Авторизации авторитетных приложений с помощью интеллектуальной Graph безопасности (ISG)

Относится к:

  • Windows 10
  • Windows 11
  • Windows Server 2016 и более поздние версии

Примечание

Некоторые возможности управления приложениями в Защитнике Windows доступны только в определенных версиях для Windows. Узнайте больше о доступности функции управления приложениями в Защитнике Windows.

Управление приложениями может быть трудно реализовать в организациях, которые не развертывают и не управляют приложениями с помощью ИТ-системы. В таких средах пользователи могут приобретать приложения, которые они хотят использовать для работы, что делает его трудно создать эффективную политику управления приложениями.

Начиная с Windows 10 версии 1709 можно установить параметр автоматического допуска приложений, которые microsoft Intelligent Security Graph как имеющие хорошую репутацию. Параметр ISG помогает организациям приступить к реализации управления приложениями, даже если организация имеет ограниченный контроль над экосистемой приложений. Дополнительные новости о microsoft Intelligent Security Graph см. в разделе Безопасность в разделе Основные службы и функции в Microsoft Graph.

Как работает интеграция между WDAC и интеллектуальным Graph безопасности?

IsG использует те же обширные аналитики безопасности и машинного обучения, которые фильтр SmartScreen в Microsoft Defender и антивирусная программа в Microsoft Defender, чтобы помочь классифицировать приложения как имеющие "известные хорошие", "известные плохие" или "неизвестные" репутации. При запуске двоичного файла в системе с поддержкой WDAC с параметром ISG WDAC проверяет репутацию файла, отправляя его hash и подписывая сведения в облако. Если isG сообщает, что файл имеет "хорошо известная" репутация, $KERNEL. SMARTLOCKER. Расширенный атрибут ядра ORIGINCLAIM (EA) записан в файл.

Если ваша политика WDAC не имеет явного правила, позволяя или отказывая в запуске двоичного, WDAC будет звонить в облако, чтобы определить, знаком ли двоичный и безопасный. Однако если ваша политика уже разрешает или отрицает двоичную, WDAC не будет звонить в облако.

Если файл с хорошей репутацией является установщиком приложений, его репутация передается любым файлам, которые он записывает на диск. Таким образом, все файлы, необходимые для установки и запуска приложения, наследуют положительные данные о репутации от установщика.

WDAC периодически повторно запрашивает данные о репутации в файле. Кроме того, предприятия могут указать, что любые результаты кэшировать репутацию сбрасываются при перезагрузке с помощью EAs Enabled:Invalidate в варианте Перезагрузка.

Примечание

Администраторы должны убедиться в том, что существует политика WDAC, позволяющая системе запускать и запускать любые другие разрешенные приложения, которые не могут быть классифицированы как хорошо известные службами интеллектуальной безопасности Graph, например пользовательские приложения для бизнеса (LOB). Так как система интеллектуальной Graph на питание от глобальных данных о распространенности, внутренние приложения LOB не могут быть признаны хорошими. Другие механизмы, такие как управляемый установщик и явные правила, помогут охватить внутренние приложения. Как Microsoft Endpoint Manager(MEMCM) так и Microsoft Endpoint Manager Intune (MEM Intune) можно использовать для создания и нажатия политики WDAC на клиентские машины.

Настройка авторизации интеллектуальных Graph безопасности для Защитник Windows управления приложениями

Настройка isG легко с помощью любого решения управления, которое вы хотите. Настройка параметра Microsoft Intelligent Security Graph включает в себя следующие основные действия:

Убедитесь, что параметр Intelligent Security Graph включен в XML политики WDAC

Чтобы разрешить приложения и седаны на основе microsoft Intelligent Security Graph, в политике WDAC должен быть указан параметр Enabled:Intelligent Security Graph безопасности. Этот шаг можно сделать с помощью Set-RuleOption. Кроме того, необходимо включить параметр Enabled:Invalidate eAs для параметра перезагрузки, чтобы после каждой перезагрузки результаты ISG снова проверялись. Параметр ISG не рекомендуется для устройств, которые не имеют регулярного доступа к Интернету. В следующем примере показаны оба параметра.

<Rules> 
    <Rule> 
      <Option>Enabled:Unsigned System Integrity Policy</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Advanced Boot Options Menu</Option> 
    </Rule> 
    <Rule> 
      <Option>Required:Enforce Store Applications</Option> 
    </Rule> 
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option> 
    </Rule>
    <Rule> 
      <Option>Enabled:Intelligent Security Graph Authorization</Option> 
    </Rule> 
    <Rule> 
      <Option>Enabled:Invalidate EAs on Reboot</Option> 
    </Rule> 
</Rules> 

Включить необходимые службы, чтобы разрешить WDAC правильно использовать ISG на клиенте

Для правильного функционирования heuristics, используемых isG, необходимо включить ряд компонентов в Windows. Вы можете настроить эти компоненты, запуская приложение, исполняемое в c:\windows\system32 .

appidtel start

Этот шаг не требуется для политик WDAC, развернутых в MDM, так как CSP позволит включить необходимые компоненты. Этот шаг также не требуется при настройке ISG с помощью интеграции WDAC MEMCM.

Соображения безопасности с интеллектуальным Graph

Так как microsoft Intelligent Security Graph является механизмом, основанным на севристическом подходе, он не предоставляет тех же гарантий безопасности, что и явные правила. Он лучше всего подходит для работы пользователей со стандартными правами пользователей и использования решения мониторинга безопасности, например Microsoft Defender для конечной точки.

Процессы, работающие с привилегиями ядра, могут обойти WDAC, задав атрибут расширенного файла ISG, чтобы двоичный файл казался известной хорошей репутацией. Кроме того, поскольку параметр ISG передает репутацию из установщиков приложений в файлы, которые они записывают на диск, он может чрезмерно авторизировать файлы в некоторых случаях, когда установщик запускает приложение по завершении.

Использование fsutil для запроса EA SmartLocker

Пользователи с Защитник Windows управления приложениями (WDAC) с поддержкой управляемого установщика (MI) или intelligent Security Graph могут использовать fsutil, чтобы определить, разрешено ли одному из этих компонентов запускать файл. Этого можно добиться, запросив EAs в файле с помощью fsutil и ищите ЯДРО. SMARTLOCKER. EA ORIGINCLAIM. Наличие этого советника указывает на то, что либо MI, либо ISG разрешили запуск файла. Это можно использовать в сочетании с включением событий ведения журнала mi и ISG.

Пример

fsutil file queryEA C:\Users\Temp\Downloads\application.exe

Extended Attributes (EA) information for file C:\Users\Temp\Downloads\application.exe:

Ea Buffer Offset: 410
Ea Name: $KERNEL.SMARTLOCKER.ORIGINCLAIM
Ea Value Length: 7e
0000: 01 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 ................
0010: b2 ff 10 66 bc a8 47 c7 00 d9 56 9d 3d d4 20 2a ...f..G...V.=. *
0020: 63 a3 80 e2 d8 33 8e 77 e9 5c 8d b0 d5 a7 a3 11 c....3.w.\......
0030: 83 00 00 00 00 00 00 00 5c 00 00 00 43 00 3a 00 ........\...C.:.
0040: 5c 00 55 00 73 00 65 00 72 00 73 00 5c 00 6a 00 \.U.s.e.r.s.\.T.
0050: 6f 00 67 00 65 00 75 00 72 00 74 00 65 00 2e 00 e.m.p..\D.o.w.n...
0060: 52 00 45 00 44 00 4d 00 4f 00 4e 00 44 00 5c 00 l.o.a.d.\a.p.p.l.
0070: 44 00 6f 00 77 00 6e 00 6c 00 6f 00 61 00 64 i.c.a.t.i.o.n..e.x.e

Известные ограничения с помощью интеллектуальных Graph

Так как ISG разрешает только хорошо известные бинарии, существуют случаи, когда законное программное обеспечение может быть неизвестно isG и будет заблокировано WDAC. В этом случае необходимо разрешить программное обеспечение с правилом в политике WDAC, развернуть каталог, подписанный сертификатом, доверенным в политике WDAC, или установить программное обеспечение из управляемого установщика WDAC. Установщики или приложения, которые динамически создают разнонаправленные данные во время запуска, а также самообновляя приложения, могут проявлять этот симптом.

Упакованные приложения не поддерживаются с помощью Graph безопасности Microsoft Intelligent Security и должны быть отдельно разрешены в политике WDAC. Так как упакованные приложения имеют сильное удостоверение приложения и должны быть подписаны, легко разрешить эти приложения с помощью политики WDAC.

IsG не разрешает драйверы режима ядра. В политике WDAC должны присутствовать правила, разрешающие запуск необходимых драйверов.

Примечание

Правило, которое явно отрицает или разрешает файл, будет иметь приоритет над данными репутации этого файла. Встроенная поддержка WDAC meM Intune включает в себя возможность доверять приложениям с хорошей репутацией с помощью microsoft Intelligent Security Graph, но у него нет возможности добавить явные правила разрешить или запретить. В большинстве обстоятельств пользователям, применяющих управление приложениями, необходимо развернуть настраиваемую политику WDAC (которая может включать параметр Microsoft Intelligent Security Graph при желании) с помощью функции OMA-URI Intune.