Freigeben über

Verwenden der Smart App Control-Richtlinie zum Erstellen Ihrer Starterrichtlinie

Hinweis

Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.

In diesem Artikel wird beschrieben, wie Sie eine App Control for Business-Richtlinie erstellen, indem Sie die Smart App Control-Richtlinie als Vorlage verwenden. Smart App Control ist eine auf App-Steuerungen basierende Sicherheitslösung, die für Endbenutzer entwickelt wurde. Es verwendet die gleiche Technologie wie App Control for Business, sodass sie einfach als Grundlage für eine ebenso robuste, aber flexible Unternehmensrichtlinie verwendet werden kann.

Tipp

Microsoft empfiehlt die in diesem Artikel erstellte Richtlinie als ideale Startrichtlinie für die meisten App Control-Bereitstellungen auf Endbenutzergeräten. In der Regel sind Organisationen, die noch nicht mit App Control vertraut sind, am erfolgreichsten, wenn sie mit einer freizügigen Richtlinie wie der in diesem Artikel beschriebenen beginnen. Sie können die Richtlinie im Laufe der Zeit härten, um einen stärkeren Gesamtsicherheitsstatus auf Ihren von App Control verwalteten Geräten zu erreichen, wie in späteren Artikeln beschrieben.

Wie bei der Bereitstellung von App Control for Business in verschiedenen Szenarien verwenden wir das fiktive Beispiel von Lamna Healthcare Company (Lamna), um dieses Szenario zu veranschaulichen. Lamna beabsichtigt, strengere Anwendungsrichtlinien einzuführen, einschließlich der Verwendung der App-Steuerung, um zu verhindern, dass unerwünschte oder nicht autorisierte Anwendungen auf ihren verwalteten Geräten ausgeführt werden.

Alice Pena (sie/sie) ist die IT-Teamleiterin, die mit dem Rollout der App-Steuerung beauftragt ist. Lamna verfügt derzeit über gelockerte Anwendungsnutzungsrichtlinien und eine Kultur der maximalen App-Flexibilität für Benutzer. Daher weiß Alice, dass sie einen inkrementellen Ansatz für die App-Steuerung verwenden muss und wahrscheinlich unterschiedliche Richtlinien für verschiedene Benutzersegmente verwenden muss. Aber vorerst möchte Alice eine Richtlinie, die die meisten Benutzer ohne Änderungen abdecken kann, die Richtlinie "Signierte & Seriös" von Smart App Control, die für Lamna angepasst ist.

Analysieren, wie der "Vertrauenskreis" von Smart App Control für Sie passt

Alice folgt den Anweisungen aus dem Artikel Planen der Lebenszyklusverwaltung für App-Steuerungsrichtlinien und analysiert zunächst den "Vertrauenskreis" für die Richtlinie von Smart App Control. Alice liest die Onlinehilfeartikel von Microsoft zu Smart App Control, um es gut zu verstehen. Aus dieser Lektüre erfährt Alice, dass Smart App Control nur öffentlich vertrauenswürdigen signierten oder nicht signierten Code zulässt, den der Intelligent Security Graph (ISG) als sicher vorhersagt. Öffentlich vertrauenswürdiger signierter Code bedeutet, dass der Aussteller des Signaturzertifikats eine der Zertifizierungsstellen im vertrauenswürdigen Stammprogramm von Microsoft ist. Die Ausführung von nicht signiertem Code wird blockiert, wenn die ISG nicht vorhersagen kann, dass der Code sicher ausgeführt werden kann. Und Code, der als unsicher eingestuft wird, wird immer blockiert.

Alice überlegt nun, wie die Richtlinie für die Verwendung von Lamna angepasst werden kann. Alice möchte eine anfängliche Richtlinie erstellen, die so gelockert wie möglich ist, aber dennoch einen dauerhaften Sicherheitswert bietet. Einige innerhalb von Lamna befürworten einen aggressiveren Ansatz als Alice plant. Sie möchten die Geräte von Endbenutzern sofort sperren und hoffen auf begrenzte Fallouts. Aber das Führungsteam stimmt alice zu, dass Lamnas App-Kultur, die sich im Laufe der Zeit langsam gebildet hat, nicht einfach über Nacht verschwinden wird und daher die anfängliche Politik viel Flexibilität erfordert.

Berücksichtigen Sie die wichtigsten Faktoren für Ihre organization

Alice identifiziert als Nächstes die wichtigsten Faktoren in Lamnas Umgebung, die sich auf den "Vertrauenskreis" des Unternehmens auswirken. Die Politik muss flexibel sein, um kurz- und mittelfristig den Bedürfnissen des Unternehmens gerecht zu werden. Dies gibt Lamna Zeit, neue App-Verwaltungsprozesse und -richtlinien einzuführen, um es für eine restriktivere App-Steuerungsrichtlinie in Zukunft praktikabel zu machen. Die wichtigsten Faktoren helfen Alice auch bei der Auswahl, welche Systeme in die erste Bereitstellung einbezogen werden sollen. Alice schreibt diese Faktoren in das Planungsdokument auf:

  • Benutzerberechtigungen: Die meisten Benutzer sind Standardbenutzer, aber fast ein Viertel verfügt über lokale Administratorrechte auf ihren Geräten, und die Option zum Ausführen einer beliebigen App ist ein wichtiger Faktor.
  • Betriebssysteme: Windows 11 die meisten Benutzergeräte ausführt, aber Lamna erwartet, dass etwa 10 % der Clients bis zum nächsten Geschäftsjahr auf Windows 10 bleiben, insbesondere in kleineren Satellitenbüros. Lamnas Server und spezielle Ausrüstung sind zu diesem Zeitpunkt nicht gültig.
  • Clientverwaltung: Lamna verwendet Microsoft Intune für alle Windows 11 Geräte, die als Microsoft Entra cloudnativ bereitgestellt werden. Sie verwenden weiterhin Microsoft Endpoint Configuration Manager (MEMCM) für die meisten Windows 10 Geräte, die als Microsoft Entra Hybrid Join bereitgestellt werden.
  • App-Verwaltung: Lamna verfügt über Hunderte von Branchen-Apps in seinen Geschäftsbereichen. Das Team von Alice stellt die meisten, aber nicht alle dieser Apps mithilfe von Intune bereit. Und es gibt eine lange Reihe von Apps, die von kleineren Teams verwendet werden, einschließlich vieler "Schatten-IT"-Apps, die keine offizielle Charta haben, aber für die Mitarbeiter, die sie verwenden, von entscheidender Bedeutung sind.
  • App-Entwicklung und Codesignierung: Lamna-Geschäftseinheiten sind nicht auf Entwicklungsplattformen und Frameworks standardisiert, sodass eine erhebliche Variabilität und Komplexität wahrscheinlich ist. Fast alle Apps verwenden nicht signierten oder größtenteils unsignierten Code. Obwohl das Unternehmen jetzt codesigning erfordert, stammen die Zertifikate von Lamna aus der unternehmenseigenen Public Key-Infrastruktur (PKI) und erfordern benutzerdefinierte Regeln in der Richtlinie.

Definieren des "Vertrauenskreises" für leicht verwaltete Geräte

Basierend auf diesen Faktoren schreibt Alice die Pseudoregeln für die Lamna-Version der Signierten & Seriöse Richtlinie von Microsoft:

  1. "Windows- und Microsoft-zertifizierte Kerneltreiber" Eine oder mehrere Signaturgeberregeln, die Folgendes zulassen:

    • Windows und seine Komponenten.
    • Kerneltreiber, die von der Zertifizierungsstelle windows Hardware Quality Labs (WHQL) signiert wurden.

  2. "Öffentlich vertrauenswürdiger signierter Code" Eine oder mehrere Signaturgeberregeln, die Folgendes zulassen:

    • Code, der mit Zertifikaten signiert wurde, die von einer beliebigen Zertifizierungsstelle ausgestellt wurden, die am Microsoft Trusted Root Program ("AuthRoot") teilnimmt, oder mit Nicht-Betriebssystemcode, der von Microsoft signiert wurde.

  3. Von Lamna signierter Code Eine oder mehrere Signaturgeberregeln, die Folgendes zulassen:

    • Code signiert von Zertifikaten, die von Lamna Codesigning Private Certificate Authority (PCA) ausgestellt wurden, dem Zwischenzertifikat, das von ihrer eigenen internen PKI ausgestellt wurde.

  4. Zulassen von Apps basierend auf ihrem "Ruf" Eine Richtlinienoption, die Folgendes ermöglicht:

    • Apps, die von der ISG als "sicher" vorhergesagt wurden.

  5. Verwaltetes Installationsprogramm zulassen Eine Richtlinienoption, die Folgendes ermöglicht:

    • Code, der von einem Prozess in das System geschrieben wird, der von der Richtlinie als verwalteter Installer festgelegt wurde. Für die Richtlinie für verwaltete Installationsprogramme von Lamna umfasst Alice die Intune-Verwaltungserweiterung sowie bekannte AutoUpdater-Prozesse für weit verbreitete Apps. Alice enthält auch die Dateipfadregel "D:\ Lamna Helpdesk*", in der die Helpdesk-Administratoren von Lamna geschult werden, um die App-Installationsprogramme und Skripts zu kopieren, die sie zum Reparieren der Apps und Systeme von Benutzern verwenden.

  6. Admin Pfadregeln Mindestens eine Dateipfadregel für die folgenden Speicherorte:

    • "C:\Programme*"
    • "C:\Programme (x86)*"
    • "%windir%*"
    • "D:\Lamna Helpdesk*"

Ändern Sie die Richtlinienvorlage "Signed & Reputable" für Ihre organization

Alice lädt den Assistenten für App-Steuerungsrichtlinien von herunter https://aka.ms/appcontrolwizard und führt ihn aus.

  1. Auf der Willkommensseite sieht Alice drei Optionen: Richtlinienersteller, Richtlinien-Editor und Richtlinienzusammenführung. Alice wählt Richtlinienersteller aus, der sie zur nächsten Seite führt.

  2. Unter Richtlinientyp auswählen muss Alice auswählen, ob eine Richtlinie für das Mehrere Richtlinienformat oder ein einzelnes Richtlinienformat erstellt werden soll. Da alle Geräte der Endbenutzer Windows 11 oder aktuelle Versionen von Windows 10 ausgeführt werden, belässt Alice das Standardformat für mehrere Richtlinien. Ebenso ist die Wahl zwischen Basisrichtlinie und ergänzender Richtlinie einfach und lässt auch hier die Standardbasisrichtlinie ausgewählt. Alice wählt Weiter aus, um den Vorgang fortzusetzen.

  3. Auf der nächsten Seite wählt Alice eine Basisvorlage für die Richtlinie aus. Der App-Steuerelement-Assistent bietet drei Vorlagenrichtlinien, die beim Erstellen einer neuen Basisrichtlinie verwendet werden können. Jede Vorlagenrichtlinie wendet leicht unterschiedliche Regeln an, um den Vertrauenskreis und das Sicherheitsmodell der Richtlinie zu ändern. Die drei Vorlagenrichtlinien sind:

    Screenshot: Auswählen einer Basisvorlage für die Richtlinie

    Basisrichtlinie für Vorlagen Beschreibung
    Windows-Standardmodus Der Standard-Windows-Modus autorisiert die folgenden Komponenten:
    • Komponenten des Windows-Betriebssystems– jede Binärdatei, die von einer neu installierten Windows-Installation installiert wird
    • MSIX-gepackte Apps, die vom Microsoft Store MarketPlace-Signierer signiert wurden
    • Microsoft Office365-Apps, OneDrive und Microsoft Teams
    • WHQL-signierte Treiber
    Microsoft-Modus zulassen Der Microsoft-Modus zulassen autorisiert die folgenden Komponenten:
    • Sämtlicher Code, der im Windows-Standardmodus zulässig ist, plus...
    • Alle von Microsoft signierten Software
    Signierter und seriöser Modus Der signierte und der seriöse Modus autorisiert die folgenden Komponenten:

    Alice wählt die Vorlage Signierter und seriöser Modus und dann Weiter aus, wobei die Standardwerte für den Richtliniendateinamen und -speicherort akzeptiert werden.

  4. Unter Richtlinienvorlage konfigurieren – Richtlinienregeln überprüft Alice die für die Richtlinie aktivierten Optionen. Für die Vorlage sind bereits die meisten Optionen wie von Microsoft empfohlen festgelegt. Die einzigen Änderungen, die Alice vornimmt, sind das Überprüfen der Optionen für verwaltetes Installationsprogramm und WHQL erforderlich. Auf diese Weise werden Apps, die von Intune oder einem der anderen verwalteten Installationsprogramme installiert werden, automatisch zugelassen, und nur Kerneltreiber, die für Windows 10 oder höher erstellt wurden, können ausgeführt werden. Wenn Sie Weiter auswählen, wird der Assistent weiter ausgeführt.

    Screenshot: Benutzeroberfläche für Regeloptionen für die Windows-Richtlinie im zulässigen Modus

  5. Auf der Seite Dateiregeln werden die Regeln aus der Vorlagenrichtlinie signierter und seriöser Modus angezeigt. Alice fügt die Signiererregel hinzu, um lamna-signierten Code zu vertrauen, und die Dateipfadregeln, um Code an nur vom Administrator schreibbaren Speicherorten unter den beiden Verzeichnissen "Programme", dem Windows-Verzeichnis und dem Helpdeskordner von Lamna, zuzulassen.

    Um jede Regel zu erstellen, wählt Alice + Benutzerdefiniert hinzufügen aus, wodurch das Dialogfeld Benutzerdefinierte Regeln geöffnet wird, in dem die Bedingungen für die Regel definiert sind. Für die erste Regel sind die Standardauswahlen für Regelbereich und Regelaktion richtig. Für die Dropdownliste Regeltyp ist die Option Verleger die richtige Wahl, um eine Signaturgeberregel zu erstellen. Alice wählt dann Durchsuchen aus und wählt eine Datei aus, die von einem Zertifikat signiert wurde, das vom Lamna Codesigning PCA ausgestellt wurde. Der Assistent zeigt die Signaturinformationen und Informationen an, die aus dem Ressourcenheaderabschnitt (RESOURCE Header Section, RSRC) der Datei abgerufen wurden, z. B. produktname und der ursprüngliche Dateiname mit Kontrollkästchen für jedes Element. Da sie in diesem Fall alles zulassen möchten, was mit den internen Codesigning-Zertifikaten von Lamna signiert wurde, lässt Alice nur ausstellende Zertifizierungsstelle und Herausgeber aktiviert. Mit den Regelbedingungen für den Lamna Codesigning PCA-Regelsatz wählt Alice Regel erstellen aus und sieht, dass die Regel in der Liste enthalten ist. Alice wiederholt diese Schritte für die restlichen benutzerdefinierten Lamna-Regeln.

    Screenshot: Erstellen einer benutzerdefinierten Dateipublisher-Dateiregel

  6. Nachdem alle in den Pseudoregeln beschriebenen Änderungen ausgeführt wurden, wählt Alice Weiter aus, und der Assistent erstellt die App Control-Richtliniendateien. Die Ausgabedateien enthalten ein XML-Formular und eine kompilierte Binärform der Richtlinie. Alice führt eine cursorische Überprüfung der XML-Richtliniendatei durch, um zu bestätigen, dass das Ergebnis gut aussieht, und schließt dann den Assistenten.

Alice lädt beide Dateien in ein GitHub-Repository hoch, das speziell für Die App-Steuerungsrichtliniendateien von Lamna erstellt wurde.

Die Startrichtlinie von Alice kann jetzt im Überwachungsmodus auf den von Lamna verwalteten Geräten bereitgestellt werden.

Sicherheitsüberlegungen dieser Richtlinie

Um die Potenziellen negativen Auswirkungen auf die Benutzerproduktivität zu minimieren, hat Alice eine Richtlinie definiert, die mehrere Kompromisse zwischen Sicherheit und Flexibilität der Benutzer-App vornimmt. Einige der Kompromisse sind:

  • Benutzer mit Administratorzugriff

    Dieser Kompromiss ist der wirkungsvollste Sicherheitskonflikt. Es ermöglicht dem Gerätebenutzer oder schadsoftware, die mit den Berechtigungen des Benutzers ausgeführt wird, die App-Steuerungsrichtlinie auf dem Gerät zu ändern oder zu entfernen. Darüber hinaus können Administratoren jede App so konfigurieren, dass sie als verwaltetes Installationsprogramm fungiert, sodass sie eine dauerhafte App-Autorisierung für beliebige Apps oder Binärdateien erhalten können.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte App Control-Richtlinien auf Systemen, auf denen UEFI-Firmware (Unified Extensible Firmware Interface) ausgeführt wird, um Manipulationen von App Control-Richtlinien zu verhindern.
    • Um das vertrauende verwaltete Installationsprogramm zu entfernen, erstellen und stellen Sie signierte Katalogdateien bereit, oder stellen Sie aktualisierte Richtlinien als Teil Ihrer regulären App-Bereitstellungs- und App-Aktualisierungsverfahren bereit.
    • Um den Zugriff auf andere Unternehmensressourcen und -daten zu steuern, verwenden Sie die Startzeitmessung des App Control-Konfigurationsstatus aus dem TCG-Protokoll (Trusted Computing Group) mit Gerätenachweis.

  • Richtlinien ohne Vorzeichen

    Jeder Prozess, der als Administrator ausgeführt wird, kann nicht signierte Richtlinien ohne Konsequenzen ersetzen oder entfernen. Ebenso können zusätzliche Richtlinien ohne Vorzeichen den "Vertrauenskreis" für eine Basisrichtlinie ohne Vorzeichen ändern, die Option 17 Aktiviert:Zusätzliche Richtlinien zulassen enthält.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte App-Steuerungsrichtlinien auf Systemen, auf denen UEFI-Firmware ausgeführt wird, um Manipulationen von App-Steuerungsrichtlinien zu verhindern.
    • Um das Risiko zu minimieren, schränken Sie ein, wer auf dem Gerät auf Administratorrechte erhöhen kann.

  • Verwaltetes Installationsprogramm

    Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit verwaltetem Installationsprogramm.

    Mögliche Entschärfungen:

    • Um das vertrauende verwaltete Installationsprogramm zu entfernen, erstellen und stellen Sie signierte Katalogdateien bereit, oder stellen Sie aktualisierte Richtlinien als Teil Ihrer regulären App-Bereitstellungs- und App-Aktualisierungsverfahren bereit.
    • Um das Risiko zu minimieren, schränken Sie ein, wer auf dem Gerät auf Administratorrechte erhöhen kann.

  • Intelligent Security Graph (ISG)

    Weitere Informationen finden Sie unter Sicherheitsüberlegungen mit dem Intelligenten Sicherheitsgraphen.

    Mögliche Entschärfungen:

    • Um die Notwendigkeit einer vertrauenswürdigen ISG zu beseitigen, führen Sie eine umfassende Überwachung der vorhandenen App-Nutzung und -Installation durch. Integrieren Sie alle Apps, die Sie finden, die derzeit nicht für Ihre Softwareverteilungslösung verwaltet werden, z. B. Microsoft Intune. Implementieren Sie Richtlinien, damit Apps von der IT verwaltet werden. Wechseln Sie dann von ISG zu verwaltetem Installationsprogramm, signierten Katalogdateien und/oder aktualisierten Richtlinienregeln, und stellen Sie sie als Teil Ihrer regulären App-Bereitstellungs- und App-Aktualisierungsprozeduren bereit.
    • Um weitere Daten für die Verwendung bei Sicherheitsvorfällen und Überprüfungen nach vorfällen zu sammeln, stellen Sie eine stark restriktive App-Steuerungsrichtlinie im Überwachungsmodus bereit. Die in den App Control-Ereignisprotokollen erfassten Daten enthalten nützliche Informationen zu allen Code, der nicht von Windows signiert ausgeführt wird. Um zu verhindern, dass ihre Richtlinie die Leistung und Funktionalität Ihres Geräts beeinträchtigt, stellen Sie sicher, dass windows-Code, der als Teil des Startvorgangs ausgeführt wird, minimal zulässt.

  • Ergänzende Richtlinien

    Ergänzende Richtlinien sollen den von der Basisrichtlinie definierten "Vertrauenskreis" erweitern. Wenn die Basisrichtlinie ebenfalls nicht signiert ist, kann jeder Prozess, der als Administrator ausgeführt wird, eine nicht signierte ergänzende Richtlinie platzieren und den "Vertrauenskreis" der Basisrichtlinie uneingeschränkt erweitern.

    Mögliche Entschärfungen:

    • Verwenden Sie signierte App Control-Richtlinien, die nur autorisierte signierte ergänzende Richtlinien zulassen.
    • Verwenden Sie eine richtlinie für den restriktiven Überwachungsmodus, um die App-Nutzung zu überwachen und die Erkennung von Sicherheitsrisiken zu verbessern.

  • FilePath-Regeln

    Weitere Informationen zu Dateipfadregeln

    Mögliche Entschärfungen:

    • Schränken Sie ein, wer auf dem Gerät die Rechte auf den Administrator erhöhen kann.
    • Übergang von Dateipfadregeln zu verwalteten Installer- oder signaturbasierten Regeln.

  • Signierte Schadsoftware

    Die Codesignierung allein ist keine Sicherheitslösung, bietet aber zwei wichtige Bausteine, die Sicherheitslösungen wie App Control ermöglichen. Erstens verknüpft die Codesignatur Code stark mit einer realen Identität... und eine reale Identität kann Mit Konsequenzen konfrontiert sein, die eine namenlose, schattenlose Figur, die für nicht signierte Schadsoftware verantwortlich ist, nicht hat. Zweitens liefert die Codesignierung einen kryptografischen Beweis dafür, dass der ausgeführte Code seit der Signierung durch den Herausgeber nicht abgestempelt ist. Eine App-Steuerungsrichtlinie, die erfordert, dass der gesamte Code signiert ist oder die Richtlinie dies explizit zulässt, erhöht den Einsatz und die Kosten für einen Angreifer. Es gibt jedoch weiterhin Möglichkeiten für einen motivierten Angreifer, seinen schädlichen Code signiert und vertrauenswürdig zu machen, zumindest für eine Weile. Und selbst wenn Software aus einer vertrauenswürdigen Quelle stammt, bedeutet dies nicht, dass sie sicher ausgeführt werden kann. Jeder Code kann leistungsstarke Funktionen verfügbar machen, die ein böswilliger Akteur für seine eigene böswillige Absicht ausnutzen könnte. Und Sicherheitsrisiken können den harmlosesten Code in etwas wirklich Gefährliches verwandeln.

    Mögliche Entschärfungen:

    • Verwenden Sie eine seriöse Anti-Malware- oder Antivirensoftware mit Echtzeitschutz, z. B. Microsoft Defender, um Ihre Geräte vor schädlichen Dateien, Adware und anderen Bedrohungen zu schützen.