Авторизация авторитетных приложений с помощью Intelligent Security Graph (ISG)
Примечание.
Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.
Управление приложениями может быть трудно реализовать в организациях, которые не развертывают приложения и не управляют ими с помощью управляемой ИТ-системы. В таких средах пользователи могут получить приложения, которые они хотят использовать для работы, что усложняет создание эффективной политики управления приложениями.
Чтобы уменьшить трения пользователей и вызовы службы технической поддержки, можно настроить Защитник Windows управление приложениями (WDAC), чтобы автоматически разрешать приложениям, которые microsoft Intelligent Security Graph (ISG) распознают как имеющие хорошую репутацию. Параметр ISG помогает организациям приступить к реализации управления приложениями, даже если организация имеет ограниченный контроль над экосистемой приложений. Дополнительные сведения о isG см. в разделе Безопасность статьи Основные службы и функции в Microsoft Graph.
Warning
Двоичные файлы, критически важные для загрузки системы, должны быть разрешены с помощью явных правил в политике WDAC. Не используйте isg для авторизации этих файлов.
Параметр ISG не рекомендуется разрешать приложения, критически важные для бизнеса. Всегда следует авторизовать критически важные бизнес-приложения с помощью явных правил разрешения или путем их установки с помощью управляемого установщика.
Как WDAC работает с ISG?
ISG не является "списком" приложений. Скорее, он использует те же обширные средства аналитики безопасности и машинного обучения, которые позволяют Microsoft Defender SmartScreen и антивирусной Microsoft Defender, чтобы помочь классифицировать приложения как "известные хорошие", "известные плохие" или "неизвестные". Этот облачный ИИ основан на триллионах сигналов, собранных из конечных точек Windows и других источников данных, и обрабатывается каждые 24 часа. В результате решение из облака может измениться.
WDAC проверяет isG только на наличие двоичных файлов, которые явно не разрешены или запрещены политикой и которые не были установлены управляемым установщиком. Когда такой двоичный файл выполняется в системе с включенным WDAC с параметром ISG, WDAC будет проверка репутацию файла, отправляя его хэш-данные и сведения для подписывания в облако. Если ISG сообщает, что файл имеет репутацию "известной хорошей", файл будет разрешен к запуску. В противном случае он будет заблокирован WDAC.
Если файл с хорошей репутацией является установщиком приложения, репутация установщика будет передаваться всем файлам, которые он записывает на диск. Таким образом, все файлы, необходимые для установки и запуска приложения, наследуют положительные данные о репутации от установщика. Файлы, авторизованные на основе репутации установщика, будут иметь $KERNEL. SMARTLOCKER. ORIGINCLAIM— расширенный атрибут ядра (EA), записанный в файл.
WDAC периодически запросит данные репутации в файле. Кроме того, предприятия могут указать, что любые кэшированные результаты репутации сбрасываются при перезагрузке с помощью параметра Enabled:Invalidate EAs on Reboot .
Настройка авторизации ISG для политики WDAC
Настройка ISG проста с помощью любого решения для управления. Настройка параметра ISG включает следующие основные действия:
- Убедитесь, что параметр авторизации Enabled:Intelligent Security Graph задан в XML-файле политики WDAC.
- Включите необходимые службы, чтобы разрешить WDAC правильно использовать ISG на клиенте
Убедитесь, что параметр ISG задан в XML-файле политики WDAC.
Чтобы разрешить приложения и двоичные файлы на основе Microsoft Intelligent Security Graph, в политике WDAC необходимо указать параметр авторизации Enabled:Intelligent Security Graph . Этот шаг можно выполнить с помощью командлета Set-RuleOption. Также следует задать параметр Enabled:Invalidate EAs on Reboot , чтобы результаты ISG проверялись повторно после каждой перезагрузки. Параметр ISG не рекомендуется использовать для устройств, которые не имеют регулярного доступа к Интернету. В следующем примере показан набор обоих параметров.
<Rules>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Enabled:Managed Installer</Option>
</Rule>
<Rule>
<Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
<Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
</Rules>
Включите необходимые службы, чтобы разрешить WDAC правильно использовать ISG на клиенте
Чтобы эвристика, используемая ISG, правильно функционировала, необходимо включить другие компоненты в Windows. Эти компоненты можно настроить, запустив исполняемый файл appidtel в c:\windows\system32.
appidtel start
Этот шаг не требуется для политик WDAC, развернутых через MDM, так как CSP включает необходимые компоненты. Этот шаг также не требуется, если isg настроена с помощью интеграции WDAC Configuration Manager.
Вопросы безопасности с параметром ISG
Так как ISG является эвристическим механизмом, он не предоставляет те же гарантии безопасности, что и явные правила разрешения или запрета. Он лучше всего подходит, когда пользователи работают со стандартными правами пользователя и где используется решение для мониторинга безопасности, например Microsoft Defender для конечной точки.
Процессы, выполняемые с привилегиями ядра, могут обойти WDAC, задав атрибут расширенного файла ISG, чтобы двоичный файл, казалось бы, имеет хорошую репутацию.
Кроме того, так как параметр ISG передает репутацию от установщиков приложений к двоичным файлам, которые они записывают на диск, в некоторых случаях он может чрезмерно авторизовать файлы. Например, если установщик запускает приложение по завершении, все файлы, записываемые приложением во время этого первого запуска, также будут разрешены.
Известные ограничения при использовании ISG
Так как ISG разрешает только двоичные файлы, которые являются "известными хорошими", бывают случаи, когда ISG может не спрогнозировать, является ли законное программное обеспечение безопасным для запуска. В этом случае программное обеспечение будет заблокировано WDAC. В этом случае необходимо разрешить программное обеспечение с правилом в политике WDAC, развернуть каталог, подписанный сертификатом, доверенным в политике WDAC, или установить программное обеспечение из управляемого установщика WDAC. Установщики или приложения, которые динамически создают двоичные файлы во время выполнения и самообновляющиеся приложения, могут проявлять этот симптом.
Упакованные приложения не поддерживаются isg и должны быть отдельно авторизованы в политике WDAC. Так как упакованные приложения имеют строгое удостоверение приложения и должны быть подписаны, легко авторизовать упакованные приложения с помощью политики WDAC.
ISG не авторизует драйверы режима ядра. В политике WDAC должны присутствовать правила, разрешающие запуск необходимых драйверов.
Примечание.
Правило, явно запрещающее или разрешающее файл, будет иметь приоритет над данными о репутации этого файла. встроенная поддержка WDAC Microsoft Intune включает возможность доверять приложениям с хорошей репутацией через ISG, но он не может добавить явные правила разрешения или запрета. В большинстве случаев клиентам, использующим управление приложениями, потребуется развернуть настраиваемую политику WDAC (которая при необходимости может включать параметр ISG) с помощью функции OMA-URI Intune.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по