Защитник Windows Управление управлением приложениями с помощью диспетчера конфигурации

Применяется к: Configuration Manager (текущая ветвь)

Введение

Защитник Windows Управление приложениями предназначено для защиты компьютеров от вредоносных программ и другого ненарушаемого программного обеспечения. Он предотвращает запуск вредоносного кода, обеспечивая запуск только утвержденного кода, который вы знаете.

Защитник Windows Application Control — это уровень безопасности на основе программного обеспечения, который обеспечивает выполнение явного списка программного обеспечения, разрешенного для работы на компьютере. Самостоятельно управление приложениями не имеет никаких необходимых условий для оборудования или прошивки. Политики управления приложениями, развернутые с помощью диспетчера конфигурации, позволяют использовать политику на ПК в целевых коллекциях, которые соответствуют минимальным требованиям Windows версии и SKU, описанным в этой статье. Дополнительно можно включить защиту политик управления приложениями на основе гипервизора, развернутых через Диспетчер конфигурации, с помощью групповой политики на оборудовании.

Дополнительные дополнительные Защитник Windows управления приложениями читайте в руководстве по Защитник Windows управления приложениями.

Примечание

  • Начиная с Windows 10 версии 1709, настраиваемые политики целостности кода известны как Защитник Windows Application Control.
  • Начиная с версии Configuration Manager 1710 политики device Guard были переименованы в Защитник Windows политики управления приложениями.

Использование Защитник Windows управления приложениями с помощью диспетчера конфигурации

Вы можете использовать Диспетчер конфигурации для развертывания политики Защитник Windows управления приложениями. Эта политика позволяет настроить режим, в котором Защитник Windows управление приложениями выполняется на ПК в коллекции.

Можно настроить один из следующих режимов:

  1. Включено правоприменительный органы . Разрешено выполнять только доверенные исполняемые.
  2. Только аудит . Разрешить выполнение всех исполняемых исполняемых, но в журнале неоправданных исполняемых исполняемых, которые выполняются в локальном журнале событий клиента.

Совет

Эта функция впервые была представлена в версии 1702 в качестве функции предварительного выпуска. Начиная с версии 1906, она больше не является функцией предварительного выпуска.

Что можно запустить при развертывании политики Защитник Windows управления приложениями?

Защитник Windows Управление приложениями позволяет строго контролировать то, что можно запускать на управляемых пк. Эта функция может быть полезна для компьютеров в отделах с высокой безопасностью, где крайне важно, чтобы нежелательное программное обеспечение не запускалось.

При развертывании политики, как правило, могут выполняться следующие исполняемые:

  • Windows компонентов операционной системы
  • Центр разработки оборудования драйверов (у Windows подписей hardware Quality Labs)
  • Приложения Магазина Windows
  • Клиент Configuration Manager
  • Все программное обеспечение, развернутые с помощью диспетчера конфигурации, устанавливаемого компьютерами после обработки Защитник Windows управления приложениями.
  • Обновления компонентов Windows из:
    • Центр обновления Windows
    • Центр обновления Windows для бизнеса
    • Windows Server Update Services
    • Configuration Manager.
    • Необязательно программное обеспечение с хорошей репутацией, определяемой службой безопасности Microsoft Intelligent Security Graph (ISG). IsG включает в себя Защитник Windows SmartScreen и другие службы Майкрософт. Устройство должно быть запущено Защитник Windows SmartScreen и Windows 10 версии 1709 или более поздней версии, чтобы доверять этому программному обеспечению.

Важно!

Эти элементы не включают программное ** обеспечение, не встроенное в Windows, которое автоматически обновляется из Интернета или сторонних обновлений программного обеспечения независимо от того, устанавливаются ли они с помощью любого из механизмов обновления, упомянутых ранее, или из Интернета. Только изменения программного обеспечения, которые развернуты, хотя клиент Configuration Manager может работать.

Поддерживаемые операционные системы

Для использования Защитник Windows управления приложениями с помощью диспетчера конфигурации необходимо запускать управляемые устройства:

  • Windows 10 Корпоративная версии 1703 или более поздней версии.
  • Windows Server 2019 или более поздний (представлен в версии 2010 г.)

Совет

Создайте новые политики для Windows серверных операционных систем после установки Configuration Manager 2010 и установки обновленного клиента. Существующие Защитник Windows службы управления приложениями, созданные до установки 2010 г., не будут работать с операционными системами Windows Server.

Перед началом работы

Перед настройкой или развертывание Защитник Windows политик управления приложениями ознакомьтесь со следующими сведениями:

  • После успешной обработки политики на клиентских КОМПЬЮТЕРАх диспетчер конфигурации настраивается в качестве управляемого установщика на этом клиенте. Программное обеспечение, развернутые через него после процессов политики, автоматически доверяется. Программное обеспечение, установленное диспетчером конфигурации до Защитник Windows политик управления приложениями, не является автоматически доверенным.
  • Расписание оценки соответствия требованиям по умолчанию для политик управления приложениями, настраиваемых во время развертывания, составляет один день. Если наблюдаются проблемы при обработке политики, может быть полезно настроить расписание оценки соответствия требованиям, чтобы он был короче, например каждый час. В этом расписании определяется, как часто клиенты повторно Защитник Windows политики управления приложениями в случае сбоя.
  • Независимо от выбранного режима применения при развертывании политики управления приложениями Защитник Windows клиентские ПК не могут запускать HTML-приложения с расширением .hta.
  • Создайте новые политики для Windows серверных операционных систем после установки Configuration Manager 2010 и установки обновленного клиента. Существующие Защитник Windows службы управления приложениями, созданные до установки 2010 г., не будут работать с операционными системами Windows Server.

Создание политики управления Защитник Windows приложений

  1. В консоли Configuration Manager нажмите кнопку Активы и соответствиетребованиям.
  2. В рабочей области "Активы и соответствие требованиям" Endpoint Protection инажмите кнопку Защитник Windows application Control.
  3. На вкладке Home в группе Create нажмите кнопку Создать политику управления приложениями.
  4. На общей странице мастера политики управленияприложениями укажите следующие параметры:
    • Имя . Введите уникальное имя для Защитник Windows политики управления приложениями.
    • Описание . Необязательно введите описание политики, которая помогает идентифицировать ее в консоли Configuration Manager.
    • Примените перезапуск устройств, чтобы эта политика была применена для всех процессов . После обработки политики на клиентских ПК на клиенте планируется перезапуск в соответствии с клиентской Параметры для перезапуска компьютера.
      • Устройства, Windows 10 версии 1703 или более ранних версий, всегда будут автоматически перезапущены.
      • Начиная с Windows 10 версии 1709, приложения, работающие в настоящее время на устройстве, не будут применять к ним новую политику управления приложениями только после перезапуска. Однако приложения, запущенные после применения политики, будут соблюдать новую политику управления приложениями.
    • Режим применения — выберите один из следующих способов применения Защитник Windows управления приложениями на клиентской ПК.
      • Включено правоприменительный органы . Разрешено запускать только доверенные исполняемые.
      • Только аудит . Разрешить выполнение всех исполняемых, но журнал неоправданных исполняемых исполняемых, которые выполняются в локальном журнале событий клиента.
  5. На вкладке Включений мастера политики управления приложениями выберите, хотите ли вы разрешить программное обеспечение, которому доверяют интеллектуальные **** Graph.
  6. Нажмите кнопку Добавить, если вы хотите добавить доверие для определенных файлов или папок на ПК. В диалоговом окне Добавить доверенный файл или папку можно указать локальный файл или путь к папке, чтобы доверять. Вы также можете указать путь файла или папки на удаленном устройстве, на котором у вас есть разрешение на подключение. При добавлении доверия к определенным файлам или папкам в Защитник Windows политики управления приложениями можно:
    • Устранение проблем с поведением управляемого установщика
    • Доверяйте бизнес-приложениям, которые невозможно развернуть с помощью Configuration Manager
    • Доверяйте приложениям, включенным в образ развертывания операционной системы.
  7. Нажмите кнопку Далее, чтобы завершить мастер.

Важно!

Включение доверенных файлов или папок поддерживается только на клиентских ПК с версией 1706 или более поздней версии клиента Configuration Manager. Если какие-либо правила включения включены в политику Защитник Windows управления приложениями, а затем политика развернута на клиентский компьютер, работающий более ранней версией на клиенте Configuration Manager, политика не будет применена. Обновление этих старых клиентов позволит решить эту проблему. Политики, которые не включают никаких правил включения, могут по-прежнему применяться в старых версиях клиента Configuration Manager.

Развертывание политики управления Защитник Windows приложений

  1. В консоли Configuration Manager нажмите кнопку Активы и соответствиетребованиям.
  2. В рабочей области "Активы и соответствие требованиям" Endpoint Protection инажмите кнопку Защитник Windows application Control.
  3. Из списка политик выберите развертывание, а затем на вкладке Главная в **** группе развертывания нажмите кнопку Развертывание политики управления приложениями.
  4. В диалоговом окне Политика развертывания политики развертывания выберите коллекцию, в которую необходимо развернуть политику. Затем настройте расписание для оценки политики клиентами. Наконец, выберите, может ли клиент оценить политику за пределами настраиваемых окон обслуживания.
  5. По завершению нажмите кнопку ОК, чтобы развернуть политику.

Отслеживание политики Защитник Windows приложений

Используйте сведения в статье Параметры соответствия требованиям Monitor, чтобы отслеживать правильность применения развернутой политики на всех компьютерах.

Чтобы отслеживать обработку политики управления Защитник Windows приложений, используйте следующий файл журнала на клиентских компьютерах:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Чтобы проверить заблокированное или аудитное программное обеспечение, см. в следующих журналах локальных событий клиента:

  1. Для блокировки и аудита исполняемых файлов используйте журналы приложений и служб **** > Microsoft > Windows > Code Integrity > Operational.
  2. Для блокировки и аудита Windows установщика и **** файлов скриптов используйте журналы приложений и служб > Microsoft Windows > **** > MSI и script AppLocker. > ****

Сведения о безопасности и конфиденциальности для Защитник Windows управления приложениями

  • Устройства с политикой, развернутой для **** них в режиме только аудита или с поддержкой принудительных мер, которые не были перезапущены для обеспечения выполнения политики, уязвимы для установки ненарушенной программы. В этой ситуации по-прежнему может быть разрешено запускать программное обеспечение, даже если устройство перезапустится или получит политику в режиме "Включено в исполнение".
  • Чтобы убедиться Защитник Windows политика управления приложениями эффективна, подготовьте устройство в лабораторной среде. Затем разверните политику включения принудательных устройств и, наконец, перезапустите устройство перед тем, как предоставить устройство конечному пользователю.
  • Не развертывать политику с включенной поддержкойпринудительных устройств, а затем развернуть политику с помощью аудита только на том же устройстве. Эта конфигурация может привести к недоверию программного обеспечения к запуску.
  • При использовании Configuration Manager для Защитник Windows управления приложениями на клиентских ПК политика не мешает пользователям с правами локального администратора обойти политики управления приложениями или иным образом выполнять ненаправленное программное обеспечение.
  • Единственный способ предотвратить отключение управления приложениями пользователями с правами местного администратора — развертывание подписанной двоичной политики. Это развертывание возможно с помощью групповой политики, но в настоящее время не поддерживается в Configuration Manager.
  • Настройка диспетчера конфигурации в качестве управляемого установщика на клиентских ПК использует политику AppLocker. AppLocker используется только для идентификации управляемых установщиков, и все правоприменения Защитник Windows управления приложениями.

Дальнейшие действия

Управление политиками защиты от вредоносных программ и параметрами брандмауэра