Compartilhar via


Criar uma política de Controlo de Aplicações para dispositivos geridos levemente

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Esta secção descreve o processo de criação de uma política de Controlo de Aplicações para Empresas para dispositivos ligeiramente geridos numa organização. Normalmente, as organizações novas no Controlo de Aplicações serão mais bem-sucedidas se começarem com uma política permissiva como a descrita neste artigo. As organizações podem optar por proteger a política ao longo do tempo para alcançar uma postura de segurança geral mais forte nos respetivos dispositivos geridos pelo Controlo de Aplicações, conforme descrito em artigos posteriores.

Observação

Algumas das opções do Controlo de Aplicações para Empresas descritas neste tópico só estão disponíveis na Windows 10 versão 1903 e superior ou Windows 11. Ao utilizar este tópico para planear as políticas de Controlo de Aplicações da sua própria organização, considere se os clientes geridos podem utilizar todas ou algumas destas funcionalidades e avaliar o impacto de quaisquer funcionalidades que possam estar indisponíveis nos seus clientes. Poderá ter de adaptar esta documentação de orientação para satisfazer as necessidades da sua organização específica.

Tal como na implementação do Controlo de Aplicações para Empresas em diferentes cenários: tipos de dispositivos, vamos utilizar o exemplo da Lamna Healthcare Company (Lamna) para ilustrar este cenário. A Lamna está a tentar adotar políticas de aplicação mais fortes, incluindo a utilização do Controlo de Aplicações para impedir que aplicações indesejadas ou não autorizadas sejam executadas nos respetivos dispositivos geridos.

Alice Pena é a líder da equipa de TI encarregada da implementação do Controlo de Aplicações. Atualmente, a Lamna tem políticas de utilização de aplicações soltas e uma cultura de máxima flexibilidade de aplicações para os utilizadores. Por isso, Alice sabe que terá de adotar uma abordagem incremental ao Controlo de Aplicações e utilizar políticas diferentes para diferentes cargas de trabalho.

Para a maioria dos utilizadores e dispositivos, Alice quer criar uma política inicial que seja o mais relaxada possível para minimizar o impacto na produtividade do utilizador, ao mesmo tempo que fornece valor de segurança.

Definir o "círculo de confiança" para dispositivos ligeiramente geridos

Alice identifica os seguintes fatores-chave para chegar ao "círculo de confiança" dos dispositivos geridos levemente pela Lamna, que atualmente incluem a maioria dos dispositivos do utilizador final:

  • Todos os clientes estão a executar Windows 10 versão 1903 e superior, ou Windows 11;
  • Todos os clientes são geridos por Configuration Manager ou com Intune.
  • Algumas aplicações, mas não todas, são implementadas com Configuration Manager;
  • A maioria dos utilizadores são administradores locais nos respetivos dispositivos;
  • Algumas equipas podem precisar de mais regras para autorizar aplicações específicas que não se aplicam geralmente a todos os outros utilizadores.

Com base no acima, Alice define as pseudo-regras para a política:

  1. Regras "O Windows funciona" que autorizam:

    • Windows
    • WHQL (controladores de kernel de terceiros)
    • Aplicações assinadas na Loja Windows
  2. Regras "ConfigMgr funciona" que incluem:

    • Regras de início de sessão e hash para Configuration Manager componentes funcionarem corretamente.
    • Permitir que a regra do Instalador Gerido autorize Configuration Manager como um instalador gerido.
  3. Permitir Gráfico de Segurança Inteligente (ISG) (autorização baseada na reputação)

  4. Aplicações assinadas com um certificado emitido por uma autoridade de certificação do Programa de Raiz Fidedigna do Windows

  5. Administração regras de caminho apenas para as seguintes localizações:

    • C:\Programas*
    • C:\Programas (x86)*
    • %windir%*

Criar uma política base personalizada com uma política base de Controlo de Aplicações de exemplo

Depois de ter definido o "círculo de confiança", Alice está pronta para gerar a política inicial para os dispositivos geridos levemente pela Lamna. Alice decide utilizar o exemplo SmartAppControl.xml para criar a política base inicial e, em seguida, personalizá-la para satisfazer as necessidades da Lamna.

A Alice segue estes passos para concluir esta tarefa:

  1. Num dispositivo cliente, execute os seguintes comandos numa sessão de Windows PowerShell elevada para inicializar variáveis:

    Observação

    Se preferir utilizar uma política base do Controlo de Aplicações para Empresas de exemplo diferente, substitua o caminho da política de exemplo pela sua política base preferida neste passo.

    $PolicyPath = $env:userprofile+"\Desktop\"
    $PolicyName= "Lamna_LightlyManagedClients_Audit"
    $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml"
    $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"
    
  2. Copie a política de exemplo para o ambiente de trabalho:

    Copy-Item $ExamplePolicy $LamnaPolicy
    
  3. Modifique a política para remover a regra não suportada:

    Observação

    SmartAppControl.xmlestá disponível no Windows 11 versão 22H2 e posterior. Esta política inclui a regra "Enabled:Conditional Windows Lock Policy" que não é suportada para políticas de Controlo de Aplicações empresariais e tem de ser removida. Para obter mais informações, veja Controlo de Aplicações e Controlo de Aplicações Inteligentes. Se estiver a utilizar uma política de exemplo diferente de SmartAppControl.xml, ignore este passo.

    [xml]$xml = Get-Content $LamnaPolicy
    $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable)
    $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI)
    $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns)
    $node.ParentNode.RemoveChild($node)
    $xml.Save($LamnaPolicy)
    
  4. Atribua à nova política um ID exclusivo, um nome descritivo e um número de versão inicial:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
    Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
    
  5. Utilize Configuration Manager para criar e implementar uma política de auditoria no dispositivo cliente com Windows 10 versão 1903 e posterior, ou Windows 11. Intercale a política de Configuration Manager com a política de exemplo.

    Observação

    Se não utilizar Configuration Manager, ignore este passo.

    $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
    Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy
    Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
    
  6. Modifique a política para definir regras de política adicionais:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3  # Audit Mode
    Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
    Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
    
  7. Adicione regras para permitir os diretórios Ficheiros do Windows e do Programa:

    $PathRules += New-CIPolicyRule -FilePathRule "%windir%\*"
    $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*"
    $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*"
    Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRules
    
  8. Se for apropriado, adicione mais regras de início de sessão ou de ficheiro para personalizar ainda mais a política para a sua organização.

  9. Utilize ConvertFrom-CIPolicy para converter a política de Controlo de Aplicações para Empresas num formato binário:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
    $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
    ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
    
  10. Carregue o XML da política base e o binário associado para uma solução de controlo de origem, como o GitHub ou uma solução de gestão de documentos, como Office 365 SharePoint.

Neste momento, a Alice tem agora uma política inicial que está pronta para ser implementada no modo de auditoria para os clientes geridos na Lamna.

Considerações de segurança desta política ligeiramente gerida

Para minimizar o impacto na produtividade dos utilizadores, Alice definiu uma política que faz várias trocas entre segurança e flexibilidade de aplicações do utilizador. Algumas das trocas incluem:

  • Utilizadores com acesso administrativo

    Esta compensação é a troca de segurança mais impactante. Permite que o utilizador do dispositivo, ou software maligno em execução com os privilégios do utilizador, modifique ou remova a política de Controlo de Aplicações no dispositivo. Além disso, os administradores podem configurar qualquer aplicação para atuar como um instalador gerido, o que lhes permitiria obter autorização de aplicação persistente para as aplicações ou binários que desejarem.

    Possíveis mitigações:

    • Utilize políticas de Controlo de Aplicações assinadas e proteção de acesso AO BIOS do UEFI para impedir a adulteração das políticas de Controlo de Aplicações.
    • Para remover o requisito do instalador gerido, crie e implemente ficheiros de catálogo assinados como parte do processo de implementação de aplicações.
    • Utilize o atestado de dispositivo para detetar o estado de configuração do Controlo de Aplicações no momento de arranque e utilize essas informações para condicionar o acesso a recursos empresariais confidenciais.
  • Políticas não assinadas

    As políticas não assinadas podem ser substituídas ou removidas sem consequências por qualquer processo em execução como administrador. As políticas de base não assinadas que também permitem políticas suplementares podem ter o seu "círculo de confiança" alterado por qualquer política suplementar não assinada.

    Possíveis mitigações:

    • Utilize políticas de Controlo de Aplicações assinadas e proteção de acesso AO BIOS do UEFI para impedir a adulteração das políticas de Controlo de Aplicações.
    • Limite quem pode elevar para administrador no dispositivo.
  • Instalador gerido

    Veja considerações de segurança com o instalador gerido

    Possíveis mitigações:

    • Para remover o requisito do instalador gerido, crie e implemente ficheiros de catálogo assinados como parte do processo de implementação de aplicações.
    • Limite quem pode elevar para administrador no dispositivo.
  • Gráfico de Segurança Inteligente (ISG)

    Ver considerações de segurança com o Gráfico de Segurança Inteligente

    Possíveis mitigações:

    • Implementar políticas que exigem que as aplicações sejam geridas por TI. Audite a utilização de aplicações existentes e implemente aplicações autorizadas com uma solução de distribuição de software, como Microsoft Intune. Passar do ISG para o instalador gerido ou regras baseadas em assinaturas.
    • Utilize uma política de modo de auditoria restritiva para auditar a utilização da aplicação e aumentar a deteção de vulnerabilidades.
  • Políticas suplementares

    As políticas suplementares foram concebidas para descontrair a política de base associada. Além disso, permitir políticas não assinadas permite que qualquer processo de administrador expanda o "círculo de confiança" definido pela política de base sem restrições.

    Possíveis mitigações:

    • Utilize políticas de Controlo de Aplicações assinadas que permitem apenas políticas suplementares assinadas autorizadas.
    • Utilize uma política de modo de auditoria restritiva para auditar a utilização da aplicação e aumentar a deteção de vulnerabilidades.
  • Regras do FilePath

    Ver mais informações sobre regras de caminhos de ficheiro

    Possíveis mitigações:

    • Limite quem pode elevar para administrador no dispositivo.
    • Migrar de regras de caminho de ficheiro para o instalador gerido ou regras baseadas em assinaturas.
  • Ficheiros assinados

    Embora os ficheiros assinados por código verifiquem a identidade do autor e garantam que o código não foi alterado por ninguém além do autor, não garante que o código assinado seja seguro.

    Possíveis mitigações:

    • Utilize um software antimalware ou antivírus respeitável com proteção em tempo real, como Microsoft Defender, para proteger os seus dispositivos de ficheiros maliciosos, adware e outras ameaças.

A seguir