瞭解 Windows Defender 應用程控原則設計決策
注意
Windows Defender 應用程控 (WDAC) 的某些功能僅適用於特定 Windows 版本。 深入了解 Windows Defender 應用控制功能可用性。
本文適用於 IT 專業人員。 它會列出在 Windows 作業系統環境中使用 Windows Defender 應用程控 (WDAC) 來規劃應用程控原則部署時,所做決策的設計問題、可能的答案和影響。
當您開始設計和規劃程式時,應該考慮設計選擇的影響。 產生的決策會影響您的原則部署配置和後續的應用程控原則維護。
如果下列情況成立,您應該考慮使用 Windows Defender 應用程控作為組織應用程控原則的一部分:
- 您已部署或計劃在組織中部署支援的 Windows 版本。
- 您需要改善對組織應用程式存取權的控制,以及使用者存取的數據。
- 您的組織具有妥善定義的應用程式管理和部署程式。
- 您有資源可根據組織的需求來測試原則。
- 您有資源可讓技術支援中心參與,或建置使用者應用程式存取問題的自助程式。
- 群組的生產力、管理性和安全性需求可由限制性原則來控制。
決定要建立的原則
從 Windows 10 版本 1903 開始,Windows Defender 應用程控允許將 多個同時 的原則套用至每個裝置。 此併行應用程式會為組織開啟許多新的使用案例,但您的原則管理可以輕鬆地變得簡便,而不需要妥善規劃要建立的原則數目和類型。
第一個步驟是定義 WDAC 原則所需的「信任圈」。 透過「信任圈」,我們指的是以自然語言表示之原則的商業意圖描述。 當您建立原則 XML 的實際原則規則時,此「信任圈」定義會引導您。
例如,可以在 %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies 底下找到的 DefaultWindows 原則會建立一個「信任圈」,允許 Windows、第三方硬體和軟體核心驅動程式,以及來自 Microsoft Store 的應用程式。
Configuration Manager 會使用 DefaultWindows 原則作為其原則的基礎,但接著修改原則規則以允許 Configuration Manager 及其相依性、設定受管理的安裝程式原則規則,以及另外將 Configuration Manager 設定為受管理的安裝程式。 它也可以選擇性地授權信譽良好的應用程式,並執行 Configuration Manager 系統管理員所指定資料夾路徑的一次性掃描,這會為在受控端點上指定的路徑中找到的任何應用程式新增規則。 此程式會建立 Configuration Manager 原生 WDAC 整合的「信任圈」。
下列問題可協助您規劃 Windows Defender 應用程控部署,並判斷您原則的正確「信任圈」。 它們不是優先順序或循序順序,並不是一組詳盡的設計考慮。
WDAC 設計考慮
如何在組織中管理和部署應用程式?
具有妥善定義、集中管理的應用程式管理和部署程序的組織,可以建立更嚴格、更安全的原則。 其他組織可能能夠使用更寬鬆的規則來部署 Windows Defender 應用程控,或選擇在稽核模式中部署 WDAC,以更清楚地瞭解其組織中使用的應用程式。
| 可能的答案 | 設計考量 |
|---|---|
| 所有應用程式都會使用 Microsoft Intune 之類的端點管理工具進行集中管理和部署。 | 集中管理所有應用程式的組織最適合用於應用程控。 受控 安裝程式 等 Windows Defender 應用程控選項可讓您輕鬆地授權組織應用程式散發管理解決方案所部署的應用程式。 |
| 有些應用程式會集中管理和部署,但小組可以為其成員安裝其他應用程式。 | 補充原則 可用來允許整個組織的核心 Windows Defender 應用程控原則的小組特定例外狀況。 或者,小組可以使用受管理的安裝程式來安裝其小組特定應用程式,或使用僅限系統管理員的檔案路徑規則來允許系統管理員使用者安裝應用程式。 |
| 使用者和小組可以免費下載和安裝應用程式,但組織只想要將該許可權限限為普遍且有信譽的應用程式。 | Windows Defender 應用程控可以與 Microsoft 的 Intelligent Security Graph 整合, (支援 Microsoft Defender 防病毒軟體和 Windows Defender SmartScreen) 的相同情報來源,只允許具有正面信譽的應用程式和二進位檔。 |
| 使用者和小組可以免費下載並安裝應用程式,而不受限制。 | 您可以在稽核模式中部署 Windows Defender 應用程控原則,以深入瞭解組織中執行的應用程式和二進位檔,而不會影響使用者和小組生產力。 |
內部開發的企業營運 (LOB 是否) 由第三方公司開發的應用程式和應用程式進行數字簽署?
Windows 上的傳統 Win32 應用程式不需要經過數位簽署即可執行。 此做法可能會讓 Windows 裝置暴露於惡意或竄改的程式代碼,並且對您的 Windows 裝置造成安全性弱點。 採用程式代碼簽署作為組織應用程式開發實務的一部分,或在應用程式內嵌和散發過程中使用已簽署的類別目錄檔案來擴充應用程式,可大幅改善所使用應用程式的完整性和安全性。
| 可能的答案 | 設計考量 |
|---|---|
| 您組織中使用的所有應用程式都必須經過簽署。 | 針對所有可執行程式代碼強制執行程式 碼簽署的 組織,最適合用來保護其 Windows 電腦免於惡意代碼執行。 您可以建立 Windows Defender 應用程控規則,以授權來自組織內部開發小組和受信任獨立軟體廠商的應用程式和二進位檔, (ISV) 。 |
| 組織中使用的應用程式不需要符合任何程式代碼簽署需求。 | 組織可以 使用內建的 Windows 工具 ,將組織特定的應用程式類別目錄簽章新增至現有的應用程式,作為應用程式部署程式的一部分,以用來授權程式碼執行。 Microsoft Intune 之類的解決方案提供多種方式來散發已簽署的應用程式類別目錄。 |
組織中是否有需要自定義應用程控原則的特定群組?
大部分的商務小組或部門都有與數據存取和用來存取該數據的應用程式相關的特定安全性需求。 在您為整個組織部署應用程控原則之前,請考慮每個群組的專案範圍和群組的優先順序。 管理原則會產生額外負荷,可能會導致您在廣泛、全組織的原則和多個小組專屬原則之間進行選擇。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 您可以為每個小組建立唯一的 WDAC 原則,或使用小組特定的補充原則來擴充一般、集中定義的基底原則所允許的專案。 |
| 否 | WDAC 原則可以全域套用至安裝在執行 Windows 10 和 Windows 11 之電腦上的應用程式。 根據您需要控制的應用程式數目,管理所有規則和例外狀況可能會是一項挑戰。 |
您的 IT 部門是否有資源可分析應用程式使用量,以及設計和管理原則?
您可以用來執行研究和分析的時間和資源,可能會影響計劃和程式的詳細數據,以繼續進行原則管理和維護。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 請投入時間來分析組織的應用程控需求,並規劃使用盡可能建構之規則的完整部署。 |
| 否 | 請使用少數規則,考慮針對特定群組進行焦點和階段式部署。 當您將控制項套用至特定群組中的應用程式時,請從該部署中學習以規劃下一個部署。 或者,您可以建立具有廣泛信任配置文件的原則,以盡可能授權多個應用程式。 |
您的組織是否有技術支援中心?
防止使用者存取已知、已部署或個人應用程式,一開始會導致用戶支援增加。 您必須解決組織中的各種支持問題,以便遵循安全策略,而不會妨礙商務工作流程。
| 可能的答案 | 設計考量 |
|---|---|
| 是 | 在規劃階段初期就與支援部門連絡,因為您的使用者可能會不小心遭到封鎖而無法使用其應用程式,或者他們可能會尋求使用特定應用程式的例外狀況。 |
| 否 | 在部署之前,請投入時間開發在線支援程式和檔。 |
意見反應
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交並檢視相關的意見反應