Поделиться через


Управление приложениями в Защитнике Windows с помощью Configuration Manager

Относится к Configuration Manager (Current Branch)

Управление приложениями в Защитнике Windows предназначено для защиты устройств от вредоносных программ и другого ненадежного программного обеспечения. Он предотвращает запуск вредоносного кода, гарантируя, что может выполняться только утвержденный код, который вы знаете.

Управление приложениями — это уровень безопасности на основе программного обеспечения, который обеспечивает явный список программного обеспечения, которое разрешено запускать на компьютере. Сама по себе система управления приложениями не имеет необходимых компонентов для оборудования или встроенного ПО. Политики управления приложениями, развернутые с помощью Configuration Manager включить политику на устройствах в целевых коллекциях, которые соответствуют минимальным требованиям к версии Windows и SKU, описанным в этой статье. При необходимости можно включить защиту на основе гипервизора для политик управления приложениями, развернутых с помощью Configuration Manager, с помощью групповой политики на поддерживаемом оборудовании.

Дополнительные сведения см. в руководстве по развертыванию управления приложениями в Защитнике Windows.

Примечание.

Эта функция ранее называлась настраиваемой целостностью кода и Device Guard.

Использование управления приложениями с Configuration Manager

Для развертывания политики управления приложениями можно использовать Configuration Manager. Эта политика позволяет настроить режим, в котором управление приложениями выполняется на устройствах в коллекции.

Можно настроить один из следующих режимов:

  1. Принудительное применение включено . Разрешено выполнение только доверенных исполняемых файлов.
  2. Только аудит — разрешить выполнение всех исполняемых файлов, но записывать ненадежные исполняемые файлы, которые выполняются, в журнале событий локального клиента.

Что можно запустить при развертывании политики управления приложениями?

Управление приложениями позволяет строго контролировать, что может выполняться на управляемых устройствах. Эта функция может быть полезна для устройств в отделах с высоким уровнем безопасности, где крайне важно, чтобы нежелательное программное обеспечение не запускалось.

При развертывании политики обычно могут выполняться следующие исполняемые файлы:

  • Компоненты ОС Windows
  • Драйверы Центра разработки оборудования с подписями Лабораторий качества оборудования Windows
  • Приложения Магазина Windows
  • Клиент Configuration Manager
  • Все программное обеспечение, развернутое с помощью Configuration Manager, устанавливаемое устройствами после обработки политики управления приложениями
  • Обновления на встроенные компоненты Windows из:
    • Центр обновления Windows
    • Центр обновления Windows для бизнеса
    • Службы Windows Server Update Services
    • Диспетчер конфигураций
    • При необходимости— программное обеспечение с хорошей репутацией, определяемой Microsoft Intelligent Security Graph (ISG). IsG включает SmartScreen Защитника Windows и другие службы Майкрософт. Устройство должно работать под управлением SmartScreen Защитника Windows и Windows 10 версии 1709 или более поздней, чтобы это программное обеспечение было доверенным.

Важно!

Эти элементы не включают программное обеспечение, которое не встроено в Windows, которое автоматически обновляется из Интернета или сторонние обновления программного обеспечения. Это ограничение применяется независимо от того, установлены ли они каким-либо из перечисленных механизмов обновления или из Интернета. Управление приложениями разрешает только изменения программного обеспечения, развернутые через клиент Configuration Manager.

Поддерживаемые операционные системы

Чтобы использовать управление приложениями с Configuration Manager, на устройствах должны быть запущены поддерживаемые версии:

  • Windows 11 или более поздней версии, выпуск Enterprise
  • Windows 10 или более поздней версии, Выпуск Enterprise
  • Windows Server 2019 или более поздней версии

Совет

Существующие политики управления приложениями, созданные в Configuration Manager версии 2006 или более ранней, не будут работать с Windows Server. Для поддержки Windows Server создайте новые политики управления приложениями.

Перед началом работы

  • После успешной обработки политики на устройстве Configuration Manager настраивается в качестве управляемого установщика на этом клиенте. После обработки политики программное обеспечение, развернутые Configuration Manager, автоматически становится доверенным. Прежде чем устройство обработает политику управления приложениями, программное обеспечение, установленное Configuration Manager, не будет автоматически доверенным.

    Примечание.

    Например, нельзя использовать шаг Установка приложения в последовательности задач для установки приложений во время развертывания ОС. Дополнительные сведения см. в разделе Шаги последовательности задач — установка приложения.

  • Расписание оценки соответствия требованиям по умолчанию для политик управления приложениями выполняется каждый день. Это расписание можно настроить во время развертывания политики. Если вы заметили проблемы в обработке политики, настройте расписание оценки соответствия, чтобы оно было более частым. Например, каждый час. Это расписание определяет, как часто клиенты повторно обрабатывают политику управления приложениями в случае сбоя.

  • Независимо от выбранного режима принудительного применения при развертывании политики управления приложениями устройства не могут запускать HTML-приложения с расширением .hta файла.

Создание политики управления приложениями

  1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие.

  2. Разверните узел Endpoint Protection и выберите узел Управление приложениями в Защитнике Windows .

  3. На вкладке Главная ленты в группе Создать выберите Создать политику управления приложениями.

  4. На странице Общиемастера создания политики управления приложениями укажите следующие параметры:

    • Имя. Введите уникальное имя для этой политики управления приложениями.

    • Описание. При необходимости введите описание политики, которое поможет определить ее в консоли Configuration Manager.

    • Принудительная перезагрузка устройств, чтобы эта политика могла применяться для всех процессов. После того, как устройство обработает политику, на клиенте запланирован перезапуск в соответствии с параметрами клиента для перезапуска компьютера. Приложения, которые в настоящее время выполняются на устройстве, не будут применять новую политику управления приложениями до тех пор, пока не будет перезапущена. Однако приложения, запущенные после применения политики, будут учитывать новую политику.

    • Режим принудительного применения. Выберите один из следующих методов принудительного применения:

      • Принудительное применение включено: разрешено запускать только доверенные приложения.

      • Только аудит: разрешить запуск всех приложений, но регистрировать ненадежные программы, которые выполняются. Сообщения аудита находятся в журнале событий локального клиента.

  5. На вкладке Включениямастера создания политики управления приложениями выберите, хотите ли вы авторизовать программное обеспечение, которому доверяет Граф интеллектуальной безопасности.

  6. Если вы хотите добавить доверие для определенных файлов или папок на устройствах, нажмите кнопку Добавить. В диалоговом окне Добавление доверенного файла или папки можно указать локальный файл или путь к папке для доверия. Вы также можете указать путь к файлу или папке на удаленном устройстве, на котором у вас есть разрешение на подключение. При добавлении доверия для определенных файлов или папок в политике управления приложениями вы можете:

    • Преодолеть проблемы с поведением управляемого установщика.

    • Доверяйте бизнес-приложениям, которые нельзя развернуть с помощью Configuration Manager.

    • Доверяйте приложениям, включенным в образ развертывания ОС.

  7. Завершите работу мастера.

Развертывание политики управления приложениями

  1. В консоли Configuration Manager перейдите в рабочую область Активы и соответствие.

  2. Разверните узел Endpoint Protection и выберите узел Управление приложениями в Защитнике Windows .

  3. В списке политик выберите ту, которую вы хотите развернуть. На вкладке Главная ленты в группе Развертывание выберите Развернуть политику управления приложениями.

  4. В диалоговом окне Развертывание политики управления приложениями выберите коллекцию, в которой необходимо развернуть политику. Затем настройте расписание, когда клиенты оценивают политику. Наконец, укажите, может ли клиент оценивать политику за пределами настроенных периодов обслуживания.

  5. По завершении нажмите кнопку ОК , чтобы развернуть политику.

Мониторинг политики управления приложениями

Как правило, используйте сведения, приведенные в статье Мониторинг параметров соответствия требованиям. Эти сведения помогут вам отслеживать правильное применение развернутой политики ко всем устройствам.

Чтобы отслеживать обработку политики управления приложениями, используйте следующий файл журнала на устройствах:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Чтобы проверить блокировку или аудит определенного программного обеспечения, см. следующие журналы событий локального клиента:

  • Для блокировки и аудита исполняемых файлов используйте журналы> приложений и службMicrosoft>Windows>Code Integrity>Operational.

  • Для блокировки и аудита файлов установщика Windows и файлов скриптов используйте журналы> приложений и службMicrosoft>Windows>AppLocker>MSI и скрипт.

Сведения о безопасности и конфиденциальности

  • Устройства, на которых развернута политика в режиме "Только аудит" или "Принудительное применение", но не были перезапущены для принудительного применения политики, уязвимы для установки ненадежного программного обеспечения. В этом случае программное обеспечение может продолжать работать, даже если устройство перезагружается или получает политику в режиме принудительного применения .

  • Чтобы повысить эффективность политики управления приложениями, сначала подготовьте устройство в лабораторной среде. Разверните политику принудительного применения, а затем перезапустите устройство. Убедившись, что приложения работают, передадите устройство пользователю.

  • Не развертывайте политику с включенным применением , а затем развертывайте политику с параметром "Только аудит" на том же устройстве. Такая конфигурация может привести к запуску ненадежного программного обеспечения.

  • При использовании Configuration Manager для включения управления приложениями на устройствах политика не запрещает пользователям с правами локального администратора обходить политики управления приложениями или иным образом запускать ненадежное программное обеспечение.

  • Единственный способ запретить пользователям с правами локального администратора отключить управление приложениями — развернуть подписанную двоичную политику. Это развертывание возможно с помощью групповой политики, но в настоящее время не поддерживается в Configuration Manager.

  • При настройке Configuration Manager в качестве управляемого установщика на устройствах используется политика Windows AppLocker. AppLocker используется только для идентификации управляемых установщиков. Все принудительное применение выполняется с помощью управления приложениями.

Дальнейшие действия

Управление политиками защиты от вредоносных программ и параметрами брандмауэра