Device Guard felügyelet a Configuration ManagerrelDevice Guard management with Configuration Manager

Vonatkozik: A System Center Configuration Manager (aktuális ág)Applies to: System Center Configuration Manager (Current Branch)

BevezetésIntroduction

A Device Guard olyan Windows 10-es funkcióit, amelyek rendszerű számítógépek védelme a kártevők és más nem megbízható szoftverekkel szemben.Device Guard is a group of Windows 10 features that are designed to protect PCs against malware and other untrusted software. Megakadályozza, hogy kártevő kódja fut biztosításával, hogy csak jóváhagyott kódokat, hogy tudja, is futtathatók.It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

A Device Guard magában foglalja a szoftverek és hardveralapú biztonsági funkciókat is.Device Guard encompasses both software and hardware-based security functionality. Windows Defender Alkalmazásvezérlés, amely egy szoftveralapú biztonsági, amely érvényesíti a szoftver futhat a PC-explicit listáját.Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. A saját, az Alkalmazásvezérlés nincs hardver- vagy belső vezérlőprogram előfeltételeket.On its own, Application Control does not have any hardware or firmware prerequisites. Alkalmazásvezérlési házirendek a Configuration Managerrel telepített engedélyezése egy szabályzatot a megcélzott gyűjtemények a minimális Windows-verzió és a következő cikkben ismertetett Termékváltozat igényeinek megfelelő számítógépeken.Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. Igény szerint hipervizor-alapú a Configuration Manager használatával telepített Alkalmazásvezérlés szabályzatai számára is engedélyezni a védelmet csoportházirenden keresztül az erre alkalmas hardvereszközökön.Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Device Guard kapcsolatos további információkért olvassa el a Device Guard üzembe helyezési útmutató.To learn more about Device Guard, read the Device Guard deployment guide.

Megjegyzés

Windows 10 rendszer 1709-es, kezdve konfigurálható kódintegritási szabályzatok, a Windows Defender Alkalmazásvezérlés nevezik.Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.

A Device Guard és a Configuration Manager használatávalUsing Device Guard with Configuration Manager

A Configuration Manager segítségével telepítheti a Windows Defender Alkalmazásvezérlés szabályzatának.You can use Configuration Manager to deploy a Windows Defender Application Control policy. Ez a szabályzat lehetővé teszi a módot, amelyben a Device Guard futtató számítógépeken egy gyűjtemény konfigurálását.This policy lets you configure the mode in which Device Guard runs on PCs in a collection.

A következő módok egyikét állíthatja be:You can configure one of the following modes:

  1. Kényszerítés engedélyezve – csak a megbízható végrehajtható fájlok futtatását engedélyezi.Enforcement enabled - Only trusted executables are allowed to run.
  2. Csak naplózás – az összes végrehajtható fájlok futtatásának engedélyezése, de a napló nem megbízható végrehajtható fájlok, amelyek az ügyfél helyi Eseménynapló futnak.Audit only - Allow all executables to run, but log untrusted executables that run in the local client event log.

Tipp

A Configuration Manager jelen verziója a Device Guard az előzetes funkciókat.In this version of Configuration Manager, Device Guard is a pre-release feature. Tekintse meg az engedélyezéshez előzetes verziójú funkciók a System Center Configuration Managerben.To enable it, see Pre-release features in System Center Configuration Manager.

Milyen futtathatja, ha telepít egy Windows Defender Alkalmazásvezérlés szabályzatának?What can run when you deploy a Windows Defender Application Control policy?

A Windows a Device Guard lehetővé teszi, hogy erősen szabályozhatja a mi futtathatja a felügyelt számítógépeken.Windows Device Guard lets you strongly control what can run on PCs you manage. Ez a funkció akkor lehet hasznos számítógépek esetében a magas biztonsági szintű szervezeti egységek, ahol létfontosságú a szereplőknek, hogy nemkívánatos szoftverek nem futtatható.This feature can be useful for PCs in high-security departments, where it's vital that unwanted software cannot run.

Amikor telepít egy házirendet, általában a következő végrehajtható fájlok futtathatja:When you deploy a policy, typically, the following executables can run:

  • Windows operációs rendszer összetevőiWindows operating system components
  • Hardver-fejlesztői központhoz illesztőprogramok (Windows Hardware Quality Labs aláírással rendelkeznek-e)Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
  • Windows Store appsWindows Store apps
  • A Configuration Manager-ügyfélThe Configuration Manager client
  • Az összes szoftver telepítve a Configuration Manager használatával, hogy a számítógépek telepítése a Windows Defender Alkalmazásvezérlés szabályzatának feldolgozása után.All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
  • A windows-összetevők frissítéseit:Updates to windows components from:
    • Windows UpdateWindows Update
    • Windows Update for BusinessWindows Update for Business
    • A Windows Server Update ServicesWindows Server Update Services
    • Configuration ManagerConfiguration Manager
    • Szükség esetén szoftver egy alkalmazástípusokat beállított által a Microsoft Intelligent Security Graph (ISG).Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). Az ISG magában foglalja a Windows Defender SmartScreen és más Microsoft-szolgáltatásokba.The ISG includes Windows Defender SmartScreen and other Microsoft services. Az eszköz futnia kell a Windows Defender SmartScreen és a Windows 10-es verziója a szoftver megbízhatóságának 1709-es vagy újabb.The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

Fontos

Ezek az elemek nem tartalmaznak minden olyan szoftver, amely nem beépített Windows, amely automatikusan frissíti az interneten vagy külső szoftverfrissítési frissíti a korábban említett frissítési mechanizmusok használatával telepített-e vagy az internetről.These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. A Configuration Manager-ügyfél üzembe helyezett azonban csak szoftvermódosítások futtathatja.Only software changes that are deployed though the Configuration Manager client can run.

ElőkészületekBefore you start

Konfigurálása előtt, vagy üzembe helyezése a Windows Defender Alkalmazásvezérlés szabályzatai számára, olvassa el a következő információkat:Before you configure or deploy Windows Defender Application Control policies, read the following information:

  • Device Guard kezelése a Configuration Managerben kiadás előtti funkció, és változhatnak.Device Guard management is a pre-release feature for Configuration Manager, and is subject to change.
  • Device Guard és a Configuration Manager használatához kezelt számítógépeket futnia kell a Windows 10 Enterprise verziót 1703-as vagy újabb.To use Device Guard with Configuration Manager, PCs you manage must be running the Windows 10 Enterprise version 1703, or later.
  • A szabályzat sikeresen feldolgozta az ügyfélen PC, miután egy felügyelt telepítőjét, hogy az ügyfél a Configuration Manager van beállítva.Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. A szabályzat folyamatok után, helyezzük szoftvere automatikusan megbízhatónak.Software deployed through it, after the policy processes, is automatically trusted. A Windows Defender Alkalmazásvezérlés házirend folyamatok előtt a Configuration Manager által telepített szoftvereket, nem automatikusan megbízható.Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
  • Ügyfélszámítógépek a tartományvezérlővel kell rendelkeznie ahhoz, hogy a Windows Defender Alkalmazásvezérlés házirend feldolgozása sikeresen megtörtént.Client PCs must have connectivity to their Domain Controller in order for a Windows Defender Application Control policy to be processed successfully.
  • A megfelelőség értékelésének alapértelmezett ütemezését az Alkalmazásvezérlés szabályzatai, konfigurálható üzembe helyezés során a rendszer minden nap.The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Ha figyelhetők a csoportházirend feldolgozása a problémák, lehet előnyös, ha a megfelelőség értékelésének ütemezését kell rövidebb, például minden órában konfigurálása.If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Ez az ütemezés előírja, hogy milyen gyakran ügyfelek naplófájljában feldolgozni a Windows Defender Alkalmazásvezérlés szabályzatának, ha hiba történik.This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
  • A kényszerítési mód függetlenül választja, a Windows Defender Alkalmazásvezérlés szabályzatot, az ügyfél számítógépeken nem futtatható a bővítmény .hta HTML-alkalmazások központi telepítésekor.Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.

A Windows Defender Alkalmazásvezérlés szabályzatának létrehozásaHow to create a Windows Defender Application Control policy

  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőségelemre.In the Configuration Manager console, click Assets and Compliance.
  2. Az a eszközök és megfelelőség munkaterületet, bontsa ki a Endpoint Protection, és kattintson a Windows Defender Alkalmazásvezérlés.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. Az a kezdőlap lap a létrehozás csoportjában kattintson a létrehozása alkalmazásfelügyeleti szabályzat.On the Home tab, in the Create group, click Create Application Control policy.
  4. Az a általános lapján a létrehozása alkalmazásfelügyeleti szabályzat varázsló, adja meg a következő beállításokat:On the General page of the Create Application Control policy Wizard, specify the following settings:
    • Név – adjon meg egy egyedi nevet a Windows Defender Alkalmazásvezérlés szabályzatának.Name - Enter a unique name for this Windows Defender Application Control policy.
    • Leírás – igény esetén itt adhatja meg, hogy könnyebb legyen azonosítani a Configuration Manager konzolon a házirend leírását.Description - Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
    • Eszközök kényszerített újraindítása annak kényszerítéséhez, hogy ez a házirend az összes folyamat esetében be lehessen tartatni – a számítógépes ügyfél a házirend feldolgozása után újraindítás az ügyfélen, a következők szerint van-e ütemezve a ügyfélbeállítások a A számítógép újraindítása.Enforce a restart of devices so that this policy can be enforced for all processes - After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
      • A Windows 10-es verzió fut, 1703-as vagy korábbi eszközök mindig automatikusan újraindul.Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
      • A Windows 10 1709-es verziótól kezdődően az eszközön futó alkalmazások nem lesznek az újraindítás után alkalmazza őket, amíg új alkalmazásfelügyeleti szabályzat.Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. Azonban az elindítása után a szabályzat hatálya alá tartozó alkalmazások veszi az új alkalmazásfelügyeleti szabályzat.However, applications launched after the policy applies will honor the new Application Control policy.
    • Kényszerítési mód – válasszon a következő kényszerítési módszere a Device Guard az ügyfélszámítógépen.Enforcement Mode - Choose one of the following enforcement methods for Device Guard on the client PC.
      • Kényszerítés engedélyezve – csak lehetővé teszi a megbízható végrehajtható fájlok futtatását engedélyezi.Enforcement Enabled - Only allow trusted executables are allowed to run.
      • Csak naplózás – az összes végrehajtható fájlok futtatásának engedélyezése, de a napló nem megbízható végrehajtható fájlok, amelyek az ügyfél helyi Eseménynapló futnak.Audit Only - Allow all executables to run, but log untrusted executables that run in the local client event log.
  5. Az a befoglalások lapján a létrehozása alkalmazásfelügyeleti szabályzat varázsló, úgy döntött, hogy szeretné engedélyezik az Intelligent Security Graph által megbízhatónak tartott szoftver.On the Inclusions tab of the Create Application Control policy Wizard, chose if you want to Authorize software that is trusted by the Intelligent Security Graph.
  6. Kattintson a Hozzáadás Ha számítógépeken megbízhatósági meghatározott fájlokat és mappákat a hozzáadni kívánt.Click Add if you want to add trust for specific files or folders on PCs. Az a hozzáadása megbízható fájl vagy mappa párbeszédpanelen is megadhat egy helyi fájlból vagy egy mappa elérési útja, hogy bízzon meg.In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. Megadhat egy fájl vagy mappa elérési útját is, amelyen engedélye csatlakozni egy távoli eszközön.You can also specify a file or folder path on a remote device on which you have permission to connect. Megbízhatósági kapcsolat a meghatározott fájlokat és mappákat a Windows Defender Alkalmazásvezérlés szabályzatának ad hozzá, akkor lehetősége:When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
    • Kiküszöbölheti a felügyelt telepítő viselkedések problémáiOvercome issues with managed installer behaviors
    • Megbízhatósági üzleti alkalmazások, amelyek nem telepíthetők a Configuration ManagerrelTrust line-of-business apps that cannot be deployed with Configuration Manager
    • Megbízható alkalmazásokat, amelyek szerepelnek az operációs rendszer központi telepítési lemezképét.Trust apps that are included in an operating system deployment image.
  7. Kattintson a tovább, a varázsló befejezéséhez.Click Next, to complete the wizard.

Fontos

Megbízható fájlok vagy mappák felvétele 1706 vagy a Configuration Manager-ügyfél újabb verzióját futtató ügyfélszámítógépeken csak támogatott.The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Ha bármely belefoglalási szabályok szerepelnek a Windows Defender Alkalmazásvezérlés szabályzatának, és a házirend majd települ egy ügyfél egy korábbi verzióját a Configuration Manager-ügyfélen számítógép, a házirend nem fogja tudni alkalmazható.If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Ezek a régebbi ügyfelek frissítése a probléma megoldásához lesz.Upgrading these older clients will resolve this issue. A Configuration Manager-ügyfél régebbi verzióin házirendeket, amelyek nem tartalmaznak minden belefoglalási szabályok továbbra is lehet alkalmazni.Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

A Windows Defender Alkalmazásvezérlés szabályzatának üzembe helyezéseHow to deploy a Windows Defender Application Control policy

  1. Kattintson a Configuration Manager-konzolon az Eszközök és megfelelőségelemre.In the Configuration Manager console, click Assets and Compliance.
  2. Az a eszközök és megfelelőség munkaterületet, bontsa ki a Endpoint Protection, és kattintson a Windows Defender Alkalmazásvezérlés.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. A listából, szabályok, válassza ki az egyik szeretné telepíteni, majd a a kezdőlap lap a üzembe helyezési csoportjában kattintson a Alkalmazásvezérlési szabályzat üzembe helyezése.From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
  4. Az a üzembe helyezése alkalmazásfelügyeleti szabályzat párbeszédpanelen jelölje ki a gyűjteményt, amelyhez a szabályzatot telepíteni szeretné.In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. Ezután konfiguráljon egy ütemezést az amikor az ügyfelek kiértékelése a szabályzatot.Then, configure a schedule for when clients evaluate the policy. Végül válassza ki, hogy az ügyfél képes kiértékelni a szabályzat beállított karbantartási időszakokon kívül történjen.Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
  5. Ha elkészült, kattintson a OK a szabályzatot telepíteni szeretné.When you are finished, click OK to deploy the policy.

A Windows Defender Alkalmazásvezérlés szabályzatának figyeléseHow to monitor a Windows Defender Application Control policy

Olvassa el az a megfelelőségi beállítások figyelése cikk megfigyelheti, hogy a telepített házirend alkalmazásának minden számítógépre megfelelően.Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

A Windows Defender Alkalmazásvezérlés szabályzatának feldolgozása monitorozásához használja az alábbi naplófájlban ügyfélgép:To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

%Windir%\CCM\Logs\DeviceGuardHandler.log%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Ellenőrizze a szoftver blokkolja, vagy naplózva, tekintse meg a következő helyi ügyfélesemény-naplókba:To verify the specific software being blocked or audited, see the following local client event logs:

  1. A blokkolás és végrehajtható fájlok naplózása használja alkalmazások és szolgáltatásnaplók > Microsoft > Windows > Kódintegritás > működési.For blocking and auditing of executable files, use Applications and Services Logs > Microsoft > Windows > Code Integrity > Operational.
  2. Blokkolja-e, és a Windows Installer és parancsfájlok naplózását, használja alkalmazások és szolgáltatásnaplók > Microsoft > Windows > AppLocker > MSI és parancsfájl.For blocking and auditing of Windows Installer and script files, use Applications and Services Logs > Microsoft > Windows > AppLocker > MSI and Script.

Device Guard kapcsolatos biztonsági és adatvédelmi tudnivalókatSecurity and privacy information for Device Guard

  • A jelen kiadás előtti verziójában, ne telepítse a kényszerítési mód a Windows Defender Alkalmazásvezérlés szabályzatok csak naplózási éles környezetben.In this pre-release version, do not deploy Windows Defender Application Control policies with the enforcement mode Audit Only in a production environment. Ebben a módban segítséget nyújtanak a funkció teszteléséhez tesztkörnyezetben csak célja.This mode is intended to help you test the capability in a lab setting only.
  • A telepített egy szabályzattal rendelkező eszközök csak naplózási vagy kényszerítési engedélyezve mód, amely nem lett újraindítva a szabályzatban ki téve telepítése nem megbízható szoftverekkel.Devices that have a policy deployed to them in Audit Only or Enforcement Enabled mode that have not been restarted to enforce the policy, are vulnerable to untrusted software being installed. Ebben a helyzetben a szoftver továbbra is futtatható, még akkor is, ha az eszköz újraindul, és megkapja a házirendet a kényszerítési engedélyezve mód.In this situation, the software might continue to be allowed to run even if the device restarts, or receives a policy in Enforcement Enabled mode.
  • Annak biztosításához, hogy a Windows Defender Alkalmazásvezérlés szabályzatának hatékony, az eszköz a laborkörnyezet előkészítése.To ensure that the Windows Defender Application Control policy is effective, prepare the device in a lab environment. Ezután helyezze üzembe a kényszerítési engedélyezve szabályzatot, és végül, indítsa újra az eszközt, mielőtt a végfelhasználók az eszközt.Then, deploy the Enforcement Enabled policy, and finally, restart the device before you give the device to an end user.
  • Ne telepítsen egy házirend kényszerítési engedélyezve, és később telepítse a házirendet a csak naplózási ugyanarra az eszközre.Do not deploy a policy with Enforcement Enabled, and then later deploy a policy with Audit Only to the same device. Ez a konfiguráció futtatását engedélyezi nem megbízható szoftverektől eredményezhet.This configuration might result in untrusted software being allowed to run.
  • Ahhoz, hogy a Windows Defender Alkalmazásvezérlés ügyfélgépekhez a Configuration Manager használatakor a szabályzat nem akadályozza meg kerülik meg az Alkalmazásvezérlés szabályzatai számára, vagy ellenkező esetben a nem megbízható szoftverektől végrehajtása a helyi rendszergazdai jogosultságokkal rendelkező felhasználóknak.When you use Configuration Manager to enable Windows Defender Application Control on client PCs, the policy does not prevent users with local administrator rights from circumventing the Application Control policies or otherwise executing untrusted software.
  • Az egyetlen módszer, hogy a felhasználók helyi rendszergazdai jogosultságokkal az Alkalmazásvezérlés letiltása, hogy egy aláírt bináris házirendet telepíti.The only way to prevent users with local administrator rights from disabling Application Control is to deploy a signed binary policy. A központi telepítés rendszer csoportházirenden keresztül lehetséges, de nem támogatott a Configuration Managerben.This deployment is possible through Group Policy but not currently supported in Configuration Manager.
  • AppLocker-házirend beállítása a Configuration Manager beállítása, egy felügyelt telepítő ügyfél számítógépeken használja.Setting up Configuration Manager as a Managed Installer on client PCs uses AppLocker policy. Az AppLocker csak felügyelt telepítők azonosításához, és minden kényszerítési fordul elő, ha a Windows Defender Alkalmazásvezérlés.AppLocker is only used to identify Managed Installers and all enforcement happens with Windows Defender Application Control.