Поделиться через

Планирование управления жизненным циклом управления приложениями Защитник Windows

Примечание.

Некоторые возможности управления приложениями Защитник Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

В этой статье описываются решения, необходимые для создания процессов управления и обслуживания политик управления Защитник Windows приложениями (WDAC).

Управление жизненным циклом XML политики

Первым шагом в реализации управления приложениями является рассмотрение того, как политики будут управляться и поддерживаться с течением времени. Разработка процесса управления Защитник Windows политиками управления приложениями помогает гарантировать, что WDAC продолжает эффективно контролировать, как приложения могут запускаться в вашей организации.

Большинство Защитник Windows политик управления приложениями будут со временем развиваться и проходить через набор идентифицируемых этапов в течение их жизненного цикла. Как правило, к этим этапам относятся:

  1. Определите (или уточните) "круг доверия" для политики и создайте версию XML-кода политики в режиме аудита. В режиме аудита создаются события блоков, но файлы не препятствуют выполнению.
  2. Разверните политику режима аудита на предполагаемых устройствах.
  3. Отслеживайте события блоков аудита с предполагаемых устройств и добавляйте, редактируйте и удаляйте правила по мере необходимости для устранения непредвиденных или нежелательных блоков.
  4. Повторите шаги 2–3 до тех пор, пока оставшиеся события блока не соответствуют ожиданиям.
  5. Создайте версию политики в принудительном режиме . В принудительном режиме запрещается запуск файлов, которые политика не разрешает, и создаются соответствующие события блоков.
  6. Разверните политику принудительного режима на предполагаемых устройствах. Мы рекомендуем использовать поэтапные развертывания для принудительных политик, чтобы обнаруживать проблемы и реагировать на них перед развертыванием политики в широком смысле.
  7. Повторите шаги 1–6 при изменении требуемого "круга доверия".

Рекомендуемый процесс развертывания политики WDAC.

Хранение политик WDAC в системе управления версиями или решении для управления документами

Чтобы эффективно управлять Защитник Windows политиками управления приложениями, следует хранить XML-документы политики в центральном репозитории, который доступен всем, кто отвечает за управление политиками WDAC. Мы рекомендуем решение системы управления версиями, например GitHub, или решение для управления документами, например Office 365 SharePoint, которое обеспечивает управление версиями и позволяет указывать метаданные о XML-документах.

Задайте метаданные PolicyName, PolicyID и Version для каждой политики.

Используйте командлет Set-CIPolicyIDInfo , чтобы присвоить каждой политике описательное имя и задать уникальный идентификатор политики. Эти уникальные атрибуты помогают различать каждую политику при просмотре событий Защитник Windows управления приложениями или при просмотре XML-документа политики. Хотя можно указать строковое значение для PolicyId, для политик, использующих формат нескольких политик, рекомендуется использовать параметр -ResetPolicyId, чтобы позволить системе автоматически создать уникальный идентификатор политики.

Примечание.

PolicyID применяется только к политикам, использующим формат нескольких политик на компьютерах под управлением Windows 10, версии 1903 и выше или Windows 11. Запуск -ResetPolicyId в политике, созданной для компьютеров до 1903, преобразует его в несколько форматов политики и не позволит запустить его в более ранних версиях Windows 10. PolicyID следует задавать только один раз для каждой политики и использовать разные идентификаторы политики для версий аудита и принудительного режима каждой политики.

Кроме того, рекомендуется использовать командлет Set-CIPolicyVersion , чтобы увеличить внутренний номер версии политики при внесении изменений в политику. Версия должна быть определена как стандартная четырехкомпонентная строка версии (например, 1.0.0.0).

Обновления правил политики

Вам может потребоваться изменить политику при развертывании новых приложений или обновлении существующих приложений издателем программного обеспечения, чтобы убедиться, что приложения работают правильно. Требуются ли обновления правил политики, будет в значительной мере зависеть от типов правил, которые содержит ваша политика. Правила, основанные на сертификатах codesigning, обеспечивают наибольшую устойчивость к изменениям приложения, в то время как правила, основанные на атрибутах файла или хэшах, скорее всего, потребуют обновления при изменении приложений. Кроме того, если вы используете функциональность управляемого установщика WDAC и последовательно развертываете все приложения и их обновления с помощью управляемого установщика, вам менее вероятно, потребуются обновления политики.

Управление событиями WDAC

Каждый раз, когда WDAC блокирует процесс, события записываются в журналы событий CodeIntegrity\Operational или AppLocker\MSI и Windows script. Событие описывает файл, который пытался запустить, атрибуты этого файла и его сигнатуры, а также процесс, который пытался запустить заблокированный файл.

Сбор этих событий в централизованном расположении помогает поддерживать политику управления приложениями Защитник Windows и устранять проблемы с конфигурацией правил. Агент Azure Monitor можно использовать для автоматического сбора событий WDAC для анализа.

Кроме того, Microsoft Defender для конечной точки собирает события WDAC, которые можно запрашивать с помощью функции расширенной охоты.

Политика поддержки приложений и пользователей

Ниже приведены рекомендации.

  • Какой тип поддержки конечных пользователей предоставляется для заблокированных приложений?
  • Как добавляются новые правила в политику?
  • Как обновляются существующие правила?
  • Перенаправляются ли события на проверку?

Поддержка службы технической поддержки

Если в вашей организации имеется созданный отдел поддержки, при развертывании политик управления приложениями Защитник Windows учитывайте следующие моменты:

  • Какая документация требуется вашему отделу поддержки для развертывания новых политик?
  • Какие критически важные процессы в каждой бизнес-группе как в рабочем потоке, так и во времени, на которые будут влиять политики управления приложениями, и как они могут повлиять на рабочую нагрузку отдела поддержки?
  • Кто является контактами в отделе поддержки?
  • Как отдел поддержки будет устранять проблемы с управлением приложениями между конечным пользователем и теми ресурсами, которые поддерживают правила управления приложениями Защитник Windows?

Поддержка конечных пользователей

Так как Защитник Windows управление приложениями предотвращает запуск неутвержденных приложений, важно, чтобы ваша организация тщательно планировала предоставление поддержки конечным пользователям. Ниже приведены рекомендации.

  • Хотите ли вы использовать сайт интрасети в качестве первой линии поддержки для пользователей, которые пытаются запустить заблокированное приложение?
  • Как вы хотите поддерживать исключения из политики? Разрешите ли вы пользователям запускать скрипт, чтобы временно разрешить доступ к заблокированным приложениям?

Документирование плана

После принятия решения о том, как ваша организация будет управлять политикой управления приложениями Защитник Windows, запишите полученные результаты.

  • Политика поддержки конечных пользователей. Задокументируйте процесс обработки вызовов от пользователей, которые пытались запустить заблокированное приложение, и убедитесь, что сотрудники службы поддержки имеют четкие шаги эскалации, чтобы администратор при необходимости смог обновить политику управления приложениями Защитник Windows.
  • Обработка событий. Задокументируйте, будут ли события собираться в центральном расположении, называемом хранилищем, как это хранилище будет архивироваться и будут ли эти события обрабатываться для анализа.
  • Управление политиками. Подробные сведения о запланированных политиках, способах управления ими и о том, как правила будут поддерживаться с течением времени.