zarządzanie kontrolą aplikacji Windows Defender za pomocą Configuration Manager

  • Artykuł

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Windows Defender Application Control została zaprojektowana w celu ochrony urządzeń przed złośliwym oprogramowaniem i innym niezaufanym oprogramowaniem. Zapobiega on uruchamianiu złośliwego kodu, zapewniając, że można uruchamiać tylko zatwierdzony kod.

Application Control to oparta na oprogramowaniu warstwa zabezpieczeń, która wymusza jawną listę oprogramowania, które może być uruchamiane na komputerze. Sama kontrola aplikacji nie ma żadnych wymagań wstępnych dotyczących sprzętu ani oprogramowania układowego. Zasady kontroli aplikacji wdrożone za pomocą Configuration Manager włączają zasady na urządzeniach w docelowych kolekcjach, które spełniają minimalne wymagania dotyczące wersji systemu Windows i jednostki SKU opisane w tym artykule. Opcjonalnie opartą na funkcji hypervisor ochronę zasad kontroli aplikacji wdrożonych za pośrednictwem Configuration Manager można włączyć za pośrednictwem zasad grupy na sprzęcie obsługującym.

Aby uzyskać więcej informacji, zobacz przewodnik wdrażania Windows Defender Application Control.

Uwaga

Ta funkcja była wcześniej nazywana konfigurowalną integralnością kodu i funkcją Device Guard.

Używanie kontrolki aplikacji z Configuration Manager

Za pomocą Configuration Manager można wdrożyć zasady kontroli aplikacji. Te zasady umożliwiają skonfigurowanie trybu, w którym kontrolka aplikacji działa na urządzeniach w kolekcji.

Można skonfigurować jeden z następujących trybów:

  1. Włączone wymuszanie — można uruchamiać tylko zaufane pliki wykonywalne.
  2. Tylko inspekcja — zezwalaj na uruchamianie wszystkich plików wykonywalnych, ale rejestruj niezaufane pliki wykonywalne uruchamiane w lokalnym dzienniku zdarzeń klienta.

Co można uruchomić podczas wdrażania zasad kontroli aplikacji?

Kontrola aplikacji pozwala na zdecydowaną kontrolę nad tym, co można uruchamiać na zarządzanych urządzeniach. Ta funkcja może być przydatna w przypadku urządzeń w działach wysokiego poziomu zabezpieczeń, gdzie ważne jest, aby niechciane oprogramowanie nie mogło działać.

Podczas wdrażania zasad można zazwyczaj uruchamiać następujące elementy wykonywalne:

  • Składniki systemu operacyjnego Windows
  • Sterowniki Centrum deweloperów sprzętu z sygnaturami usługi Windows Hardware Quality Labs
  • Aplikacje z Microsoft Store
  • Klient Configuration Manager
  • Całe oprogramowanie wdrożone za pośrednictwem Configuration Manager instalowanych przez urządzenia po przetworzeniu zasad kontroli aplikacji
  • Aktualizacje do wbudowanych składników systemu Windows z:
    • Windows Update
    • Windows Update dla firm
    • Windows Server Update Services
    • Menedżer konfiguracji
    • Opcjonalnie oprogramowanie o dobrej reputacji określone przez Microsoft Intelligent Security Graph (ISG). Usługa ISG obejmuje Windows Defender SmartScreen i inne usługi Microsoft. Aby to oprogramowanie było zaufane, musi być uruchomione Windows Defender SmartScreen i Windows 10 wersji 1709 lub nowszej.

Ważna

Te elementy nie obejmują żadnego oprogramowania, które nie jest wbudowane w system Windows, które automatycznie aktualizuje z Internetu lub aktualizacji oprogramowania innych firm. To ograniczenie dotyczy tego, czy są one instalowane przez którykolwiek z wymienionych mechanizmów aktualizacji, czy z Internetu. Kontrola aplikacji zezwala tylko na zmiany oprogramowania wdrażane za pośrednictwem klienta Configuration Manager.

Obsługiwane systemy operacyjne

Aby używać kontroli aplikacji z Configuration Manager, na urządzeniach muszą być uruchomione obsługiwane wersje:

  • Windows 11 lub nowsza wersja enterprise
  • Windows 10 lub nowsza wersja enterprise
  • Windows Server 2019 lub nowszy

Porada

Istniejące zasady kontroli aplikacji utworzone za pomocą Configuration Manager wersji 2006 lub starszej nie będą działać z systemem Windows Server. Aby obsługiwać system Windows Server, utwórz nowe zasady kontroli aplikacji.

Przed rozpoczęciem

  • Po pomyślnym przetworzeniu zasad na urządzeniu Configuration Manager jest skonfigurowany jako instalator zarządzany na tym kliencie. Po procesach zasad oprogramowanie wdrożone przez Configuration Manager jest automatycznie zaufane. Zanim urządzenie przetworzy zasady kontroli aplikacji, oprogramowanie zainstalowane przez Configuration Manager nie jest automatycznie zaufane.

    Uwaga

    Na przykład nie można użyć kroku Zainstaluj aplikację w sekwencji zadań do instalowania aplikacji podczas wdrażania systemu operacyjnego. Aby uzyskać więcej informacji, zobacz Kroki sekwencji zadań — Instalowanie aplikacji.

  • Domyślny harmonogram oceny zgodności dla zasad kontroli aplikacji jest codziennie. Ten harmonogram można skonfigurować podczas wdrażania zasad. Jeśli zauważysz problemy z przetwarzaniem zasad, skonfiguruj harmonogram oceny zgodności tak, aby był częstszy. Na przykład co godzinę. Ten harmonogram określa częstotliwość ponownego przetwarzania zasad kontroli aplikacji przez klientów w przypadku wystąpienia błędu.

  • Niezależnie od wybranego trybu wymuszania podczas wdrażania zasad kontroli aplikacji urządzenia nie mogą uruchamiać aplikacji HTML z rozszerzeniem .hta pliku.

Tworzenie zasad kontroli aplikacji

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność.

  2. Rozwiń węzeł Endpoint Protection, a następnie wybierz węzeł Windows Defender Application Control.

  3. Na karcie Narzędzia główne na wstążce w grupie Tworzenie wybierz pozycję Utwórz zasady kontroli aplikacji.

  4. Na stronie OgólneKreatora tworzenia zasad kontroli aplikacji określ następujące ustawienia:

    • Nazwa: wprowadź unikatową nazwę dla tych zasad kontroli aplikacji.

    • Opis: Opcjonalnie wprowadź opis zasad, które ułatwiają ich identyfikację w konsoli Configuration Manager.

    • Wymuś ponowne uruchomienie urządzeń, aby można było wymusić te zasady dla wszystkich procesów: po przetworzeniu zasad przez urządzenie na kliencie jest zaplanowane ponowne uruchomienie zgodnie z ustawieniami klienta dla ponownego uruchomienia komputera. Aplikacje działające obecnie na urządzeniu nie będą stosować nowych zasad kontroli aplikacji dopiero po ponownym uruchomieniu. Jednak aplikacje uruchamiane po zastosowanie zasad będą uwzględniać nowe zasady.

    • Tryb wymuszania: wybierz jedną z następujących metod wymuszania:

      • Włączone wymuszanie: można uruchamiać tylko zaufane aplikacje.

      • Tylko inspekcja: zezwalaj na uruchamianie wszystkich aplikacji, ale rejestruj niezaufane programy, które są uruchamiane. Komunikaty inspekcji znajdują się w lokalnym dzienniku zdarzeń klienta.

  5. Na karcie Dołączania Kreatora tworzenia zasad kontroli aplikacji wybierz, czy chcesz autoryzować oprogramowanie, które jest zaufane przez program Intelligent Security Graph.

  6. Jeśli chcesz dodać relację zaufania dla określonych plików lub folderów na urządzeniach, wybierz pozycję Dodaj. W oknie dialogowym Dodawanie zaufanego pliku lub folderu można określić plik lokalny lub ścieżkę folderu do zaufania. Możesz również określić ścieżkę pliku lub folderu na urządzeniu zdalnym, na którym masz uprawnienia do nawiązywania połączenia. Po dodaniu zaufania dla określonych plików lub folderów w zasadach kontroli aplikacji można:

    • Rozwiązywanie problemów z zachowaniem instalatora zarządzanego.

    • Ufaj aplikacjom biznesowym, których nie można wdrożyć przy użyciu Configuration Manager.

    • Ufaj aplikacjom uwzględnionym w obrazie wdrażania systemu operacyjnego.

  7. Zakończ pracę kreatora.

Wdrażanie zasad kontroli aplikacji

  1. W konsoli programu Configuration Manager przejdź do obszaru roboczego Zasoby i zgodność.

  2. Rozwiń węzeł Endpoint Protection, a następnie wybierz węzeł Windows Defender Application Control.

  3. Z listy zasad wybierz tę, którą chcesz wdrożyć. Na karcie Narzędzia główne na wstążce w grupie Wdrażanie wybierz pozycję Wdróż zasady kontroli aplikacji.

  4. W oknie dialogowym Wdrażanie zasad kontroli aplikacji wybierz kolekcję, w której chcesz wdrożyć zasady. Następnie skonfiguruj harmonogram oceny zasad przez klientów. Na koniec wybierz, czy klient może ocenić zasady poza skonfigurowanymi oknami obsługi.

  5. Po zakończeniu wybierz przycisk OK , aby wdrożyć zasady.

Monitorowanie zasad kontroli aplikacji

Ogólnie rzecz biorąc, skorzystaj z informacji w artykule Monitorowanie ustawień zgodności . Te informacje mogą pomóc w monitorowaniu, czy wdrożone zasady zostały prawidłowo zastosowane do wszystkich urządzeń.

Aby monitorować przetwarzanie zasad kontroli aplikacji, użyj następującego pliku dziennika na urządzeniach:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Aby sprawdzić, czy określone oprogramowanie jest blokowane lub poddawane inspekcji, zobacz następujące dzienniki zdarzeń klienta lokalnego:

  • Do blokowania i inspekcji plików wykonywalnych należy używać dzienników> aplikacji i usług Microsoft>Windows>Code Integrity>Operational.

  • Do blokowania i inspekcji plików instalatora Windows i skryptów użyj dzienników> aplikacji i usług Microsoft>Windows>AppLocker>MSI i skryptu.

Informacje o zabezpieczeniach i ochronie prywatności

  • Urządzenia z wdrożonymi zasadami w trybie Tylko inspekcja lub Wymuszanie włączone , ale nie zostały uruchomione ponownie w celu wymuszenia zasad, są narażone na instalowanie niezaufanego oprogramowania. W takiej sytuacji oprogramowanie może nadal działać, nawet jeśli urządzenie zostanie ponownie uruchomione lub otrzyma zasady w trybie wymuszania włączone .

  • Aby ułatwić skuteczność zasad kontroli aplikacji, najpierw przygotuj urządzenie w środowisku laboratoryjnym. Wdróż zasady z włączoną obsługą wymuszania , a następnie uruchom ponownie urządzenie. Po sprawdzeniu, czy aplikacje działają, przekaż urządzenie użytkownikowi.

  • Nie wdrażaj zasad z włączoną opcją Wymuszanie , a następnie wdróż zasady tylko do inspekcji na tym samym urządzeniu. Ta konfiguracja może spowodować zezwolenie na uruchamianie niezaufanego oprogramowania.

  • Jeśli używasz Configuration Manager do włączania kontroli aplikacji na urządzeniach, zasady nie uniemożliwiają użytkownikom z uprawnieniami administratora lokalnego obejścia zasad kontroli aplikacji ani uruchamiania niezaufanego oprogramowania w inny sposób.

  • Jedynym sposobem, aby uniemożliwić użytkownikom z uprawnieniami administratora lokalnego wyłączenie kontroli aplikacji jest wdrożenie podpisanych zasad binarnych. To wdrożenie jest możliwe za pośrednictwem zasad grupy, ale obecnie nie jest obsługiwane w Configuration Manager.

  • Konfigurowanie Configuration Manager jako instalatora zarządzanego na urządzeniach używa zasad funkcji Windows AppLocker. Funkcja AppLocker służy tylko do identyfikowania instalatorów zarządzanych. Wszystkie wymuszanie odbywa się za pomocą kontroli aplikacji.

Następne kroki

Zarządzanie zasadami ochrony przed złośliwym kodem i ustawieniami zapory