使用 Intelligent Security Graph (ISG) 授权信誉良好的应用

• 适用于:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender应用程序控制的某些功能仅在特定 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。

在未通过 IT 托管系统部署和管理应用程序的组织中，应用程序控制可能很难实现。 在此类环境中，用户可以获取要用于工作的应用程序，从而难以构建有效的应用程序控制策略。

若要减少最终用户的摩擦和支持人员调用，可以设置Windows Defender应用程序控制 (WDAC) ，以自动允许 Microsoft 的 Intelligent Security Graph (ISG) 识别为具有已知良好信誉的应用程序。 ISG 选项可帮助组织开始实现应用程序控制，即使组织对其应用生态系统的控制有限。 若要了解有关 ISG 的详细信息，请参阅 Microsoft Graph 中主要服务和功能中的“安全性”部分。

警告

必须使用 WDAC 策略中的显式规则允许启动系统的关键二进制文件。 不要依赖 ISG 来授权这些文件。

不建议使用 ISG 选项来允许业务关键型应用。 应始终使用显式允许规则或通过 托管安装程序安装它们来授权业务关键型应用。

WDAC 如何与 ISG 配合使用？

ISG 不是应用的“列表”。 相反，它使用为Microsoft Defender SmartScreen 和Microsoft Defender防病毒提供支持的庞大安全智能和机器学习分析，以帮助将应用程序分类为具有“已知良好”、“已知不良”或“未知”信誉。 这种基于云的 AI 基于从 Windows 终结点和其他数据源收集的数万亿个信号，每 24 小时处理一次。 因此，来自云的决策可能会更改。

WDAC 仅检查 ISG 中策略未明确允许或拒绝的二进制文件，以及托管安装程序未安装的二进制文件。 当此类二进制文件在启用了 ISG 选项的 WDAC 的系统上运行时，WDAC 将通过将其哈希和签名信息发送到云来检查文件的信誉。 如果 ISG 报告文件具有“已知良好”信誉，则将允许该文件运行。 否则，WDAC 会阻止它。

如果信誉良好的文件是应用程序安装程序，则安装程序的信誉将传递给它写入磁盘的任何文件。 这样，安装和运行应用所需的所有文件都会从安装程序继承正面信誉数据。 根据安装程序信誉授权的文件将具有$KERNEL。SMARTLOCKER。ORIGINCLAIM 内核扩展属性 (EA) 写入文件。

WDAC 定期重新查询文件中的信誉数据。 此外，企业可以使用“ 重新启动时启用：使 CA 无效 ”选项来指定在重新启动时刷新任何缓存的信誉结果。

为 WDAC 策略配置 ISG 授权

使用所需的任何管理解决方案都可以轻松设置 ISG。 配置 ISG 选项涉及以下基本步骤：

• 确保在 WDAC 策略 XML 中设置了 Enabled：Intelligent Security Graph 授权 选项
• 启用必要的服务以允许 WDAC 在客户端上正确使用 ISG

确保在 WDAC 策略 XML 中设置 ISG 选项

若要允许基于 Microsoft Intelligent Security Graph 的应用和二进制文件，必须在 WDAC 策略中指定 Enabled：Intelligent Security Graph 授权 选项。 可以使用 Set-RuleOption cmdlet 完成此步骤。 还应设置 “重新启动时启用：使 CA 无效 ”选项，以便在每次重新启动后再次验证 ISG 结果。 对于无法定期访问 Internet 的设备，不建议使用 ISG 选项。 以下示例显示了这两个选项集。

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules> 

启用必要的服务以允许 WDAC 在客户端上正确使用 ISG

为了使 ISG 使用的试探法正常工作，必须启用 Windows 中的其他组件。 可以通过在 中 c:\windows\system32运行 appidtel 可执行文件来配置这些组件。

appidtel start

通过 MDM 部署的 WDAC 策略不需要此步骤，因为 CSP 将启用必要的组件。 使用 Configuration Manager 的 WDAC 集成配置 ISG 时，也不需要执行此步骤。

ISG 选项的安全注意事项

由于 ISG 是基于启发式的机制，因此它不提供与显式允许或拒绝规则相同的安全保障。 它最适合使用标准用户权限进行操作和使用Microsoft Defender for Endpoint等安全监视解决方案的地方。

使用内核特权运行的进程可以通过设置 ISG 扩展文件属性来绕过 WDAC，使二进制文件看起来具有已知的良好信誉。

此外，由于 ISG 选项会将信誉从应用安装程序传递到它们写入磁盘的二进制文件，因此在某些情况下，它可能会过度授权文件。 例如，如果安装程序在完成后启动应用，也将允许应用在第一次运行期间写入的任何文件。

使用 ISG 的已知限制

由于 ISG 仅允许“已知良好”的二进制文件，因此在某些情况下，ISG 可能无法预测合法软件是否可安全运行。 如果发生这种情况，WDAC 将阻止该软件。 在这种情况下，需要允许 WDAC 策略中具有规则的软件，部署由 WDAC 策略中受信任的证书签名的目录，或者从 WDAC 托管安装程序安装软件。 在运行时动态创建二进制文件的安装程序或应用程序以及自我更新应用程序可能会出现此症状。

ISG 不支持打包的应用，需要在 WDAC 策略中单独获得授权。 由于打包的应用具有强大的应用标识并且必须进行签名，因此使用 WDAC 策略 授权打包的应用 非常简单。

ISG 不授权内核模式驱动程序。 WDAC 策略必须采用规则来允许运行必要的驱动程序。

注意

显式拒绝或允许文件的规则将优先于该文件的信誉数据。 Microsoft Intune的内置 WDAC 支持包括通过 ISG 信任信誉良好的应用的选项，但它没有添加显式允许或拒绝规则的选项。 在大多数情况下，使用应用程序控制的客户需要部署自定义 WDAC 策略 (如果需要，该策略可以包括 ISG 选项，) 使用Intune的 OMA-URI 功能。