Freigeben über

Erstellen einer App Control-Richtlinie für vollständig verwaltete Geräte

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

In diesem Abschnitt wird der Prozess zum Erstellen einer App Control for Business-Richtlinie für vollständig verwaltete Geräte innerhalb eines organization beschrieben. Der Hauptunterschied zwischen diesem Szenario und leicht verwalteten Geräten besteht darin, dass die gesamte auf einem vollständig verwalteten Gerät bereitgestellte Software von der IT verwaltet wird und benutzer des Geräts keine beliebigen Apps installieren können. Im Idealfall werden alle Apps mit einer Softwareverteilungslösung wie Microsoft Intune bereitgestellt. Darüber hinaus sollten Benutzer auf vollständig verwalteten Geräten idealerweise als Standardbenutzer ausgeführt werden, und nur autorisierte IT-Experten haben Administratorzugriff.

Hinweis

Einige der in diesem Thema beschriebenen App Control for Business-Optionen sind nur ab Windows 10 Version 1903 oder Windows 11 verfügbar. Wenn Sie dieses Thema verwenden, um Ihre eigenen App-Steuerungsrichtlinien für organization zu planen, überlegen Sie, ob Ihre verwalteten Clients alle oder einige dieser Features verwenden können, und bewerten Sie die Auswirkungen auf Features, die auf Ihren Clients möglicherweise nicht verfügbar sind. Möglicherweise müssen Sie diese Anleitung an die Anforderungen Ihrer spezifischen organization anpassen.

Wie in gängigen App Control for Business-Bereitstellungsszenarien beschrieben, verwenden wir das Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna versucht, strengere Anwendungsrichtlinien einzuführen, einschließlich der Verwendung der App-Steuerung, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.

Alice Pena ist die IT-Teamleiterin, die mit dem Rollout von App Control beauftragt wird.

Alice hat zuvor eine Richtlinie für die leicht verwalteten Geräte des organization erstellt. Einige Geräte werden jedoch strenger verwaltet und können von einer eingeschränkteren Richtlinie profitieren. Insbesondere wird bestimmten Stellenfunktionen wie Verwaltungsmitarbeitern und Mitarbeitern in Erster Linie kein Zugriff auf Ihre Geräte auf Administratorebene gewährt. Auf ähnliche Weise werden freigegebene Kioske nur mit einer verwalteten Gruppe von Apps konfiguriert, und alle Benutzer des Geräts mit Ausnahme der IT werden als Standardbenutzer ausgeführt. Auf diesen Geräten werden alle Apps von der IT bereitgestellt und installiert.

Definieren des "Vertrauenskreises" für vollständig verwaltete Geräte

Alice identifiziert die folgenden Schlüsselfaktoren, um zum "Vertrauenskreis" für die vollständig verwalteten Lamna-Geräte zu gelangen:

  • Alle Clients werden Windows 10 Version 1903 oder höher oder Windows 11 ausgeführt.
  • Alle Clients werden von Configuration Manager oder mit Intune verwaltet.
  • Die meisten, aber nicht alle Apps werden mit Configuration Manager bereitgestellt.
  • Manchmal installieren IT-Mitarbeiter Apps direkt auf diesen Geräten, ohne Configuration Manager zu verwenden;
  • Alle Benutzer mit Ausnahme der IT sind Standardbenutzer auf diesen Geräten.

Das Team von Alice entwickelt eine einfache Konsolenanwendung namens LamnaITInstaller.exe, die für IT-Mitarbeiter zur autorisierten Methode wird, Apps direkt auf Geräten zu installieren. LamnaITInstaller.exe ermöglicht es dem IT-Experten, einen anderen Prozess zu starten, z. B. ein App-Installationsprogramm. Alice konfiguriert LamnaITInstaller.exe als zusätzliches verwaltetes Installationsprogramm für die App-Steuerung und ermöglicht ihr, die Notwendigkeit von Dateipfadregeln zu entfernen.

Basierend auf dem oben genannten definiert Alice die Pseudoregeln für die Richtlinie:

  1. "Windows works" -Regeln, die Folgendes autorisieren:

    • Windows
    • WHQL (Kerneltreiber von Drittanbietern)
    • Signierte Windows Store-Apps

  2. "ConfigMgr funktioniert"-Regeln, die Signaturgeber- und Hashregeln enthalten, damit Configuration Manager Komponenten ordnungsgemäß funktionieren.

  3. Managed Installer zulassen (Configuration Manager und LamnaITInstaller.exe als verwaltetes Installationsprogramm konfiguriert)

Die wichtigsten Unterschiede zwischen diesen Pseudoregeln und den Pseudoregeln, die für die leicht verwalteten Lamna-Geräte definiert sind, sind:

  • Entfernen der Option Intelligent Security Graph (ISG); und
  • Entfernen von Dateipfadregeln.

Erstellen einer benutzerdefinierten Basisrichtlinie mithilfe einer Beispiel-App Control-Basisrichtlinie

Nachdem sie den "Vertrauenskreis" definiert hat, ist Alice bereit, die anfängliche Richtlinie für die vollständig verwalteten Lamna-Geräte zu generieren, und beschließt, Configuration Manager zu verwenden, um die anfängliche Basisrichtlinie zu erstellen und sie dann an die Anforderungen von Lamna anzupassen.

Alice führt die folgenden Schritte aus, um diese Aufgabe auszuführen:

Hinweis

Wenn Sie Configuration Manager nicht verwenden oder eine andere Beispiel-App Control for Business-Basisrichtlinie für Ihre eigene Richtlinie verwenden möchten, fahren Sie mit Schritt 2 fort, und ersetzen Sie den Configuration Manager Richtlinienpfad durch Ihre bevorzugte Beispielbasisrichtlinie.

  1. Verwenden Sie Configuration Manager, um eine Überwachungsrichtlinie auf einem Clientgerät zu erstellen und bereitzustellen, das Windows 10 Version 1903 oder höher oder Windows 11 ausgeführt wird.

  2. Führen Sie auf dem Clientgerät die folgenden Befehle in einer Sitzung mit erhöhten Windows PowerShell aus, um Variablen zu initialisieren:

    $PolicyPath=$env:userprofile+"\Desktop\"
$PolicyName= "Lamna_FullyManagedClients_Audit"
$LamnaPolicy=$PolicyPath+$PolicyName+".xml"
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"

  3. Kopieren Sie die von Configuration Manager erstellte Richtlinie auf den Desktop:

    cp $ConfigMgrPolicy $LamnaPolicy

  4. Geben Sie der neuen Richtlinie eine eindeutige ID, einen beschreibenden Namen und eine anfängliche Versionsnummer:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"

  5. Ändern Sie die kopierte Richtlinie, um Richtlinienregeln festzulegen:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security

  6. Fügen Sie ggf. weitere Signaturgeber- oder Dateiregeln hinzu, um die Richtlinie für Ihre organization weiter anzupassen.

  7. Verwenden Sie ConvertFrom-CIPolicy , um die App Control for Business-Richtlinie in ein Binärformat zu konvertieren:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
$LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin

  8. Laden Sie Ihre Basisrichtlinien-XML und die zugehörige Binärdatei in eine Quellcodeverwaltungslösung wie GitHub oder eine Dokumentverwaltungslösung wie Office 365 SharePoint hoch.

An diesem Punkt verfügt Alice nun über eine anfängliche Richtlinie, die im Überwachungsmodus für die verwalteten Clients in Lamna bereitgestellt werden kann.

Sicherheitsüberlegungen dieser vollständig verwalteten Richtlinie

Alice hat eine Richtlinie für die vollständig verwalteten Lamna-Geräte definiert, die einige Kompromisse zwischen Sicherheit und Verwaltbarkeit für Apps macht. Einige der Kompromisse sind:

  • Benutzer mit Administratorzugriff

    Lamna kann zwar auf weniger Benutzer angewendet werden, ermöglicht aber dennoch einigen IT-Mitarbeitern, sich bei den vollständig verwalteten Geräten als Administrator anzumelden. Diese Berechtigung ermöglicht es diesen Benutzern (oder Schadsoftware, die mit den Berechtigungen des Benutzers ausgeführt wird), die auf dem Gerät angewendete App-Steuerungsrichtlinie zu ändern oder vollständig zu entfernen. Darüber hinaus können Administratoren jede App konfigurieren, die sie als verwaltetes Installationsprogramm verwenden möchten, um eine dauerhafte App-Autorisierung für beliebige Apps oder Binärdateien zu erhalten.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte App-Steuerungsrichtlinien und den UEFI-BIOS-Zugriffsschutz, um manipulationen von App Control-Richtlinien zu verhindern.
    • Erstellen und bereitstellen Sie signierte Katalogdateien im Rahmen des App-Bereitstellungsprozesses, um die Anforderung für ein verwaltetes Installationsprogramm zu entfernen.
    • Verwenden Sie den Gerätenachweis, um den Konfigurationsstatus von App Control zum Startzeitpunkt zu erkennen und diese Informationen zu verwenden, um den Zugriff auf vertrauliche Unternehmensressourcen zu steuern.

  • Richtlinien ohne Vorzeichen

    Nicht signierte Richtlinien können ersetzt oder entfernt werden, ohne dass ein Prozess als Administrator ausgeführt wird. Basisrichtlinien ohne Vorzeichen, die auch zusätzliche Richtlinien aktivieren, können ihren "Vertrauenskreis" durch jede zusätzliche Richtlinie ohne Vorzeichen ändern lassen.

    Vorhandene Angewendete Entschärfungen:

    • Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte App-Steuerungsrichtlinien und den UEFI-BIOS-Zugriffsschutz, um manipulationen von App Control-Richtlinien zu verhindern.

  • Verwaltetes Installationsprogramm

    Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit verwaltetem Installationsprogramm.

    Vorhandene Angewendete Entschärfungen:

    • Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.

    Mögliche Entschärfungen:

    • Erstellen und bereitstellen Sie signierte Katalogdateien im Rahmen des App-Bereitstellungsprozesses, um die Anforderung für ein verwaltetes Installationsprogramm zu entfernen.

  • Ergänzende Richtlinien

    Ergänzende Richtlinien sollen die zugehörige Basisrichtlinie lockern. Durch das Zulassen von nicht signierten Richtlinien kann jeder Administratorprozess den von der Basisrichtlinie definierten "Vertrauenskreis" uneingeschränkt erweitern.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte App Control-Richtlinien, die nur autorisierte signierte ergänzende Richtlinien zulassen.
    • Verwenden Sie eine richtlinie für den restriktiven Überwachungsmodus, um die App-Nutzung zu überwachen und die Erkennung von Sicherheitsrisiken zu verbessern.

Weiter oben