不同方案中适用于企业的应用控制部署:设备类型
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
通常,应用控制企业版的部署最好分阶段进行,而不是只是“打开”的功能。阶段的选择和顺序取决于组织中各种计算机和其他设备的使用方式,以及 IT 管理这些设备的程度。 下表可帮助你开始制定在组织中部署应用控制的计划。 组织通常会在所述的每个类别中使用设备用例。
设备类型
设备类型 | 应用控制与此类设备的关系 |
---|---|
轻托管设备:公司拥有、但用户可以自由安装软件。 要求设备运行组织的防病毒解决方案和客户端管理工具。 |
适用于企业的应用控制可用于帮助保护内核,以及监视 (审核) 问题应用程序,而不是限制可以运行的应用程序。 |
完全托管设备:已允许的软件受 IT 部门限制。 用户可以请求更多软件,或者从 IT 部门提供的应用程序列表中安装。 示例:锁定的、公司拥有的台式机和笔记本电脑。 |
可以建立并强制实施适用于企业的初始基线应用控制策略。 每当 IT 部门批准更多应用程序时,它会为目录) 未签名的 LOB 应用程序更新应用控制策略和 (。 |
固定工作负载设备:每天执行相同的任务。 批准的应用程序列表很少更改。 示例:展台、销售点系统和呼叫中心计算机。 |
可以完全部署适用于企业的应用控制,并且部署和持续管理相对简单。 部署适用于企业的应用控制后,只有已批准的应用程序才能运行。 此规则是由于应用控制提供的保护。 |
自带设备办公:允许员工自带设备办公,还允许在不工作时使用这些设备。 | 在大多数情况下,适用于企业的应用控制不适用。 相反,可使用基于 MDM 的条件访问解决方案(如 Microsoft Intune)探索其他强化和安全功能。 但是,可以选择将审核模式策略部署到这些设备,或者仅使用阻止列表策略来防止组织认为恶意或易受攻击的特定应用或二进制文件。 |
Lamna Healthcare 公司简介
在下一组文章中,我们将使用名为 Lamna Healthcare Company 的虚构组织探索上述每个方案。
Lamna Healthcare Company (Lamna) 是一家大型医疗保健提供商,在美国运营。 Lamna 雇佣了数千名员工,从医生和护士到会计师、内部律师和 IT 技术人员。 他们的设备用例各不相同,包括专业工作人员的单用户工作站、医生和护士用于访问患者记录的共享展台、MRI 扫描仪等专用医疗设备等。 此外,Lamna 为许多专业员工提供宽松的自带设备策略。
Lamna 在混合模式下使用Microsoft Intune Configuration Manager和Intune。 尽管他们使用 Microsoft Intune 来部署许多应用程序,但 Lamna 始终放宽应用程序使用做法:单个团队和员工能够安装和使用他们认为在自己的工作站上扮演角色所需的任何应用程序。 Lamna 最近还开始使用Microsoft Defender for Endpoint来改进终结点检测和响应。
最近,Lamna 遇到了一个勒索软件事件,需要昂贵的恢复过程,并且可能包括未知攻击者的数据外泄。 部分攻击包括安装和运行恶意二进制文件,这些二进制文件逃避了 Lamna 防病毒解决方案的检测,但会被应用控制策略阻止。 作为回应,Lamna 执行董事会已授权许多新的安全 IT 响应,包括收紧应用程序使用策略和引入应用控制。