不同方案中适用于企业的应用控制部署:设备类型
注意
适用于企业的 App Control 的某些功能仅适用于特定 Windows 版本。 详细了解 应用控制功能可用性。
在首次设置设备时和安装任何应用之前,应尽可能启用适用于企业的应用控制 (应用控制) 。 这可确保系统在应用控制启动时处于“干净”状态,对于允许的应用尤其重要,因为它们是由托管安装程序安装的,或者由于智能安全图 (ISG) 确定应用可安全运行。
通常,应用控制企业版的部署最好分阶段进行,而不是只是“打开”的功能。阶段的选择和顺序取决于组织中各种计算机和其他设备的使用方式,以及 IT 管理这些设备的程度。 下表可帮助你开始制定在组织中部署应用控制的计划。 组织通常会在所述的每个类别中使用设备用例。
常见用例
| 用例 | 应用控件与此用例的关系 |
|---|---|
|
阻止不需要的应用:很少有公司集中管理所有应用,需要较长的发现期才能开始决定允许哪些应用。 相反,IT 部门的重点转移到阻止他们认为有问题的一组应用,同时构建应用清单。 |
使用应用控制,将仅阻止列表策略与审核允许列表策略一起部署,以收集有关设备上运行的应用和进程的信息。 |
|
轻托管设备:公司拥有、但用户可以自由安装软件。 设备需要运行特定的应用,例如组织的防病毒解决方案或其支持客户端管理工具。 |
企业应用控制可用于帮助保护内核,并允许用户运行已签名的应用,这些应用由公司的应用部署解决方案(如 Intune)安装到只有管理员可写入文件的位置以及任何信誉良好的应用。 |
|
完全托管的设备:允许的软件受 IT 部门的限制。 用户可以请求更多软件,也可以从 IT 部门提供的应用程序列表中安装。 示例:锁定的、公司拥有的台式机和笔记本电脑。 |
可以建立并强制实施适用于企业的初始基线应用控制策略。 每当 IT 部门批准更多应用程序时,他们可能会在应用打包和部署过程中更新应用控制策略。 或者,他们可以创建和签名应用目录文件,这些文件随后作为应用的依赖项分发。 |
|
固定工作负载设备:每天执行相同的任务。 批准的应用程序列表很少更改。 示例:展台、销售点系统和呼叫中心计算机。 |
可以完全部署适用于企业的应用控制,并且部署和持续管理相对简单。 部署适用于企业的应用控制后,只有已批准的应用程序才能运行。 此规则是由于应用控制提供的保护。 |
| 自带设备办公:允许员工自带设备办公,还允许在不工作时使用这些设备。 | 在大多数情况下,适用于企业的应用控制不适用。 相反,可使用基于 MDM 的条件访问解决方案(如 Microsoft Intune)探索其他强化和安全功能。 但是,可以选择将审核模式策略部署到这些设备,或者仅使用阻止列表策略来防止组织认为恶意或易受攻击的特定应用或二进制文件。 |
| “脏”系统:在已使用系统中引入应用控制解决方案比将应用控制解决方案应用于尚未安装任何应用的新设备更具挑战性。 有时,即使组织可能不需要某些应用,也必须做出权衡来保持工作效率。 | 使用脚本应用应用控制策略,组织可以通过扫描每个设备并为每个观察到的二进制文件或脚本文件创建规则来创建策略。 这组规则用于补充对新配置的新设备应用的限制性更高的基本策略。 这样,任何以前安装的应用都会继续工作,但将来的所有安装都必须通过组织新实施的应用控制规则。 |
Lamna Healthcare 公司简介
在下一组文章中,我们将探讨使用名为 Lamna Healthcare Company 的虚构公司处理类似表中的方案的策略。
Lamna Healthcare Company (Lamna) 是一家大型医疗保健提供商,在美国运营。 Lamna 雇佣了数千名员工,从医生和护士到会计师、内部律师和 IT 技术人员。 他们的设备用例各不相同,包括专业工作人员的单用户工作站、医生和护士用于访问患者记录的共享展台、MRI 扫描仪等专用医疗设备等。 此外,Lamna 为许多专业员工提供宽松的自带设备策略。
Lamna 在混合模式下使用Microsoft Intune Configuration Manager和Intune。 尽管他们使用 Microsoft Intune 来部署许多应用程序,但 Lamna 始终放宽应用程序使用做法:单个团队和员工能够安装和使用他们认为在自己的工作站上扮演角色所需的任何应用程序。 Lamna 最近还开始使用Microsoft Defender for Endpoint来改进终结点检测和响应。
最近,Lamna 遇到了一个勒索软件事件,需要昂贵的恢复过程,并且可能包括未知攻击者的数据外泄。 部分攻击包括安装和运行恶意二进制文件,这些二进制文件逃避了 Lamna 防病毒解决方案的检测,但会被应用控制策略阻止。 作为回应,Lamna 执行董事会已授权许多新的安全 IT 响应,包括收紧应用程序使用策略和引入应用控制。
下一步
现在,让我们使用 智能应用控制 “信任圈”作为起点来创建初始策略。
或者,如果你愿意: