使用 Intelligent Security Graph (ISG) 授權有信譽的應用程式
注意
商務用應用程控的某些功能僅適用於特定的 Windows 版本。 深入了解 應用程控功能可用性。
在未透過IT管理系統部署和管理應用程式的組織中,應用程控可能難以實作。 在這類環境中,使用者可以取得想要用於工作的應用程式,因此很難建置有效的應用程控原則。
若要減少使用者摩擦和技術服務人員呼叫,您可以將商務用應用程控設定為自動允許Microsoft Intelligent Security Graph (ISG) 辨識為具有良好信譽的應用程式。 ISG 選項可協助組織開始實作應用程控,即使組織對其應用程式生態系統的控制有限。 若要深入瞭解 ISG,請參閱 Microsoft Graph 中的主要服務和功能中的安全性一節。
警告
在您的應用程控原則中,必須使用明確的規則來允許啟動系統的關鍵二進位檔。 請勿依賴ISG來授權這些檔案。
ISG 選項不是允許業務關鍵應用程式的建議方式。 您應該一律使用明確允許規則或使用受管理的 安裝程式來安裝,來授權業務關鍵應用程式。
應用程控如何與ISG搭配運作?
ISG 不是應用程式的「清單」。 相反地,它會使用能 Microsoft Defender SmartScreen 和 Microsoft Defender 防病毒軟體的相同大量安全性情報和機器學習分析,協助將應用程式分類為具有「已知良好」、「已知錯誤」或「未知」信譽。 此雲端式 AI 是以從 Windows 端點和其他數據源收集的數兆個訊號為基礎,每隔 24 小時處理一次。 因此,來自雲端的決策可能會變更。
應用程控只會檢查 ISG 是否有原則未明確允許或拒絕且受管理安裝程式未安裝的二進位檔。 當這類二進製程在使用ISG選項啟用應用程控的系統上執行時,應用程控會藉由將檔案的哈希和簽署資訊傳送至雲端來檢查檔案的信譽。 如果ISG報告檔案具有「已知的良好」信譽,則允許檔案執行。 否則,應用程控會封鎖它。
如果信譽良好的檔案是應用程式安裝程式,安裝程式的信譽將會傳遞至它寫入磁碟的任何檔案。 如此一來,安裝和執行應用程式所需的所有檔案都會從安裝程序繼承正面信譽數據。 根據安裝程式信譽授權的檔案將具有$KERNEL。SMARTLOCKER。ORIGINCLAIM 核心擴充屬性 (寫入檔案的EA) 。
應用程控會定期重新查詢檔案上的信譽數據。 此外,企業可以使用 Enabled :Invalidate EAs on Reboot 選項,指定在重新啟動時清除任何快取的信譽結果。
設定應用程控原則的ISG授權
使用您想要的任何管理解決方案,即可輕鬆地設定ISG。 設定 ISG 選項包含下列基本步驟:
確定已在應用程控原則 XML 中設定ISG選項
若要允許以 Microsoft Intelligent Security Graph 為基礎的應用程式和二進位檔,必須在應用程控原則中指定 Enabled :Intelligent Security Graph 授權 選項。 您可以使用 Set-RuleOption Cmdlet 來完成此步驟。 您也應該設定 Enabled:Invalidate EAs on Reboot 選項,以便在每次重新啟動之後再次驗證 ISG 結果。 對於沒有一般因特網存取權的裝置,不建議使用ISG選項。 下列範例顯示這兩個選項集合。
<Rules>
<Rule>
<Option>Enabled:Unsigned System Integrity Policy</Option>
</Rule>
<Rule>
<Option>Enabled:Advanced Boot Options Menu</Option>
</Rule>
<Rule>
<Option>Required:Enforce Store Applications</Option>
</Rule>
<Rule>
<Option>Enabled:UMCI</Option>
</Rule>
<Rule>
<Option>Enabled:Managed Installer</Option>
</Rule>
<Rule>
<Option>Enabled:Intelligent Security Graph Authorization</Option>
</Rule>
<Rule>
<Option>Enabled:Invalidate EAs on Reboot</Option>
</Rule>
</Rules>
啟用必要的服務,以允許應用程控在用戶端上正確使用ISG
為了讓ISG所使用的啟發學習法正常運作,必須啟用Windows中的其他元件。 您可以在 中執行 appidtel 可執行檔案 c:\windows\system32
來設定這些元件。
appidtel start
透過 MDM 部署的應用程控原則不需要此步驟,因為 CSP 會啟用必要的元件。 使用 Configuration Manager 的應用程控整合來設定 ISG 時,也不需要此步驟。
ISG 選項的安全性考慮
由於ISG是以啟發學習法為基礎的機制,因此不會提供與明確允許或拒絕規則相同的安全性保證。 最適合使用者使用標準用戶權力運作的位置,以及使用安全性監視解決方案的位置,例如 適用於端點的 Microsoft Defender。
使用核心許可權執行的進程可以藉由設定ISG擴充檔屬性,讓二進位檔看起來具有已知的良好信譽,來規避應用程控。
此外,由於ISG選項會將應用程式安裝程式的信譽傳遞至寫入磁碟的二進位檔,因此在某些情況下,它可以過度授權檔案。 例如,如果安裝程式在完成時啟動應用程式,則也會允許應用程式在第一次執行期間寫入的任何檔案。
使用ISG的已知限制
由於ISG只允許「已知良好」的二進位檔,因此在某些情況下,ISG 可能無法預測合法軟體是否安全執行。 如果發生這種情況,應用程控將會封鎖軟體。 在此情況下,您必須允許軟體在應用程控原則中使用規則、部署由應用程控原則中信任的憑證所簽署的目錄,或從應用程控受管理的安裝程式安裝軟體。 在運行時間動態建立二進位檔並自行更新應用程式的安裝程式或應用程式,可能會呈現此徵兆。
ISG 不支援已封裝的應用程式,而且必須在應用程控原則中個別授權。 由於已封裝的應用程式具有強大的應用程式身分識別且必須經過簽署,因此使用您的應用程控原則授權 已封裝的應用程式 相當簡單。
ISG 不會授權核心模式驅動程式。 應用程控原則必須具有允許必要驅動程式執行的規則。
注意
明確拒絕或允許檔案的規則會優先於該檔案的信譽數據。 Microsoft Intune的內建應用程控支援包含透過ISG信任信譽良好的應用程式的選項,但它沒有新增明確允許或拒絕規則的選項。 在大部分情況下,使用應用程控的客戶必須部署自定義的應用程控原則 (如果需要,可以使用 Intune 的 OMA-URI 功能) 包含 ISG 選項。