Авторизация авторитетных приложений с помощью Intelligent Security Graph (ISG)
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Управление приложениями может быть трудно реализовать в организациях, которые не развертывают приложения и не управляют ими с помощью управляемой ИТ-системы. В таких средах пользователи могут приобретать приложения, которые они хотят использовать для работы, что затрудняет создание эффективной политики управления приложениями.
Чтобы уменьшить трения пользователей и вызовы службы технической поддержки, можно настроить управление приложениями для бизнеса, чтобы автоматически разрешать приложениям, которые Microsoft Intelligent Security Graph (ISG) распознают как имеющие хорошую репутацию. Параметр ISG помогает организациям приступить к реализации управления приложениями, даже если организация имеет ограниченный контроль над экосистемой приложений. Дополнительные сведения о isG см. в разделе Безопасность статьи Основные службы и функции в Microsoft Graph.
Warning
Двоичные файлы, критически важные для загрузки системы, должны быть разрешены с помощью явных правил в политике управления приложениями. Не используйте isg для авторизации этих файлов.
Параметр ISG не рекомендуется разрешать приложения, критически важные для бизнеса. Всегда следует авторизовать критически важные бизнес-приложения с помощью явных правил разрешения или путем их установки с помощью управляемого установщика.
Как управление приложениями работает с ISG?
ISG не является "списком" приложений. Скорее, он использует те же обширные средства аналитики безопасности и машинного обучения, которые позволяют Microsoft Defender SmartScreen и антивирусной Microsoft Defender, чтобы помочь классифицировать приложения как "известные хорошие", "известные плохие" или "неизвестные". Этот облачный ИИ основан на триллионах сигналов, собранных из конечных точек Windows и других источников данных, и обрабатывается каждые 24 часа. В результате решение из облака может измениться.
Элемент управления приложениями проверяет isg только на наличие двоичных файлов, которые явно не разрешены или запрещены вашей политикой и которые не были установлены управляемым установщиком. При выполнении такого двоичного файла в системе с включенным параметром ISG элемент управления приложениями будет проверка репутацию файла, отправляя в облако сведения о его хэш-коде и подписывке. Если ISG сообщает, что файл имеет репутацию "известной хорошей", файл будет разрешен к запуску. В противном случае он будет заблокирован элементом управления приложениями.
Если файл с хорошей репутацией является установщиком приложения, репутация установщика будет передаваться всем файлам, которые он записывает на диск. Таким образом, все файлы, необходимые для установки и запуска приложения, наследуют положительные данные о репутации от установщика. Файлы, авторизованные на основе репутации установщика, будут иметь $KERNEL. SMARTLOCKER. ORIGINCLAIM— расширенный атрибут ядра (EA), записанный в файл.
Элемент управления приложениями периодически запросит данные о репутации в файле. Кроме того, предприятия могут указать, что любые кэшированные результаты репутации сбрасываются при перезагрузке с помощью параметра Enabled:Invalidate EAs on Reboot .
Настройка авторизации ISG для политики управления приложениями
Настройка ISG проста с помощью любого решения для управления. Настройка параметра ISG включает следующие основные действия:
- Убедитесь, что параметр авторизации Enabled:Intelligent Security Graph задан в XML-файле политики управления приложениями.
- Включите необходимые службы, чтобы управление приложениями правильно использовало ISG на клиенте.
Убедитесь, что параметр ISG задан в XML-файле политики управления приложениями.
Чтобы разрешить приложения и двоичные файлы на основе Microsoft Intelligent Security Graph, в политике Управления приложениями необходимо указать параметр авторизации Enabled:Intelligent Security Graph . Этот шаг можно выполнить с помощью командлета Set-RuleOption. Также следует задать параметр Enabled:Invalidate EAs on Reboot , чтобы результаты ISG проверялись повторно после каждой перезагрузки. Параметр ISG не рекомендуется использовать для устройств, которые не имеют регулярного доступа к Интернету. В следующем примере показан набор обоих параметров.
<Rules>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Enabled:Managed Installer</Option>
</Rule>
<Rule>
<Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
<Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
</Rules>
Включите необходимые службы, чтобы управление приложениями правильно использовало ISG на клиенте.
Чтобы эвристика, используемая ISG, правильно функционировала, необходимо включить другие компоненты в Windows. Эти компоненты можно настроить, запустив исполняемый файл appidtel в c:\windows\system32.
appidtel start
Этот шаг не требуется для политик управления приложениями, развернутых через MDM, так как CSP включает необходимые компоненты. Этот шаг также не требуется, если isG настроена с помощью интеграции управления приложениями Configuration Manager.
Вопросы безопасности с параметром ISG
Так как ISG является эвристическим механизмом, он не предоставляет те же гарантии безопасности, что и явные правила разрешения или запрета. Он лучше всего подходит, когда пользователи работают со стандартными правами пользователя и где используется решение для мониторинга безопасности, например Microsoft Defender для конечной точки.
Процессы, выполняемые с привилегиями ядра, могут обойти элемент управления приложениями, задав атрибут расширенного файла ISG, чтобы двоичный файл выглядел хорошо известным.
Кроме того, так как параметр ISG передает репутацию от установщиков приложений к двоичным файлам, которые они записывают на диск, в некоторых случаях он может чрезмерно авторизовать файлы. Например, если установщик запускает приложение по завершении, все файлы, записываемые приложением во время этого первого запуска, также будут разрешены.
Известные ограничения при использовании ISG
Так как ISG разрешает только двоичные файлы, которые являются "известными хорошими", бывают случаи, когда ISG может не спрогнозировать, является ли законное программное обеспечение безопасным для запуска. В этом случае программное обеспечение будет заблокировано элементом управления приложениями. В этом случае необходимо разрешить программное обеспечение с правилом в политике управления приложениями, развернуть каталог, подписанный сертификатом, доверенным в политике Управления приложениями, или установить программное обеспечение из управляемого установщика управления приложениями. Установщики или приложения, которые динамически создают двоичные файлы во время выполнения и самообновляющиеся приложения, могут проявлять этот симптом.
Упакованные приложения не поддерживаются в isg и должны быть отдельно авторизованы в политике управления приложениями. Так как упакованные приложения имеют строгое удостоверение приложения и должны быть подписаны, легко авторизовать упакованные приложения с помощью политики управления приложениями.
ISG не авторизует драйверы режима ядра. Политика управления приложениями должна иметь правила, разрешающие выполнение необходимых драйверов.
Примечание.
Правило, явно запрещающее или разрешающее файл, будет иметь приоритет над данными о репутации этого файла. Встроенная поддержка управления приложениями Microsoft Intune включает возможность доверия приложениям с хорошей репутацией через ISG, но он не может добавить явные правила разрешения или запрета. В большинстве случаев клиентам, использующим Элемент управления приложениями, потребуется развернуть настраиваемую политику управления приложениями (которая при необходимости может включать параметр ISG) с помощью функции OMA-URI Intune.