Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
По возможности при первой настройке устройства и перед установкой приложений следует включить элемент управления приложениями для бизнеса (элемент управления приложениями). Это гарантирует, что система находится в "чистом" состоянии при запуске элемента управления приложениями. Это особенно важно для приложений, разрешенных, так как они были установлены управляемым установщиком или интеллектуальной графом безопасности (ISG) определили, что приложение безопасно для запуска.
Как правило, развертывание управления приложениями для бизнеса лучше всего выполняется поэтапно, а не является функцией, которую вы просто "включаете". Выбор и последовательность этапов зависят от того, как различные компьютеры и другие устройства используются в вашей организации, а также от того, в какой степени ИТ-служба управляет этими устройствами. В следующей таблице показано, как приступить к разработке плана развертывания управления приложениями в организации. Организации часто используют устройства в каждой из описанных категорий.
Распространенные варианты использования
| Вариант использования | Связь элемента управления приложениями с этим вариантом использования |
|---|---|
|
Блокировать нежелательные приложения. Немногие компании централизованно управляют всеми приложениями, поэтому им требуется длительный период обнаружения, прежде чем они смогут решить, что следует разрешить. Вместо этого ИТ-отдел сместит внимание на блокировку набора приложений, которые они считают проблемами, в то время как они создают свой список приложений. |
С помощью элемента управления приложениями разверните политику только списка блокировок вместе с политикой списка разрешенных аудита для сбора сведений о приложениях и процессах, выполняемых на ваших устройствах. |
|
В незначительной степени управляемые устройства: принадлежат компании, однако пользователи могут свободно устанавливать программное обеспечение. Устройства должны запускать определенные приложения, например антивирусное решение организации или средства управления клиентами службы технической поддержки. |
Элемент управления приложениями для бизнеса можно использовать для защиты ядра, а также для того, чтобы пользователи запускали приложения, подписанные, устанавливаемые решением развертывания приложений компании, например Intune, устанавливались в местах, где только администратор может писать файлы, и любое приложение с хорошей репутацией. |
|
Полностью управляемые устройства. Разрешенное программное обеспечение ограничено ИТ-отделом. Пользователи могут запросить дополнительное программное обеспечение или установить из списка приложений, предоставляемых ИТ-отделом. Примеры: настольные компьютеры и ноутбуки, принадлежащие компании, с невозможностью настройки. |
Можно установить и применить начальную базовую политику Управления приложениями для бизнеса. Всякий раз, когда ИТ-отдел утверждает больше приложений, он может обновить политику управления приложениями в рамках процессов упаковки и развертывания приложений. Кроме того, они могут создавать и подписывать файлы каталога приложений, которые затем распространяются как зависимость приложения. |
|
Устройства с постоянными рабочими нагрузками: выполняют ежедневно одни и те же задачи. Список утвержденных приложений меняется редко. Примеры: информационные киоски, кассовые системы, компьютеры центра обработки вызовов. |
Управление приложениями для бизнеса можно развернуть полностью, а развертывание и текущее администрирование относительно просты. После развертывания управления приложениями для бизнеса можно запускать только утвержденные приложения. Это правило обусловлено защитой, предоставляемой элементом управления приложениями. |
| Использование собственных устройств: сотрудники могут приносить собственные устройства, а также использовать эти устройства вне работы. | В большинстве случаев элемент управления приложениями для бизнеса не применяется. Вместо этого вы можете изучить другие меры обеспечения безопасности и защиты с решениями для условного доступа на основе MDM, например Microsoft Intune. Однако вы можете развернуть политику режима аудита на этих устройствах или использовать политику только списка блокировок, чтобы предотвратить определенные приложения или двоичные файлы, которые считаются вредоносными или уязвимыми в вашей организации. |
| "Грязные" системы. Внедрение решения для управления приложениями в системах, которые уже используются, является гораздо более сложной задачей, чем при его применении на новом устройстве, на котором еще не установлены приложения. Иногда необходимо сделать компромиссы для поддержания производительности, даже если некоторые приложения могут быть нежелательными для организации. | Используя скрипт для применения политик управления приложениями, организации могут создавать политику, сканируя каждое устройство и создавая правила для каждого двоичного файла или файла скрипта. Этот набор правил используется для дополнения к более строгой базовой политике, применяемой к новым устройствам, недавно настроенным. Таким образом, любое ранее установленное приложение продолжает работать, но все будущие установки должны передавать только что примененные организациями правила управления приложениями. |
Введение в Lamna Healthcare Company
В следующем наборе статей мы рассмотрим политики для обработки сценариев, как в таблице, с помощью вымышленной компании Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) является крупным поставщиком медицинских услуг, работающим в США. Lamna работает тысячи людей, от врачей и медсестер до бухгалтеров, внутренних юристов и ИТ-техников. Варианты использования их устройств разнообразны и включают в себя однопользовательские рабочие станции для своих профессиональных сотрудников, общие киоски, используемые врачами и медсестрами для доступа к записям пациентов, специализированные медицинские устройства, такие как сканеры МРТ, и многие другие. Кроме того, Lamna имеет расслабленную политику принести свое устройство для многих своих профессиональных сотрудников.
Lamna использует Microsoft Intune в гибридном режиме как с Configuration Manager, так и с Intune. Хотя они используют Microsoft Intune для развертывания многих приложений, Lamna всегда применяла более строгие методики использования приложений: отдельные команды и сотрудники могли устанавливать и использовать любые приложения, которые они считают необходимыми для своей роли на собственных рабочих станциях. Lamna также недавно начал использовать Microsoft Defender для конечной точки для лучшего обнаружения конечных точек и реагирования на нее.
Недавно в Lamna произошло событие программы-шантажиста, которое требовало дорогостоящего процесса восстановления и, возможно, включало кражу данных неизвестным злоумышленником. Часть атаки включала установку и запуск вредоносных двоичных файлов, которые уклонялись от обнаружения антивирусным решением Lamna, но были заблокированы политикой управления приложениями. В ответ на это исполнительный совет Lamna санкционировал множество новых ответов ИТ-отдела безопасности, включая ужесточение политик использования приложений и введение управления приложениями.
Далее
Теперь давайте создадим исходную политику, используя элемент управления интеллектуальными приложениями "круг доверия" в качестве отправной точки.
Или, если вы предпочитаете: