Общие сведения о решениях по проектированию политик управления приложениями в Защитнике Windows
Примечание.
Некоторые возможности управления приложениями в Защитнике Windows (WDAC) доступны только в определенных версиях Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.
Эта статья предназначена для ИТ-специалистов. В ней перечислены вопросы о проектировании, возможные ответы и последствия принятых решений при планировании развертывания политик управления приложениями с помощью управления приложениями в Защитнике Windows (WDAC) в среде операционной системы Windows.
При запуске процесса проектирования и планирования следует учитывать последствия выбора проекта. Полученные в результате решения повлияют на схему развертывания политики и последующее обслуживание политики управления приложениями.
Следует рассмотреть возможность использования управления приложениями в Защитнике Windows в рамках политик управления приложениями в организации, если верно следующее:
- Вы развернули или планируете развертывание поддерживаемых версий Windows в вашей организации.
- Вам нужен улучшенный контроль над доступом к приложениям вашей организации и данным, к данным, к которые обращаются пользователи.
- В вашей организации четко определен процесс управления приложениями и их развертывания.
- У вас есть ресурсы для тестирования политик в соответствии с требованиями организации.
- У вас есть ресурсы, чтобы привлечь службу поддержки или создать процесс самостоятельной помощи для проблем с доступом к приложениям конечных пользователей.
- Требования группы к производительности, управляемости и безопасности можно контролировать с помощью ограничительных политик.
Определите, какие политики следует создать
Начиная с Windows 10 версии 1903, управление приложениями в Защитнике Windows позволяет применять несколько одновременных политик к каждому устройству. Это параллельное приложение открывает множество новых вариантов использования для организаций, но управление политиками может легко стать громоздким без продуманного плана количества и типов создаваемых политик.
Первым шагом является определение требуемого "круга доверия" для политик WDAC. Под "кругом доверия" мы имеем в виду описание бизнес-намерения политики, выраженное на естественном языке. Это определение "круг доверия" поможет вам создать фактические правила политики для XML-кода политики.
Например, политика DefaultWindows, которую можно найти в разделе %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, устанавливает "круг доверия", который позволяет windows, сторонним драйверам аппаратного и программного обеспечения и приложениям из Microsoft Store.
Configuration Manager использует политику DefaultWindows в качестве основы для своей политики, но затем изменяет правила политики, чтобы разрешить Configuration Manager и его зависимости, задает правило политики управляемого установщика и дополнительно настраивает Configuration Manager в качестве управляемого установщика. Он также может при необходимости авторизовать приложения с положительной репутацией и выполнить однократное сканирование путей к папкам, заданных администратором Configuration Manager, что позволяет добавить правила для всех приложений, найденных по указанным путям в управляемой конечной точке. Этот процесс устанавливает "круг доверия" для собственной интеграции WDAC Configuration Manager.
Следующие вопросы помогут вам спланировать развертывание управления приложениями в Защитнике Windows и определить правильный круг доверия для политик. Они не являются приоритетными или последовательными и не предназначены для того, чтобы быть исчерпывающим набором рекомендаций по проектированию.
Рекомендации по проектированию WDAC
Как приложения управляются и развертываются в вашей организации?
Организации с четко определенными централизованно управляемыми процессами управления приложениями и развертываниями могут создавать более строгие и более безопасные политики. Другие организации могут развернуть управление приложениями в Защитнике Windows с более строгими правилами или могут развернуть WDAC в режиме аудита, чтобы получить лучшую видимость приложений, используемых в их организации.
| Возможные ответы | Вопросы оформления |
|---|---|
| Все приложения централизованно управляются и развертываются с помощью средств управления конечными точками, таких как Microsoft Intune. | Организации, которые централизованно управляют всеми приложениями, лучше всего подходят для управления приложениями. Параметры управления приложениями в Защитнике Windows, такие как управляемый установщик , позволяют легко авторизовать приложения, развернутые решением организации по управлению распространением приложений. |
| Некоторые приложения централизованно управляются и развертываются, но команды могут устанавливать другие приложения для своих участников. | Дополнительные политики можно использовать для разрешения исключений, относящихся к группе, в основной политике управления приложениями в Защитнике Windows в масштабах всей организации. Кроме того, команды могут использовать управляемые установщики для установки приложений для своей команды, или правила пути к файлам только для администратора могут использоваться для разрешения приложений, установленных пользователями администрирования. |
| Пользователи и команды могут бесплатно скачивать и устанавливать приложения, но организация хочет ограничить это право только распространенными и авторитетными приложениями. | Управление приложениями в Защитнике Windows может интегрироваться с Microsoft Intelligent Security Graph (тот же источник аналитики, который обеспечивает антивирусную программу в Microsoft Defender и SmartScreen в Защитнике Windows), чтобы разрешить только приложения и двоичные файлы с положительной репутацией. |
| Пользователи и команды могут бесплатно скачивать и устанавливать приложения без ограничений. | Политики управления приложениями в Защитнике Windows можно развернуть в режиме аудита, чтобы получить представление о приложениях и двоичных файлах, работающих в вашей организации, не влияя на производительность пользователей и команд. |
Являются ли внутренние бизнес-приложения и приложения, разработанные сторонними компаниями, цифровой подписью?
Традиционные приложения Win32 в Windows могут работать без цифровой подписи. Эта практика может подвергать устройства Windows вредоносным или незаконному коду и представляет уязвимость для безопасности для ваших устройств Windows. Применение подписывания кода в рамках практики разработки приложений в вашей организации или дополнение приложений с помощью подписанных файлов каталога в рамках приема и распространения приложения может значительно повысить целостность и безопасность используемых приложений.
| Возможные ответы | Вопросы оформления |
|---|---|
| Все приложения, используемые в вашей организации, должны быть подписаны. | Организации, которые применяют назначение кода для всего исполняемого кода, лучше всего защитить свои компьютеры Windows от вредоносного выполнения кода. Правила управления приложениями в Защитнике Windows можно создавать для авторизации приложений и двоичных файлов из внутренних команд разработчиков организации и доверенных независимых поставщиков программного обеспечения (ISV). |
| Приложения, используемые в вашей организации, не должны соответствовать каким-либо требованиям к коду. | Организации могут использовать встроенные средства Windows для добавления подписей каталога приложений для организации в существующие приложения в рамках процесса развертывания приложения, который можно использовать для авторизации выполнения кода. Такие решения, как Microsoft Intune, предлагают несколько способов распространения подписанных каталогов приложений. |
Существуют ли в вашей организации определенные группы, которым требуются настраиваемые политики управления приложениями?
Большинство бизнес-команд или отделов предъявляют определенные требования к безопасности, относящиеся к доступу к данным и приложениям, используемым для доступа к этим данным. Прежде чем развертывать политики управления приложениями для всей организации, рассмотрите область проекта для каждой группы и приоритеты группы. Управление политиками может привести к выбору между широкими политиками для всей организации и несколькими политиками, зависящими от команды.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Политики WDAC можно создавать уникальными для каждой команды, или дополнительные политики для конкретной команды можно использовать для расширения возможностей, разрешенных общей централизованно определенной базовой политикой. |
| Нет | Политики WDAC можно применять глобально к приложениям, установленным на компьютерах под управлением Windows 10 и Windows 11. В зависимости от количества приложений, которые необходимо контролировать, управление всеми правилами и исключениями может оказаться сложной задачей. |
Есть ли у ИТ-отдела ресурсы для анализа использования приложений, а также для разработки политик и управления ими?
Время и ресурсы, доступные для проведения исследований и анализа, могут повлиять на детали вашего плана и процессов для непрерывного управления политиками и обслуживания.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Положите время на анализ требований организации к управлению приложениями и планирование полного развертывания, в котором используются правила, созданные по возможности. |
| Нет | Рассмотрите возможность целенаправленного и поэтапного развертывания для определенных групп с использованием нескольких правил. При применении элементов управления к приложениям в определенной группе изучите это развертывание, чтобы спланировать следующее развертывание. Кроме того, можно создать политику с широким профилем доверия, чтобы авторизовать как можно больше приложений. |
Есть ли в вашей организации служба поддержки?
Запрет доступа пользователей к известным, развернутым или личным приложениям сначала приведет к увеличению поддержки конечных пользователей. Необходимо будет решить различные проблемы поддержки в организации, чтобы соблюдать политики безопасности и не препятствовать бизнес-рабочему процессу.
| Возможные ответы | Вопросы оформления |
|---|---|
| Да | Обратитесь в службу поддержки на ранних этапах планирования, так как пользователям может быть непреднамеренно запрещено использовать свои приложения или они могут обратиться за исключениями для использования определенных приложений. |
| Нет | Положите время на разработку онлайн-процессов поддержки и документации перед развертыванием. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по