Создание политики управления приложениями для легко управляемых устройств
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
В этом разделе описывается процесс создания политики управления приложениями для бизнеса для легко управляемых устройств в организации. Как правило, организации, которые не знакомы с элементом управления приложениями, будут наиболее успешными, если они начинают с разрешительной политики, как описано в этой статье. Организации могут со временем ужесточить политику, чтобы обеспечить более надежную общую безопасность на устройствах, управляемых элементом управления приложениями, как описано в последующих статьях.
Примечание.
Некоторые параметры управления приложениями для бизнеса, описанные в этом разделе, доступны только в Windows 10 версии 1903 и выше или Windows 11. При использовании этого раздела для планирования политик управления приложениями в вашей организации подумайте, могут ли управляемые клиенты использовать все или некоторые из этих функций, и оцените влияние на любые функции, которые могут быть недоступны для ваших клиентов. Возможно, вам потребуется адаптировать это руководство в соответствии с потребностями конкретной организации.
Как и при развертывании управления приложениями для бизнеса в разных сценариях: типах устройств, мы будем использовать пример Lamna Healthcare Company (Lamna), чтобы проиллюстрировать этот сценарий. Lamna пытается внедрить более строгие политики приложений, включая использование управления приложениями, чтобы предотвратить запуск нежелательных или несанкционированных приложений на управляемых устройствах.
Алиса Пена является руководителем ИТ-команды, которым поручено развертывание управления приложениями. В настоящее время Lamna имеет свободные политики использования приложений и культуру максимальной гибкости приложений для пользователей. Таким образом, Алиса знает, что ей нужно будет использовать добавочный подход к управлению приложениями и использовать различные политики для разных рабочих нагрузок.
Для большинства пользователей и устройств Алиса хочет создать начальную политику, которая будет максимально спокойной, чтобы свести к минимуму влияние на производительность пользователей, обеспечивая при этом ценность безопасности.
Определение "круга доверия" для легко управляемых устройств
Алиса определяет следующие ключевые факторы для получения "круга доверия" для легко управляемых устройств Lamna, которые в настоящее время включают большинство устройств конечных пользователей:
- Все клиенты работают Windows 10 версии 1903 и выше или Windows 11;
- Все клиенты управляются Configuration Manager или с помощью Intune.
- Некоторые( но не все) приложения развертываются с помощью Configuration Manager;
- Большинство пользователей являются локальными администраторами на своих устройствах;
- Некоторым командам может потребоваться больше правил для авторизации определенных приложений, которые обычно не применяются ко всем другим пользователям.
Основываясь на приведенном выше, Алиса определяет псевдо-правила для политики:
"Windows работает" правила, которые разрешают:
- Windows
- WHQL (сторонние драйверы ядра)
- Приложения, подписанные в Магазине Windows
"ConfigMgr работает" правила, которые включают:
- Правила подписывания и хэша для правильной работы компонентов Configuration Manager.
- Разрешить правило управляемого установщика для авторизации Configuration Manager в качестве управляемого установщика.
Allow Intelligent Security Graph (ISG) (авторизация на основе репутации)
Подписанные приложения с помощью сертификата, выданного центром сертификации доверенной корневой программы Windows
Администратор правила пути только для следующих расположений:
- C:\Program Files*
- C:\Program Files (x86)*
- %windir%*
Создание настраиваемой базовой политики с помощью примера базовой политики управления приложениями
Определив "круг доверия", Алиса готова создать начальную политику для легко управляемых устройств Lamna. Алиса решает использовать пример SmartAppControl.xml для создания начальной базовой политики, а затем настроить ее в соответствии с потребностями Lamna.
Чтобы выполнить эту задачу, Алиса выполняет следующие действия:
На клиентском устройстве выполните следующие команды в сеансе Windows PowerShell с повышенными привилегиями, чтобы инициализировать переменные:
Примечание.
Если вы предпочитаете использовать другой пример базовой политики Управления приложениями для бизнеса, замените пример пути к политике предпочитаемой базовой политикой на этом шаге.
$PolicyPath = $env:userprofile+"\Desktop\" $PolicyName= "Lamna_LightlyManagedClients_Audit" $LamnaPolicy=Join-Path $PolicyPath "$PolicyName.xml" $ExamplePolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\SmartAppControl.xml"Скопируйте пример политики на рабочий стол:
Copy-Item $ExamplePolicy $LamnaPolicyИзмените политику, чтобы удалить неподдерживаемое правило:
Примечание.
SmartAppControl.xmlдоступен в Windows 11 версии 22H2 и более поздних. Эта политика включает правило Enabled:Conditional Windows Lockdown Policy, которое не поддерживается для корпоративных политик управления приложениями и должно быть удалено. Дополнительные сведения см. в разделе Управление приложениями и Интеллектуальное управление приложениями. Если вы используете пример политики, отличный отSmartAppControl.xml, пропустите этот шаг.[xml]$xml = Get-Content $LamnaPolicy $ns = New-Object System.Xml.XmlNamespaceManager($xml.NameTable) $ns.AddNamespace("ns", $xml.DocumentElement.NamespaceURI) $node = $xml.SelectSingleNode("//ns:Rules/ns:Rule[ns:Option[.='Enabled:Conditional Windows Lockdown Policy']]", $ns) $node.ParentNode.RemoveChild($node) $xml.Save($LamnaPolicy)Присвойте новой политике уникальный идентификатор, описательное имя и номер начальной версии:
Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"Используйте Configuration Manager, чтобы создать и развернуть политику аудита на клиентском устройстве, работающем Windows 10 версии 1903 и выше, или Windows 11. Объедините политику Configuration Manager с примером политики.
Примечание.
Если вы не используете Configuration Manager, пропустите этот шаг.
$ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy,$ConfigMgrPolicy Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed InstallerИзмените политику, чтобы задать дополнительные правила политики:
Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code SecurityДобавьте правила, разрешая каталоги Windows и Program Files:
$PathRules += New-CIPolicyRule -FilePathRule "%windir%\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files\*" $PathRules += New-CIPolicyRule -FilePathRule "%OSDrive%\Program Files (x86)\*" Merge-CIPolicy -OutputFilePath $LamnaPolicy -PolicyPaths $LamnaPolicy -Rules $PathRulesПри необходимости добавьте дополнительные правила подписывающего или файлового приложения, чтобы настроить политику для организации.
Используйте ConvertFrom-CIPolicy для преобразования политики элемента управления приложениями для бизнеса в двоичный формат:
[xml]$PolicyXML = Get-Content $LamnaPolicy $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip" ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBinОтправьте базовый XML-код политики и связанный двоичный файл в решение системы управления версиями, например GitHub, или решение для управления документами, например Office 365 SharePoint.
На этом этапе у Алисы есть начальная политика, которая готова к развертыванию в режиме аудита для управляемых клиентов в Lamna.
Вопросы безопасности этой легко управляемой политики
Чтобы свести к минимуму влияние на производительность пользователей, Алиса определила политику, которая делает несколько компромиссов между безопасностью и гибкостью пользовательского приложения. Некоторые из компромиссов включают в себя:
Пользователи с административным доступом
Этот компромисс является наиболее влияющим компромиссом в области безопасности. Он позволяет пользователю устройства или вредоносному ПО, запущенным с правами пользователя, изменять или удалять политику управления приложениями на устройстве. Кроме того, администраторы могут настроить любое приложение в качестве управляемого установщика, что позволит им получать постоянную авторизацию для любых приложений или двоичных файлов, которые они хотят.
Возможные способы устранения рисков:
- Используйте подписанные политики управления приложениями и защиту доступа UEFI BIOS, чтобы предотвратить незаконное изменение политик управления приложениями.
- Чтобы удалить требование к управляемому установщику, создайте и разверните подписанные файлы каталога в процессе развертывания приложения.
- Используйте аттестацию устройства, чтобы определить состояние конфигурации элемента управления приложениями во время загрузки и использовать эти сведения для условий доступа к конфиденциальным корпоративным ресурсам.
Политики без знака
Неподписанные политики могут быть заменены или удалены без последствий любым процессом, запущенным от имени администратора. Неподписанные базовые политики, которые также поддерживают дополнительные политики, могут иметь свой "круг доверия", измененный любой дополнительной политикой без знака.
Возможные способы устранения рисков:
- Используйте подписанные политики управления приложениями и защиту доступа UEFI BIOS, чтобы предотвратить незаконное изменение политик управления приложениями.
- Ограничьте доступ к администратору на устройстве.
Управляемый установщик
Ознакомьтесь с рекомендациями по безопасности с помощью управляемого установщика.
Возможные способы устранения рисков:
- Чтобы удалить требование к управляемому установщику, создайте и разверните подписанные файлы каталога в процессе развертывания приложения.
- Ограничьте доступ к администратору на устройстве.
Граф интеллектуальной безопасности (ISG)
Ознакомьтесь с рекомендациями по обеспечению безопасности в графе интеллектуальной безопасности
Возможные способы устранения рисков:
- Реализуйте политики, требующие, чтобы приложениями управляла ИТ-служба. Аудит использования существующих приложений и развертывание авторизованных приложений с помощью решения для распространения программного обеспечения, например Microsoft Intune. Переход от ISG к управляемому установщику или правилам на основе сигнатур.
- Используйте политику режима ограниченного аудита для аудита использования приложений и расширения обнаружения уязвимостей.
Дополнительные политики
Дополнительные политики предназначены для ослаблять связанную базовую политику. Кроме того, разрешение неподписанных политик позволяет любому администратору без ограничений расширять "круг доверия", определенный базовой политикой.
Возможные способы устранения рисков:
- Используйте подписанные политики управления приложениями, разрешающие только авторизованные подписанные дополнительные политики.
- Используйте политику режима ограниченного аудита для аудита использования приложений и расширения обнаружения уязвимостей.
Правила FilePath
Дополнительные сведения о правилах пути к файлам
Возможные способы устранения рисков:
- Ограничьте доступ к администратору на устройстве.
- Выполните миграцию с правил пути к файлам на управляемый установщик или правила на основе сигнатур.
Подписанные файлы
Хотя файлы, подписанные кодом, проверяют личность автора и гарантируют, что код не был изменен кем-либо, кроме автора, это не гарантирует, что подписанный код является безопасным.
Возможные способы устранения рисков:
- Используйте надежное антивредоносное или антивирусное по программе с защитой в режиме реального времени, например Microsoft Defender, для защиты устройств от вредоносных файлов, рекламного ПО и других угроз.