Управление приложением для Windows
Примечание.
Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.
Данные вашей организации являются одним из самых ценных ресурсов вашей организации... и противники хотят этого. Независимо от того, какие элементы управления безопасностью вы применяете к данным, нет элементов управления для полной защиты наиболее уязвимого целевого объекта: доверенного пользователя, сидящего за клавиатурой. Когда пользователь запускает процесс, этот процесс использует тот же доступ к вашим данным, что и у пользователя. Таким образом, конфиденциальная информация легко передается, изменяется, удаляется или шифруется, когда пользователь намеренно или нет запускает вредоносное программное обеспечение. И с тысячами новых вредоносных файлов, создаваемых каждый день, использование только традиционных методов, таких как антивирусные (AV) решения, обеспечивает неадекватную защиту от новых атак.
Управление приложениями изменяет Windows с места, где выполняется весь код, если ваше решение av уверенно не прогнозирует, что это плохо, на то место, где код выполняется только в том случае, если это указано в политике. Киберугрозы, с которыми вы сталкиваетесь, быстро меняются, и ваша защита тоже должна измениться. Правительственные организации и организации безопасности, такие как Австралийское управление сигналов, часто ссылаются на управление приложениями в качестве одного из наиболее эффективных способов борьбы с угрозой вредоносных программ на основе исполняемых файлов (.exe, .dll и т. д.). Он работает вместе с решением AV для устранения угроз безопасности, ограничивая приложения, которые пользователи могут запускать, и даже код, выполняемый в System Core (ядро).
Важно.
Хотя управление приложениями может значительно повысить защиту компьютеров от вредоносного кода, он не является заменой антивирусной программы. Вы должны продолжать поддерживать активное антивирусное решение наряду с элементом управления приложениями для всестороннего портфеля корпоративных систем безопасности.
Хотя мы называем это элементом управления приложениями, код, выполняемый в вашей системе, не всегда является приложением. Управление приложениями распространяется не только на приложения, но и на сценарии и установщики Майкрософт (MSI), пакетные файлы командной строки и даже интерактивные сеансы Windows PowerShell, которые выполняются в режиме ограниченного языка.
Windows включает две технологии управления приложениями, которые можно использовать в зависимости от конкретных сценариев и требований вашей организации:
- Элемент управления приложениями для бизнеса (элемент управления приложениями); и
- AppLocker
Элемент управления приложениями и интеллектуальное управление приложениями
Начиная с Windows 11 версии 22H2, smart App Control обеспечивает надежное управление приложениями для потребителей и некоторых малых предприятий с более простым портфелем приложений. Интеллектуальное управление приложениями гарантирует, что наша интеллектуальная облачная служба безопасности обеспечивает безопасность только подписанного кода или кода, который прогнозируется как безопасный. Если код не подписан, а служба не может с уверенностью предсказать, что он является безопасным для выполнения, мы заблокируем его. Со временем репутация кода может измениться по мере того, как служба обрабатывает новые сигналы, которые она получает. Между тем код, который считается небезопасным, всегда блокируется.
Хотя интеллектуальное управление приложениями предназначено для потребителей, мы считаем, что это идеальная отправная точка для большинства организаций. Так как мы создали его полностью на основе управления приложениями для бизнеса, вы можете создать политику с той же безопасностью и совместимостью, что и управление интеллектуальными приложениями, которая также доверяет бизнес-приложениям (LOB) вашей организации. Служба Интеллектуального управления приложениями, которая используется для прогнозирования безопасного запуска кода, также доступна в элементе управления приложениями для бизнеса и называется Intelligent Security Graph (ISG).
Управление интеллектуальными приложениями запускается в режиме оценки и отключается в течение 48 часов для корпоративных управляемых устройств, если пользователь не включает его первым. Если вы хотите заранее отключить управление интеллектуальными приложениями в конечных точках организации, задайте значение реестра VerifiedAndReputablePolicyState (DWORD) в разделе HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy , как показано в следующей таблице. После изменения значения реестра необходимо выполнить CiTool.exe -r , чтобы изменения вступают в силу.
| Значение | Описание |
|---|---|
| 0 | Отключено |
| 1 | Принуждать |
| 2 | Оценка |
Важно.
После отключения интеллектуального управления приложениями его нельзя будет включить без сброса или переустановки Windows.
Политика управления приложениями, используемая для интеллектуального управления приложениями, поставляется в комплекте со средством разработки политик мастера управления приложениями и также находится в качестве примера политики в папке %windir%/schemas/CodeIntegrity/ExamplePolicies/SmartAppControl.xml. Чтобы использовать этот пример политики в качестве отправной точки для собственной политики, см . статью Использование политики управления интеллектуальными приложениями для создания собственной базовой политики. При использовании примера политики интеллектуального управления приложениями в качестве основы для собственной настраиваемой политики необходимо удалить параметр Enabled:Conditional Windows Lockdown Policy , чтобы он был готов к использованию в качестве политики управления приложениями для бизнеса.
Требования к выпуску и лицензированию Windows
В следующей таблице перечислены выпуски Windows, поддерживающие управление приложениями для бизнеса.
| Windows Pro | Windows Корпоративная | Windows Pro для образовательных учреждений/SE | Windows для образовательных учреждений |
|---|---|---|---|
| Да | Да | Да | Да |
Права на лицензии на управление приложениями предоставляются следующими лицензиями:
| Windows Pro/Pro для образовательных учреждений/SE | Windows Корпоративная E3 | Windows Корпоративная E5 | Windows для образовательных учреждений A3 | Windows для образовательных учреждений A5 |
|---|---|---|---|---|
| Да | Да | Да | Да | Да |
Дополнительные сведения о лицензировании Windows см. в статье Обзор лицензирования Windows.
Что следует прочитать дальше
Дополнительные сведения о двух технологиях управления приложениями, доступных в Windows, см. в статье Управление приложениями для бизнеса и Обзор AppLocker.
Чтобы перейти к работе и приступить к созданию политик, перейдите к разделу Управление интеллектуальными приложениями и используйте политику управления интеллектуальными приложениями для создания собственной начальной политики.