Windows Defender application control-hantering med Configuration Manager

Gäller för: Konfigurationshanteraren (current branch)

Windows Defender Application Control är utformat för att skydda enheter mot skadlig kod och annan ej betrodd programvara. Det förhindrar att skadlig kod körs genom att se till att endast godkänd kod, som du vet, kan köras.

Programkontroll är ett programvarubaserat säkerhetslager som framtvingar en explicit lista över programvara som tillåts köras på en dator. Programkontrollen har inga krav på maskinvara eller inbyggd programvara på egen hand. Principer för programkontroll som distribueras med Configuration Manager aktivera en princip på enheter i målsamlingar som uppfyller minimikraven för Windows-version och SKU som beskrivs i den här artikeln. Alternativt kan hypervisor-baserat skydd av programkontrollprinciper som distribueras via Configuration Manager aktiveras via grupprincip på kompatibel maskinvara.

Mer information finns i distributionsguiden för Windows Defender Application Control.

Obs!

Den här funktionen kallades tidigare konfigurerbar kodintegritet och Device Guard.

Använda programkontroll med Configuration Manager

Du kan använda Configuration Manager för att distribuera en programkontrollprincip. Med den här principen kan du konfigurera läget där programkontrollen körs på enheter i en samling.

Du kan konfigurera något av följande lägen:

1. Tvingande aktiverat – Endast betrodda körbara filer tillåts köras.
2. Endast granskning – Tillåt att alla körbara filer körs, men logga ej betrodda körbara filer som körs i den lokala klienthändelseloggen.

Vad kan köras när du distribuerar en programkontrollprincip?

Med programkontroll kan du styra vad som kan köras på enheter som du hanterar. Den här funktionen kan vara användbar för enheter i högsäkerhetsavdelningar, där det är viktigt att oönskad programvara inte kan köras.

När du distribuerar en princip kan vanligtvis följande körbara filer köras:

• Windows OS-komponenter
• Drivrutiner för Maskinvaru-Dev Center med Signaturer för Windows Hardware Quality Labs
• Microsoft Store-appar
• Den Configuration Manager klienten
• All programvara som distribueras via Configuration Manager som enheterna installerar när de har bearbetat programkontrollprincipen
• Uppdateringar till inbyggda Windows-komponenter från:
  • Windows Update
  • Windows Update för företag
  • Windows Server Update Services
  • Configuration Manager
  • Alternativt kan programvara med gott rykte avgöras av Microsoft Intelligent Security Graph (ISG). I ISG ingår Windows Defender SmartScreen och andra Microsoft tjänster. Enheten måste köra Windows Defender SmartScreen och Windows 10 version 1709 eller senare för att programvaran ska vara betrodd.

Viktigt

Dessa objekt innehåller inte någon programvara som inte är inbyggd i Windows som automatiskt uppdateras från Internet eller programuppdateringar från tredje part. Den här begränsningen gäller oavsett om de installeras av någon av de listade uppdateringsmetoderna eller från Internet. Programkontroll tillåter endast programvaruändringar som distribueras via Configuration Manager-klienten.

Operativsystem som stöds

Om du vill använda programkontroll med Configuration Manager måste enheter köra versioner som stöds av:

• Windows 11 eller senare, Enterprise Edition
• Windows 10 eller senare, Enterprise Edition
• Windows Server 2019 eller senare

Tips

Befintliga programkontrollprinciper som skapats med Configuration Manager version 2006 eller tidigare fungerar inte med Windows Server. Skapa nya principer för programkontroll för att stödja Windows Server.

Innan du börjar

• När en princip har bearbetats på en enhet konfigureras Configuration Manager som ett hanterat installationsprogram på klienten. Efter principprocesserna är programvara som distribueras av Configuration Manager automatiskt betrodd. Innan enheten bearbetar programkontrollprincipen är programvara som installeras av Configuration Manager inte automatiskt betrodd.

  Obs!

  Du kan till exempel inte använda steget Installera program i en aktivitetssekvens för att installera program under en OS-distribution. Mer information finns i Aktivitetssekvenssteg – Installera program.

• Standardschemat för utvärdering av efterlevnad för programkontrollprinciper är varje dag. Det här schemat kan konfigureras under principdistributionen. Om du märker problem med principbearbetning konfigurerar du schemat för utvärdering av efterlevnad så att det blir vanligare. Till exempel varje timme. Det här schemat avgör hur ofta klienter försöker bearbeta en programkontrollprincip om ett fel inträffar.

• Oavsett vilket tvingande läge du väljer kan enheterna inte köra HTML-program med filtillägget .hta när du distribuerar en programkontrollprincip.

Skapa en programkontrollprincip

1. I Konfigurationshanteraren-konsolen går du till arbetsytan Tillgångar och efterlevnad.

2. Expandera Endpoint Protection och välj sedan noden Windows Defender Programkontroll.

3. På fliken Start i menyfliksområdet går du till gruppen Skapa och väljer Skapa princip för programkontroll.

4. På sidan Allmänt i guiden Skapa princip för programkontroll anger du följande inställningar:

   • Namn: Ange ett unikt namn för den här programkontrollprincipen.

   • Beskrivning: Om du vill kan du ange en beskrivning av principen som hjälper dig att identifiera den i Configuration Manager-konsolen.

   • Framtvinga en omstart av enheter så att den här principen kan tillämpas för alla processer: När enheten har bearbetat principen schemaläggs en omstart på klienten enligt klientinställningarna för omstart av datorn. Program som för närvarande körs på enheten tillämpar inte den nya programkontrollprincipen förrän efter en omstart. Program som startas efter att principen har tillämpas kommer dock att respektera den nya principen.

   • Tvingande läge: Välj någon av följande tvingande metoder:

     • Tvingande aktiverat: Endast betrodda program tillåts att köras.

     • Endast granskning: Tillåt att alla program körs, men logga ej betrodda program som körs. Granskningsmeddelandena finns i den lokala klienthändelseloggen.

5. På fliken Inkluderingar i guiden Skapa princip för programkontroll väljer du om du vill auktorisera programvara som är betrodd av Intelligent Security Graph.

6. Om du vill lägga till förtroende för specifika filer eller mappar på enheter väljer du Lägg till. I dialogrutan Lägg till betrodd fil eller mapp kan du ange en lokal fil eller en mappsökväg att lita på. Du kan också ange en fil- eller mappsökväg på en fjärrenhet där du har behörighet att ansluta. När du lägger till förtroende för specifika filer eller mappar i en programkontrollprincip kan du:

   • Lösa problem med beteende för hanterade installationsprogram.

   • Lita på verksamhetsspecifika appar som du inte kan distribuera med Configuration Manager.

   • Lita på appar som ingår i en os-distributionsavbildning.

7. Slutför guiden.

Distribuera en programkontrollprincip

1. I Konfigurationshanteraren-konsolen går du till arbetsytan Tillgångar och efterlevnad.

2. Expandera Endpoint Protection och välj sedan noden Windows Defender Programkontroll.

3. I listan över principer väljer du den som du vill distribuera. På fliken Start i menyfliksområdet går du till gruppen Distribution och väljer Distribuera programkontrollprincip.

4. I dialogrutan Distribuera princip för programkontroll väljer du den samling som du vill distribuera principen till. Konfigurera sedan ett schema för när klienter utvärderar principen. Välj slutligen om klienten kan utvärdera principen utanför konfigurerade underhållsfönster.

5. När du är klar väljer du OK för att distribuera principen.

Övervaka en programkontrollprincip

I allmänhet använder du informationen i artikeln Övervaka kompatibilitetsinställningar . Den här informationen kan hjälpa dig att övervaka att den distribuerade principen har tillämpats korrekt på alla enheter.

Om du vill övervaka bearbetningen av en programkontrollprincip använder du följande loggfil på enheter:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Information om hur du verifierar den specifika programvara som blockeras eller granskas finns i följande lokala klienthändelseloggar:

• Om du vill blockera och granska körbara filer använder du program- och tjänstloggar>Microsoft>Windows-kodintegritet>>i drift.

• Om du vill blockera och granska Windows Installer- och skriptfiler använder du program- och tjänstloggar>Microsoft>Windows>AppLocker>MSI och skript.

Säkerhets- och sekretessinformation

• Enheter som har en princip distribuerad till dem i läget Endast granskning eller Tvingande aktiverat , men som inte har startats om för att framtvinga principen, är sårbara för ej betrodd programvara som installeras. I det här fallet kan programvaran fortsätta att köras även om enheten startas om eller tar emot en princip i tvingande aktiverat läge.

• Förbered först enheten i en labbmiljö för att hjälpa till att effektivisera programkontrollprincipen. Distribuera en tvingande aktiverad princip och starta sedan om enheten. När du har verifierat att apparna fungerar ger du enheten till användaren.

• Distribuera inte en princip med tvingande aktiverat och distribuera sedan en princip med Endast granskning till samma enhet. Den här konfigurationen kan leda till att obetrodd programvara tillåts köras.

• När du använder Configuration Manager för att aktivera programkontroll på enheter hindrar principen inte användare med lokal administratörsbehörighet från att kringgå programkontrollprinciperna eller på annat sätt köra ej betrodd programvara.

• Det enda sättet att förhindra att användare med lokal administratörsbehörighet inaktiverar programkontroll är att distribuera en signerad binär princip. Den här distributionen är möjlig via grupprincip, men stöds för närvarande inte i Configuration Manager.

• När du konfigurerar Configuration Manager som ett hanterat installationsprogram på enheter används en Windows AppLocker-princip. AppLocker används bara för att identifiera hanterade installationsprogram. All tillämpning sker med programkontroll.

Nästa steg

Hantera principer för program mot skadlig kod och brandväggsinställningar