Управление приложениямиApp control

Управление приложениями — это необязательный метод обеспечения безопасности в компьютере под управлением Майкрософт, который ограничивает выполнение кода на клиентских устройствах.App control is an optional security practice in Microsoft Managed Desktop that restricts the execution of code on client devices. Этот контроль снижает риск вредоносного ПО или вредоносных сценариев, требуя запускать только код, подписанный утвержденным клиентом списком издателей.This control mitigates the risk of malware or malicious scripts by requiring that only code signed by a customer-approved list of publishers can run. Этот контроль имеет множество преимуществ безопасности, но в первую очередь он предназначен для защиты данных и удостоверений от клиентских эксплойтов.There are many security benefits from this control, but it primarily aims to protect data and identity from client-based exploits.

Компьютеры, управляемые Майкрософт, упрощают управление политиками управления приложениями, создавая базовую политику, которая обеспечивает основные сценарии повышения производительности.Microsoft Managed Desktop simplifies the management of app control policies by creating a base policy that enables core productivity scenarios. Вы можете расширить доверие другим подписателям, которые являются специфическими для приложений и сценариев в вашей среде.You can extend trust to other signers that are specific to the apps and scripts in your environment.

Для любой технологии безопасности требуется баланс между пользовательским интерфейсом, безопасностью и затратами.Any security technology requires a balance among user experience, security, and cost. Управление приложениями снижает угрозу вредоносного ПО в вашей среде, но это может привести к последствиям для пользователя и дальнейших действий для ИТ-администратора.App control reduces the threat of malicious software in your environment, but there are consequences to the user and further actions for your IT administrator.

Дополнительная безопасность:Additional security:

Приложения или сценарии, которые не являются доверенными политикой управления приложениями, не могут работать на устройствах.Apps or scripts that are not trusted by the app control policy are blocked from running on devices.

Дополнительные обязанности:Your additional responsibilities:

  • Вы несете ответственность за тестирование приложений, чтобы определить, будут ли они блокироваться политикой управления приложениями.You are responsible for testing your apps to identify whether they would be blocked by the application control policy.
  • Если приложение заблокировано (или будет) заблокировано, вы несете ответственность за определение необходимых сведений о подписываемом документе и запрос на изменение на портале администрирования.If an app is (or would be) blocked, you are responsible for identifying the needed signer details and requesting a change through the Admin portal.

Обязанности компьютеров, управляемых Майкрософт:Microsoft Managed Desktop responsibilities:

  • Компьютеры, управляемые Майкрософт, поддерживают базовую политику, которая включает основные продукты Майкрософт, такие как приложения M365, Windows, Teams, OneDrive и так далее.Microsoft Managed Desktop maintains the base policy that enables core Microsoft products like M365 Apps, Windows, Teams, OneDrive, and so on.
  • Компьютер под управлением Майкрософт вставляет доверенных подписателей и развертывает обновленную политику на устройствах.Microsoft Managed Desktop inserts your trusted signers and deploys the updated policy to your devices.

Управление доверием в приложенияхManaging trust in applications

На компьютере, управляемом Майкрософт, вы можете создать базовую политику, которая доверяет основным компонентам технологий Майкрософт.Microsoft Managed Desktop curates a base policy that trusts the core components of Microsoft technologies. Затем вы добавляете доверие для собственных приложений и сценариев, сообщая компьютеру, управляемому Майкрософт, кому из них вы уже доверяете.You then add trust for your own applications and scripts by informing Microsoft Managed Desktop which of them you already trust.

Базовая политикаBase policy

Компьютер под управлением Майкрософт в сотрудничестве со специалистами майкрософт по кибербезопасности создает и поддерживает стандартную политику, которая позволяет большинству приложений развертываться с помощью Microsoft Intune, блокируя опасные действия, такие как компиляция кода или выполнение недостоверных файлов.Microsoft Managed Desktop, in collaboration with Microsoft cybersecurity experts, creates, and maintains a standard policy that enables most apps deployed through Microsoft Intune while blocking dangerous activities like code compilation or execution of untrusted files.

Базовая политика принимает следующий подход к ограничению выполнения программного обеспечения:The base policy takes the following approach to restricting software execution:

  • Файлы, которые запускают администраторы, могут запускаться.Files run by administrators will be allowed to run.
  • Файлы в расположениях, которые не находятся в папках, недоступных для записи, будут запускаться.Files in locations that are not in user-writable directories will be allowed to run.
  • Файлы подписываются доверенным подписав лицом.Files are signed by a trusted signer.
  • Большинство файлов, подписанных корпорацией Майкрософт, будут запускаться, но некоторые из них блокируются, чтобы предотвратить рискованные действия, например компиляцию кода.Most files signed by Microsoft will run, however some are blocked to prevent high-risk actions like code compilation.

Если пользователь, кроме администратора, мог добавить приложение или сценарий на устройство (т. е. находится в доступном для записи каталоге), мы не разрешим его выполнение, если это не разрешено специально администратором.If a user other than an administrator could have added an app or script to a device (that is, it's in a user-writable directory), we won't allow it to execute unless it has already been specifically allowed by an administrator. Если пользователь пытается установить вредоносное ПО, если уязвимость в приложении запускается, пользователь пытается установить вредоносное ПО или если пользователь намеренно пытается запустить неавторизованные приложения или сценарии, наша политика остановит выполнение.If a user is tricked into trying to install malware, if a vulnerability in an app the user runs attempts to install malware, or if a user intentionally tries to run an unauthorized app or script, our policy will stop execution.

Запросы подписавSigner requests

Вы сообщаете нам о том, какие приложения предоставляются издателями программного обеспечения, которым вы доверяете, подав запрос подписав.You inform us of which apps are provided by software publishers you trust by filing a signer request. Таким образом мы добавляем эти сведения о доверии в базовую политику управления приложениями и разрешаем запуск любого программного обеспечения, подписанного этим сертификатом издателя, на ваших устройствах.By doing so, we add that trust information into the baseline application control policy and allow any software signed with that publisher's certificate to run on your devices.

Политики аудита и принудительного соблюденияAudit and Enforced policies

Компьютеры, управляемые Майкрософт, используют две политики Microsoft Intune для управления приложениями:Microsoft Managed Desktop uses two Microsoft Intune policies to provide app control:

Политика аудитаAudit policy

Эта политика создает журналы, в которые записывают, будут ли приложение или сценарий заблокированы политикой "Принудительно".This policy creates logs to record whether an app or script would be blocked by the Enforced policy. Политики аудита не принудительно применяют правила управления приложениями и предназначены для тестирования, чтобы определить, требуется ли приложению исключение издателя.Audit policies don't enforce app control rules and are meant for testing purposes to identify whether an application will require a publisher exemption. Он регистрировал предупреждения (события 8003 или 8006) в окне просмотра событий, а не блокировал выполнение или установку указанных приложений или сценариев.It logs warnings (8003 or 8006 events) in Event Viewer instead of blocking the execution or installation of specified apps or script.

Принуивная политикаEnforced policy

Эта политика блокирует запуск недоверных приложений и сценариев и создает журналы при блокировке приложения или сценария.This policy blocks untrusted apps and scripts from running and creates logs whenever an app or script is blocked. Принудительным политикам не позволяет стандартным пользователям выполнять приложения или сценарии, хранимые в доступных для записи каталогах.Enforced policies prevent standard users from executing apps or scripts stored in user-writable directories.

К устройствам в группе тестирования применяется политика аудита, с помощью которых можно проверить, будут ли какие-либо приложения вызывать проблемы.Devices in the Test group have an Audit policy applied so that you can use them to validate whether any applications will cause issues. Все остальные группы (First, Fast, and Broad) используют политику принудительного применения, поэтому пользователи в этих группах не смогут запускать неподтверщенные приложения или сценарии.All other groups (First, Fast, and Broad) use an Enforced policy, so users in those groups won't be able to run untrusted apps or scripts.