Управление приложениями

  • Статья

Примечание.

Функция элемента управления приложением является необязательной. Необходимо отправить запрос на включение элемента управления приложениями.

Управление приложениями — это необязательная методика безопасности в Microsoft Managed Desktop, которая ограничивает выполнение кода на клиентских устройствах.

Этот элемент управления снижает риск выполнения вредоносных программ или вредоносных сценариев. Элемент управления требует, чтобы запускались только коды, подписанные издателями из списка, утвержденного клиентом. Этот элемент управления обеспечивает множество преимуществ безопасности, но в первую очередь он предназначен для защиты данных и удостоверений от эксплойтов в клиенте.

Microsoft Managed Desktop упрощает регулирование политик управления приложениями, создавая базовую политику, которая поддерживает основные сценарии повышения производительности. Вы можете расширить доверие на других подписывающих, которые относятся к приложениям и сценариям в вашей среде.

Для любой технологии безопасности требуется баланс между взаимодействием с пользователем, безопасностью и затратами. Управление приложениями снижает угрозу выполнения вредоносных программ в вашей среде, но это влечет за собой последствия для пользователей и дальнейших действий ИТ-администраторов.

Дополнительная безопасность и обязанности Описание
Дополнительная безопасность Запуск приложений или сценариев, у которых нет доверия со стороны политики управления приложениями, блокируется на устройствах.
Ваши дополнительные обязанности
  • Вы несете ответственность за тестирование приложений, чтобы определить, будут ли они заблокированы политикой управления приложениями.
  • Если приложение блокируется (или будет блокироваться), вы несете ответственность за определение необходимых сведений подписывающего. Необходимо запросить изменение через Центр администрирования.
Обязанности Microsoft Managed Desktop
  • Microsoft Managed Desktop поддерживает базовую политику, которая включает основные продукты Майкрософт, например Приложения Microsoft 365, Windows, Teams, OneDrive и т. д.
  • Microsoft Managed Desktop вставляет ваших доверенных подписывающих и развертывает обновленную политику на устройствах.

Управление доверием в приложениях

Microsoft Managed Desktop курирует базовую политику, которая доверяет основным компонентам технологий Майкрософт. Затем вы добавляете доверие для собственных приложений и сценариев, сообщая Microsoft Managed Desktop о приложениях и сценариях, которым вы уже доверяете.

Базовая политика

Microsoft Managed Desktop в сотрудничестве с экспертами Майкрософт по кибербезопасности создает и поддерживает стандартную политику. Эта стандартная политика:

  • Включает большинство приложений, развернутых через Microsoft Intune.
  • Блокирует опасные действия, например компиляцию кода или запуск недоверенных файлов.

Базовая политика использует следующий подход к ограничению запуска программного обеспечения.

  • Будет разрешен запуск файлов, выполняемый администраторами.
  • Будет разрешен запуск файлов в расположениях, которые не находятся в каталогах, доступных для записи пользователями.
  • Файлы подписываются доверенным подписывающим.
  • Большинство файлов, подписанных корпорацией Майкрософт, будут запускаться, но некоторые из них блокируются, чтобы запретить высокорискованные действия, например компиляцию кода.

Если пользователь, не являющийся администратором, мог добавить приложение или сценарий на устройство (то есть в каталог, доступный для записи пользователем), его выполнение будет запрещено. Выполнение будет разрешено, если приложение или сценарий уже были разрешены администратором.

Наша политика остановит выполнение приложений в следующих сценариях.

  • Если пользователя обманом принудили к установке вредоносной программы.
  • Если уязвимость в приложении, применяемом пользователем, пытается установить вредоносную программу.
  • Если пользователь намеренно пытается запустить неавторизованное приложение или сценарий.

Запросы подписывающего

Вы сообщаете нам, какие приложения предоставляются издателями программного обеспечения, которым вы доверяете, путем отправки запроса подписывающего. Таким образом мы:

  • Добавим эти сведения о доверии в базовую политику управления приложениями.
  • Разрешим на ваших устройствах запуск любого программного обеспечения, подписанного с помощью этого сертификата издателя.

Аудит и принудительно применяемые политики

Microsoft Managed Desktop использует политики Microsoft Intune для обеспечения управления приложениями:

Политика аудита

Эта политика создает журналы для записи того, блокируется ли приложение или сценарий принудительно применяемой политикой.

Политики аудита не применяют правила управления приложениями. Они предназначены для тестирования, чтобы определить, потребуется ли приложению исключение издателя. Она регистрирует предупреждения (события 8003 или 8006) в средстве просмотра событий вместо блокировки выполнения или установки указанных приложений или сценариев.

Принудительно применяемая политика

Эта политика блокирует выполнение недоверенных приложений или сценариев и создает журналы при каждом блокировании приложения или сценария. Принудительно применяемые политики запрещают обычным пользователям запускать приложения или сценарии, хранящиеся в каталогах, доступных для записи пользователями.

К устройствам из группы тестирования применяется политика аудита для проверки того, будут ли какие-либо приложения вызывать проблемы. Все остальные группы (первое развертывание, быстрое развертывание и широкое развертывание) используют принудительно применяемую политику. Пользователи из этих групп не смогут запускать недоверенные приложения или сценарии.