應用程式控制
注意事項
應用程式控制項功能是選擇性的。 您必須 提交要求 才能開啟應用程式控制。
應用程式控制是 Microsoft 受管理的電腦中的選用安全性作法,可限制在用戶端裝置上執行程式碼。
此控制項可降低惡意程式碼或惡意指令碼的風險。 此控制項要求只能執行由客戶核准的發行者清單所簽署的程式碼。 此控制項有許多安全性優點,但主要目的是要保護資料和身分識別免於遭受以用戶端型的惡意探索。
Microsoft 受管理的電腦藉由建立可啟用核心生產力案例的基本原則,簡化應用程式控制原則的管理。 您可以將信任延伸到環境中應用程式和指令碼專屬的其他簽署者。
任何安全性技術都需要在使用者體驗、安全性和成本之間取得平衡。 應用程式控制可降低環境中惡意軟體的威脅,但也會對使用者造成後果,並需要 IT 系統管理員進一步採取動作。
| 其他安全性和責任 | 描述 |
|---|---|
| 其他安全性 | 不受應用程式控制原則信任的應用程式或指令碼會遭到封鎖,無法在裝置上執行。 |
| 您的額外責任 |
|
| Microsoft 受管理的電腦責任 |
|
管理應用程式中的信任
Microsoft 受管理的電腦會策劃信任 Microsoft 技術核心元件的基本原則。 接著,您可以通知 Microsoft 受管理的電腦您已信任的應用程式和指令碼,藉此新增對您自己的應用程式和指令碼的信任。
基本原則
Microsoft 受管理的電腦與 Microsoft 網路安全性專家共同合作,建立並維護一套標準原則。 此標準原則:
- 啟用大部分透過 Microsoft Intune 部署的應用程式。
- 封鎖危險活動,例如程式碼編譯或執行不受信任的檔案。
基本原則會採用下列方法來限制軟體執行:
- 系統管理員所執行的檔案將可允許執行。
- 不在使用者可寫入目錄中位置的檔案將可允許執行。
- 檔案是由信任的簽署者簽署。
- 大部分由 Microsoft 簽署的檔案都會執行,但有些檔案會遭到封鎖,以防止程式碼編譯之類的高風險動作。
如果系統管理員以外的使用者可能已將應用程式或指令碼新增至裝置 (也就是它位於使用者可寫入的目錄) 中,我們將不允許它執行。 如果系統管理員已經允許應用程式或指令碼,我們將允許執行。
在下列案例中,我們的原則會停止執行應用程式:
- 如果使用者受騙嘗試安裝惡意程式碼。
- 如果使用者執行的應用程式中的弱點嘗試安裝惡意程式碼。
- 如果使用者刻意嘗試執行未經授權的應用程式或指令碼。
簽署者要求
您可以藉由提出簽署者要求,通知我們您信任的軟體發行者提供哪些應用程式。 如此一來,我們:
- 會將該信任資訊新增至基準應用程式控制原則。
- 允許任何有該發行者憑證簽署的軟體在您的裝置上執行。
稽核和強制執行原則
Microsoft 受管理的電腦使用 Microsoft Intune 原則來提供應用程式控制:
稽核原則
此原則會建立記錄,以記錄應用程式或指令碼是否會被強制執行的原則封鎖。
稽核原則不會強制執行應用程式控制規則。 它們是用於測試目的,以識別應用程式是否需要發行者豁免。 它會記錄 [事件檢視器] 中的 (8003 或 8006 事件) 警告,而不會封鎖指定應用程式或指令碼的執行或安裝。
強制執行的原則
此原則會封鎖未受信任的應用程式和指令碼執行,並在每次封鎖應用程式或指令碼時建立記錄。 強制執行的原則可防止標準使用者執行儲存在使用者可寫入目錄中的應用程式或指令碼。
測試群組中的裝置已套用稽核原則,以驗證是否有任何應用程式會造成問題。 所有其他群組 (First、Fast 和 Broad) 使用強制執行的原則。 這些群組中的使用者將無法執行不受信任的應用程式或指令碼。