使用 Intelligent Security Graph (ISG) 授權有信譽的應用程式

• 適用於:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

注意

Windows Defender 應用程式控制的某些功能僅在特定 Windows 版本上可用。 深入了解 Windows Defender 應用控制功能可用性。

在未透過IT管理系統部署和管理應用程式的組織中，應用程控可能難以實作。 在這類環境中，使用者可以取得想要用於工作的應用程式，因此很難建置有效的應用程控原則。

若要減少使用者摩擦和技術服務人員呼叫，您可以將 Windows Defender 應用程控 (WDAC) 設定為自動允許 Microsoft Intelligent Security Graph (ISG) 辨識為具有已知良好信譽的應用程式。 ISG 選項可協助組織開始實作應用程控，即使組織對其應用程式生態系統的控制有限。 若要深入瞭解 ISG，請參閱 Microsoft Graph 中的主要服務和功能中的安全性一節。

警告

必須允許在 WDAC 原則中使用明確規則來開機系統的關鍵二進位檔。 請勿依賴ISG來授權這些檔案。

ISG 選項不是允許業務關鍵應用程式的建議方式。 您應該一律使用明確允許規則或使用受管理的 安裝程式來安裝，來授權業務關鍵應用程式。

WDAC 如何與ISG搭配運作？

ISG 不是應用程式的「清單」。 相反地，它會使用強大的 Microsoft Defender SmartScreen 和 Microsoft Defender 防病毒軟體的相同大量安全性情報和機器學習分析，協助將應用程式分類為具有「已知良好」、「已知錯誤」或「未知」信譽。 此雲端式 AI 是以從 Windows 端點和其他數據源收集的數兆個訊號為基礎，每隔 24 小時處理一次。 因此，來自雲端的決策可能會變更。

WDAC 只會檢查 ISG 是否有原則未明確允許或拒絕且受管理安裝程式未安裝的二進位檔。 當這類二進位檔在使用ISG選項啟用WDAC的系統上執行時，WDAC 會藉由將檔案的哈希和簽署資訊傳送至雲端來檢查檔案的信譽。 如果ISG報告檔案具有「已知的良好」信譽，則允許檔案執行。 否則，WDAC 將會封鎖它。

如果信譽良好的檔案是應用程式安裝程式，安裝程式的信譽將會傳遞至它寫入磁碟的任何檔案。 如此一來，安裝和執行應用程式所需的所有檔案都會從安裝程序繼承正面信譽數據。 根據安裝程式信譽授權的檔案將具有$KERNEL。SMARTLOCKER。ORIGINCLAIM 核心擴充屬性 (寫入檔案的EA) 。

WDAC 會定期重新查詢檔案上的信譽數據。 此外，企業可以使用 Enabled ：Invalidate EAs on Reboot 選項，指定在重新啟動時清除任何快取的信譽結果。

設定 WDAC 原則的 ISG 授權

使用您想要的任何管理解決方案，即可輕鬆地設定ISG。 設定 ISG 選項包含下列基本步驟：

• 確定已在 WDAC 原則 XML 中設定 Enabled ：Intelligent Security Graph 授權 選項
• 啟用必要的服務，以允許 WDAC 在用戶端上正確使用 ISG

確定已在 WDAC 原則 XML 中設定 ISG 選項

若要允許以 Microsoft Intelligent Security Graph 為基礎的應用程式和二進位檔，必須在 WDAC 原則中指定 Enabled ：Intelligent Security Graph 授權 選項。 您可以使用 Set-RuleOption Cmdlet 來完成此步驟。 您也應該設定 Enabled：Invalidate EAs on Reboot 選項，以便在每次重新啟動之後再次驗證 ISG 結果。 對於沒有一般因特網存取權的裝置，不建議使用ISG選項。 下列範例顯示這兩個選項集合。

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

啟用必要的服務，以允許 WDAC 在用戶端上正確使用 ISG

為了讓ISG所使用的啟發學習法正常運作，必須啟用Windows中的其他元件。 您可以在 中執行 appidtel 可執行檔案 c:\windows\system32來設定這些元件。

appidtel start

透過 MDM 部署的 WDAC 原則不需要此步驟，因為 CSP 會啟用必要的元件。 使用 Configuration Manager 的 WDAC 整合設定 ISG 時，也不需要此步驟。

ISG 選項的安全性考慮

由於ISG是以啟發學習法為基礎的機制，因此不會提供與明確允許或拒絕規則相同的安全性保證。 最適合使用者使用標準用戶權力運作的位置，以及使用適用於端點的 Microsoft Defender 等安全性監視解決方案的位置。

使用核心許可權執行的進程可以藉由設定ISG擴充文件屬性，讓二進位檔看起來具有已知的良好信譽，來規避WDAC。

此外，由於ISG選項會將應用程式安裝程式的信譽傳遞至寫入磁碟的二進位檔，因此在某些情況下，它可以過度授權檔案。 例如，如果安裝程式在完成時啟動應用程式，則也會允許應用程式在第一次執行期間寫入的任何檔案。

使用ISG的已知限制

由於ISG只允許「已知良好」的二進位檔，因此在某些情況下，ISG 可能無法預測合法軟體是否安全執行。 如果發生這種情況，WDAC 將會封鎖軟體。 在此情況下，您必須允許具有 WDAC 原則中規則的軟體、部署由 WDAC 原則中信任的憑證所簽署的目錄，或從 WDAC 受管理的安裝程式安裝軟體。 在運行時間動態建立二進位檔並自行更新應用程式的安裝程式或應用程式，可能會呈現此徵兆。

ISG 不支援已封裝的應用程式，而且必須在 WDAC 原則中個別授權。 由於已封裝的應用程式具有強大的應用程式身分識別且必須經過簽署，因此使用您的WDAC原則 授權已封裝的應用程式 相當簡單。

ISG 不會授權核心模式驅動程式。 WDAC 原則必須具有允許所需驅動程式執行的規則。

注意

明確拒絕或允許檔案的規則會優先於該檔案的信譽數據。 Microsoft Intune 的內建 WDAC 支援包含透過ISG信任信譽良好的應用程式的選項，但無法選擇新增明確允許或拒絕規則。 在大部分情況下，使用應用程控的客戶將需要部署自定義 WDAC 原則 (如果需要的話，) 使用 Intune 的 OMA-URI 功能，可以包含 ISG 選項。