了解Windows Defender应用程序控制策略设计决策
注意
Windows Defender应用程序控制 (WDAC) 的某些功能仅在特定的 Windows 版本上可用。 详细了解Windows Defender应用程序控制功能可用性。
本文面向 IT 专业人员。 其中列出了在 Windows 操作系统环境中使用 Windows Defender 应用程序控制 (WDAC) 规划应用程序控制策略部署时所做的决策的设计问题、可能的答案和影响。
开始设计和规划过程时,应考虑设计选择的影响。 生成的决策将影响策略部署方案和后续应用程序控制策略维护。
如果存在以下情况,应考虑将 Windows Defender 应用程序控制用作组织应用程序控制策略的一部分:
- 你已部署或计划在你的组织中部署受支持的 Windows 版本。
- 需要改进对组织应用程序的访问和用户访问的数据的控制。
- 你的组织有一个定义完善的应用程序管理和部署过程。
- 你有资源来根据组织的要求测试策略。
- 你有资源来让技术支持参与,或者为最终用户应用程序访问问题构建自助流程。
- 组对工作效率、可管理性和安全性的要求可以由限制性策略控制。
确定要创建的策略
从 Windows 10 版本 1903 开始,Windows Defender应用程序控制允许将多个同时策略应用于每个设备。 此并发应用程序为组织开辟了许多新的用例,但如果没有精心策划要创建的策略的数量和类型的计划,策略管理很容易变得笨手笨脚。
第一步是为 WDAC 策略定义所需的“信任圈”。 我们所说的“信任圈”是指用自然语言表达的策略的业务意图的描述。 在为策略 XML 创建实际策略规则时,此“信任圈”定义将指导你。
例如,可在 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies 下找到的 DefaultWindows 策略建立了一个允许 Windows、第三方硬件和软件内核驱动程序以及来自 Microsoft Store 的应用程序的“信任圈”。
Configuration Manager使用 DefaultWindows 策略作为其策略的基础,但随后修改策略规则以允许Configuration Manager及其依赖项,设置托管安装程序策略规则,并将Configuration Manager配置为托管安装程序。 它还可以选择授权信誉为正的应用,并执行Configuration Manager管理员指定的文件夹路径的一次性扫描,这将为托管终结点上的指定路径中找到的任何应用添加规则。 此过程为Configuration Manager的本机 WDAC 集成建立“信任圈”。
以下问题可帮助你规划Windows Defender应用程序控制部署,并确定策略的正确“信任圈”。 它们不是优先级或顺序,也不是一组详尽的设计注意事项。
WDAC 设计注意事项
如何在组织中管理和部署应用?
具有明确定义、集中管理的应用管理和部署流程的组织可以创建更严格、更安全的策略。 其他组织可能能够使用更宽松的规则部署Windows Defender应用程序控制,或者可以选择在审核模式下部署 WDAC,以便更好地了解其组织中正在使用的应用。
| 可能的答案 | 设计注意事项 |
|---|---|
| 所有应用都使用终结点管理工具(如 Microsoft Intune)进行集中管理和部署。 | 集中管理所有应用的组织最适合用于应用程序控制。 Windows Defender应用程序控制选项(如托管安装程序)可以轻松授权由组织的应用分发管理解决方案部署的应用。 |
| 某些应用是集中管理和部署的,但团队可以为其成员安装其他应用。 | 补充策略可用于允许核心组织范围的Windows Defender应用程序控制策略出现特定于团队的异常。 或者,团队可以使用托管安装程序来安装特定于团队的应用,或者仅管理员文件路径规则可用于允许管理员用户安装应用。 |
| 用户和团队可以免费下载和安装应用,但组织希望将权限限制为普遍且信誉良好的应用。 | Windows Defender应用程序控制可以与 Microsoft 的 Intelligent Security Graph 集成, (支持Microsoft Defender防病毒和Windows Defender SmartScreen) 的智能源,以仅允许具有良好信誉的应用和二进制文件。 |
| 用户和团队可以自由下载和安装应用,不受限制。 | Windows Defender应用程序控制策略可以在审核模式下部署,以深入了解组织中运行的应用和二进制文件,而不会影响用户和团队的工作效率。 |
内部开发的业务线 (LOB) 应用和由第三方公司开发的应用是否经过数字签名?
Windows 上的传统 Win32 应用无需数字签名即可运行。 这种做法可能会向恶意或篡改的代码公开 Windows 设备,并给 Windows 设备带来安全漏洞。 在组织的应用开发实践中采用代码签名,或者在应用引入和分发过程中使用已签名的目录文件扩充应用,可以大大提高所用应用的完整性和安全性。
| 可能的答案 | 设计注意事项 |
|---|---|
| 组织中使用的所有应用都必须签名。 | 对所有可执行代码强制实施 代码签名 的组织处于最佳位置,以保护其 Windows 计算机免受恶意代码执行的影响。 可以创建Windows Defender应用程序控制规则来授权来自组织内部开发团队和受信任的独立软件供应商的应用和二进制文件 (ISV) 。 |
| 组织中使用的应用不需要满足任何代码签名要求。 | 组织 可以使用内置 Windows 工具 将组织特定的应用目录签名添加到现有应用,作为应用部署过程的一部分,这可用于授权代码执行。 Microsoft Intune等解决方案提供多种分发已签名应用程序目录的方法。 |
组织中是否有需要自定义应用程序控制策略的特定组?
大多数业务团队或部门都有与数据访问和用于访问该数据的应用程序相关的特定安全要求。 在为整个组织部署应用程序控制策略之前,请考虑每个组的项目范围和组的优先级。 管理策略会产生开销,这可能会导致你在广泛的组织范围策略和多个特定于团队的策略之间进行选择。
| 可能的答案 | 设计注意事项 |
|---|---|
| 是 | 可以为每个团队创建唯一的 WDAC 策略,也可以使用特定于团队的补充策略来扩展通用的、集中定义的基本策略所允许的内容。 |
| 否 | WDAC 策略可以全局应用于在运行Windows 10和Windows 11的电脑上安装的应用程序。 根据需要控制的应用数量,管理所有规则和例外可能具有挑战性。 |
IT 部门是否具有资源来分析应用程序使用情况以及设计和管理策略?
可用于执行研究和分析的时间和资源可能会影响计划的详细信息和流程,以便持续策略管理和维护。
| 可能的答案 | 设计注意事项 |
|---|---|
| 是 | 投入时间分析组织的应用程序控制要求,并规划使用尽可能构建的规则的完整部署。 |
| 否 | 使用少量规则,考虑针对特定组进行重点分阶段部署。 将控件应用于特定组中的应用程序时,请从该部署中学习,以规划下一个部署。 或者,可以创建具有广泛信任配置文件的策略,以授权尽可能多的应用。 |
你的组织是否具有技术支持支持?
阻止用户访问已知、已部署或个人应用程序最初会导致最终用户支持增加。 必须解决组织中的各种支持问题,以便遵循安全策略,并且不会妨碍业务工作流。
| 可能的答案 | 设计注意事项 |
|---|---|
| 是 | 在规划阶段的早期让支持部门参与进来,因为用户可能会无意中被阻止使用其应用程序,或者他们可能会寻求例外来使用特定应用程序。 |
| 否 | 在部署之前投入时间开发联机支持流程和文档。 |
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈