файлы каталога в процессе развертывания приложения, чтобы удалить требование к управляемому установщику.
    • Используйте аттестацию устройства, чтобы определить состояние конфигурации элемента управления приложениями во время загрузки и использовать эти сведения для условий доступа к конфиденциальным корпоративным ресурсам.
  • Политики без знака

    Неподписанные политики могут быть заменены или удалены без последствий любым процессом, запущенным от имени администратора. Неподписанные базовые политики, которые также поддерживают дополнительные политики, могут иметь свой "круг доверия", измененный любой дополнительной политикой без знака.

    Примененные существующие меры по устранению рисков:

    • Ограничьте доступ к администратору на устройстве.

    Возможные способы устранения рисков:

    • Используйте подписанные политики управления приложениями и защиту доступа UEFI BIOS, чтобы предотвратить незаконное изменение политик управления приложениями.
  • Управляемый установщик

    Ознакомьтесь с рекомендациями по безопасности с помощью управляемого установщика.

    Примененные существующие меры по устранению рисков:

    • Ограничьте доступ к администратору на устройстве.

    Возможные способы устранения рисков:

    • Создавайте и развертывайте подписанные файлы каталога в процессе развертывания приложения, чтобы удалить требование к управляемому установщику.
  • Дополнительные политики

    Дополнительные политики предназначены для ослаблять связанную базовую политику. Кроме того, разрешение неподписанных политик позволяет любому администратору без ограничений расширять "круг доверия", определенный базовой политикой.

    Возможные способы устранения рисков:

    • Используйте подписанные политики управления приложениями, разрешающие только авторизованные подписанные дополнительные политики.
    • Используйте политику режима ограниченного аудита для аудита использования приложений и расширения обнаружения уязвимостей.

Далее