应用程序控制
注意
应用控件功能是可选的。 必须 提交请求 才能打开应用控制。
应用控制是 Microsoft 托管桌面中的可选安全做法,用于限制在客户端设备上执行代码。
此控制可降低恶意软件或恶意脚本的风险。 控制要求只有能运行由客户批准的发布者列表签名的代码。 此控制具有许多安全优势,但它主要旨在保护数据和标识免受基于客户端的攻击。
Microsoft 托管桌面通过创建支持核心生产力方案的基本策略来简化应用控制策略的管理。 可以将信任扩展到特定于环境中的应用程序和脚本的其他签名者。
任何安全技术都需要在用户体验、安全性和成本之间取得平衡。 应用控制可减少环境中恶意软件的威胁,但会对用户造成后果,并对 IT 管理员采取进一步措施。
| 其他安全和职责 | 说明 |
|---|---|
| 其他安全性 | 应用控制策略不信任的应用或脚本将被阻止在设备上运行。 |
| 你的其他职责 |
|
| Microsoft 托管桌面职责 |
|
管理应用程序中的信任
Microsoft 托管桌面规划信任 Microsoft 技术核心组件的基本策略。 然后,通过通知 Microsoft 托管桌面你已信任哪些应用和脚本,添加对应用程序和脚本的信任。
基本策略
Microsoft 托管桌面与 Microsoft 网络安全专家协作,创建并维护标准策略。 此标准策略:
- 启用通过 Microsoft Intune 部署的大多数应用。
- 阻止危险活动,例如代码编译或执行不受信任的文件。
基本策略采用以下方法来限制软件执行:
- 管理员运行的文件将被允许运行。
- 不在用户可写入目录中位置的文件将被允许执行。
- 文件由受信任的签名者签名。
- 大多数由 Microsoft 签名的文件都将运行,但某些文件会被阻止,以防止代码编译等高风险操作。
如果管理员以外的用户可能已将应用或脚本添加到设备(即位于用户可写目录中)则不允许其执行。 如果管理员已允许应用或脚本,我们将允许执行。
在以下情况下,我们的策略将停止执行应用:
- 如果用户被诱骗尝试安装恶意软件。
- 如果用户运行的应用漏洞尝试安装恶意软件。
- 如果用户故意尝试运行未经授权的应用或脚本。
签名者请求
通过提交签名者请求,通知我们哪些应用程序由你信任的软件发布者提供。 通过执行此操作,我们:
- 将信任信息添加到基线应用程序控制策略中。
- 允许使用此发布者的证书签名的任何软件在设备上运行。
审核和强制实施的策略
Microsoft 托管桌面使用 Microsoft Intune 策略来提供应用控制:
审核策略
此策略创建日志以记录应用或脚本是否会被强制执行的策略阻止。
审核策略不强制实施应用控制规则。 它们用于测试目的,以确定应用程序是否需要发布者豁免。 它在事件查看器中记录警告(8003 或 8006 事件),而不是阻止执行或安装指定的应用或脚本。
强制实施的策略
此策略阻止不受信任的应用和脚本运行,并在阻止应用或脚本时创建日志。 强制实施的策略可阻止标准用户执行存储在用户可写目录中的应用或脚本。
测试组中的设备应用了审核策略,用于验证任何应用程序是否会导致问题。 所有其他组(第一组、快速组和广泛组)都使用强制实施的策略。 这些组中的用户将无法运行不受信任的应用或脚本。