Поделиться через

Автоматическое разрешение приложений, развернутых управляемым установщиком с помощью элемента управления приложениями для бизнеса

  • Статья
  • Применяется к:
    Windows 11, ✅ Windows 10

Примечание.

Некоторые возможности управления приложениями для бизнеса доступны только в определенных версиях Windows. Дополнительные сведения о доступности функций управления приложениями.

Элемент управления приложениями для бизнеса включает параметр под названием управляемый установщик , который помогает сбалансировать безопасность и управляемость при применении политик управления приложениями. Этот параметр позволяет автоматически разрешать приложения, установленные назначенным решением для распространения программного обеспечения, например Microsoft Configuration Manager (MEMCM) или Microsoft Intune.

Как работает управляемый установщик?

Управляемый установщик использует специальную коллекцию правил в AppLocker для назначения двоичных файлов, которым доверяет ваша организация, в качестве авторизованного источника для установки приложений. При запуске одного из этих доверенных двоичных файлов Windows отслеживает процесс двоичного файла (и все дочерние процессы, которые он запускает) и отслеживает запись файлов на диск. Когда файлы записываются, они помечаются как созданные из управляемого установщика.

Затем вы можете настроить элемент управления приложениями, чтобы доверять файлам, установленным управляемым установщиком, добавив параметр Enabled:Managed Installer в политику управления приложениями. Если этот параметр задан, элемент управления приложениями будет проверка сведения о источнике управляемого установщика при определении того, следует ли разрешить выполнение двоичного файла. До тех пор, пока для двоичного файла нет правил запрета, элемент управления приложениями будет выполняться исключительно на основе управляемого источника установщика.

Соображения безопасности при использовании управляемого установщика

Так как управляемый установщик является эвристическим механизмом, он не предоставляет те же гарантии безопасности, что и явные правила разрешения или запрета. Управляемый установщик лучше всего подходит, когда пользователи работают как обычные пользователи и где все программное обеспечение развертывается и устанавливается решением для распространения программного обеспечения, таким как MEMCM.

Пользователи с правами администратора или вредоносными программами, запущенными в системе в качестве администратора, могут обходить намерения политик управления приложениями, если параметр управляемого установщика разрешен.

Если управляемый процесс установщика выполняется в контексте пользователя со стандартными привилегиями, то вполне возможно, что стандартные пользователи или вредоносные программы, работающие от имени стандартного пользователя, смогут обойти намерение политик управления приложениями.

Некоторые установщики приложений могут автоматически запускать приложение в конце процесса установки. Если приложение запускается автоматически и установщик был запущен управляемым установщиком, то эвристическое отслеживание и авторизация управляемого установщика будут распространяться на все файлы, созданные во время первого запуска приложения. Это расширение может привести к непреднамеренной авторизации исполняемого файла. Чтобы избежать этого, убедитесь, что метод развертывания приложений, используемый в качестве управляемого установщика, ограничивает выполнение приложений при установке.

Известные ограничения управляемого установщика

  • Элемент управления приложениями, основанный на управляемом установщике, не поддерживает приложения, которые обновляются самостоятельно. Если приложение, развернутое управляемым установщиком, позже обновляется, обновленные файлы приложения не будут содержать сведения о источнике из управляемого установщика, и они не смогут запуститься. При использовании управляемых установщиков необходимо развернуть и установить все обновления приложений с помощью управляемого установщика или включить правила для авторизации приложения в политику управления приложениями. В некоторых случаях можно также назначить двоичный файл приложения, выполняющий самостоятельное обновление, в качестве управляемого установщика. Перед использованием этого метода необходимо выполнить надлежащий обзор функциональности и безопасности.

  • Некоторые приложения или установщики могут извлекать, скачивать или создавать двоичные файлы и немедленно пытаться запустить их. Файлы, выполняемые таким процессом, могут быть запрещены эвристическим методом управляемого установщика. В некоторых случаях существует возможность назначения двоичного файла приложения, который будет выполнять эту операцию как управляемый установщик. Перед использованием этого метода необходимо выполнить надлежащий обзор функциональности и безопасности.

  • Эвристический метод управляемого установщика не разрешает драйверы ядра. Политика управления приложениями должна иметь правила, разрешающие выполнение необходимых драйверов.

Настройка отслеживания управляемого установщика с помощью AppLocker и элемента управления приложениями

Чтобы включить отслеживание управляемого установщика, необходимо:

  • Создайте и разверните политику AppLocker, которая определяет правила управляемого установщика и обеспечивает принудительное применение служб для исполняемых файлов и библиотек DLL.
  • Включите службы AppLocker Application Identity и AppLockerFltr.

Примечание.

Приведенная ниже политика AppLocker управляемого установщика предназначена для безопасного объединения с существующими политиками AppLocker и не изменяет поведение этих политик. Однако при применении к устройству, на которое в настоящее время нет политики AppLocker, вы увидите значительное увеличение количества предупреждающих событий, создаваемых в журнале событий AppLocker — EXE и DLL . Если вы используете службу пересылки и сбора событий, например LogAnalytics, вам может потребоваться настроить конфигурацию для этого журнала событий, чтобы только собирать события ошибок или полностью прекратить сбор событий из этого журнала.

Примечание.

MEMCM автоматически настроит себя в качестве управляемого установщика и включит необходимые компоненты AppLocker при развертывании одной из политик управления приложениями для папки "Входящие". При настройке MEMCM в качестве управляемого установщика с помощью любого другого метода требуется дополнительная настройка. Используйте параметр Cmdline ManagedInstaller в настройке ccmsetup.exe. Вы также можете развернуть одну из политик режима аудита папки "Входящие" MEMCM вместе с настраиваемой политикой.

Создайте и разверните политику AppLocker, которая определяет правила управляемого установщика и обеспечивает принудительное применение служб для исполняемых файлов и библиотек DLL.

Пользовательский интерфейс создания политики AppLocker в объекте групповой политики Редактор и командлеты PowerShell для AppLocker нельзя напрямую использовать для создания правил для коллекции правил управляемого установщика. Однако вы можете использовать XML-редактор или текстовый редактор для преобразования политики сбора правил EXE в коллекцию правил ManagedInstaller.

Примечание.

Управляемыми установщиками могут быть назначены только типы ФАЙЛОВ EXE.

  1. Используйте New-AppLockerPolicy , чтобы создать правило EXE для файла, назначаемого в качестве управляемого установщика. В этом примере создается правило для расширения управления Intune Майкрософт с помощью типа правила издателя, но можно использовать любой тип правила AppLocker. Возможно, потребуется переформатировать выходные данные для удобства чтения.

    Get-ChildItem ${env:ProgramFiles(x86)}'\Microsoft Intune Management Extension\Microsoft.Management.Services.IntuneWindowsAgent.exe' | Get-AppLockerFileInformation | New-AppLockerPolicy -RuleType Publisher -User Everyone -Xml > AppLocker_MI_PS_ISE.xml

  2. Вручную измените тип коллекции правил с "Exe" на "ManagedInstaller" и задайте для параметра EnforcementMode значение AuditOnly.

    Менять:

    <RuleCollection Type="Exe" EnforcementMode="NotConfigured">

    Кому:

    <RuleCollection Type="ManagedInstaller" EnforcementMode="AuditOnly">

  3. Вручную измените политику AppLocker и добавьте коллекции правил EXE и DLL по крайней мере по одному правилу для каждого из них. Чтобы убедиться, что политика может быть безопасно применена к системам, в которых уже может быть активна политика AppLocker, рекомендуется использовать небезопасное правило DENY, чтобы заблокировать поддельный двоичный файл и присвоить принудительному моду коллекции правил значение AuditOnly. Кроме того, так как многие процессы установки зависят от служб, необходимо включить отслеживание служб для каждой из этих коллекций правил. В следующем примере показана частичная политика AppLocker с коллекцией правил EXE и DLL, настроенными в соответствии с рекомендациями.

    <RuleCollection Type="Dll" EnforcementMode="AuditOnly" >
  <FilePathRule Id="86f235ad-3f7b-4121-bc95-ea8bde3a5db5" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.dll" />
    </Conditions>
  </FilePathRule>
  <RuleCollectionExtensions>
    <ThresholdExtensions>
      <Services EnforcementMode="Enabled" />
    </ThresholdExtensions>
    <RedstoneExtensions>
      <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
  </RuleCollectionExtensions>
</RuleCollection>
<RuleCollection Type="Exe" EnforcementMode="AuditOnly">
  <FilePathRule Id="9420c496-046d-45ab-bd0e-455b2649e41e" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
    <Conditions>
      <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.exe" />
    </Conditions>
  </FilePathRule>
  <RuleCollectionExtensions>
    <ThresholdExtensions>
      <Services EnforcementMode="Enabled" />
    </ThresholdExtensions>
    <RedstoneExtensions>
      <SystemApps Allow="Enabled"/>
    </RedstoneExtensions>
  </RuleCollectionExtensions>
</RuleCollection>

  4. Проверьте политику AppLocker. В следующем примере показана полная политика AppLocker, которая задает Configuration Manager и Microsoft Intune в качестве управляемых установщиков. В окончательный XML-код включаются только те коллекции правил AppLocker, в которых определены фактические правила. Это включение на основе условий гарантирует успешное слияние политики на устройствах, на которых уже может быть создана политика AppLocker.

    <AppLockerPolicy Version="1">
  <RuleCollection Type="Dll" EnforcementMode="AuditOnly" >
    <FilePathRule Id="86f235ad-3f7b-4121-bc95-ea8bde3a5db5" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.dll" />
      </Conditions>
    </FilePathRule>
    <RuleCollectionExtensions>
      <ThresholdExtensions>
        <Services EnforcementMode="Enabled" />
      </ThresholdExtensions>
      <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
      </RedstoneExtensions>
    </RuleCollectionExtensions>
  </RuleCollection>
  <RuleCollection Type="Exe" EnforcementMode="AuditOnly">
    <FilePathRule Id="9420c496-046d-45ab-bd0e-455b2649e41e" Name="Benign DENY Rule" Description="" UserOrGroupSid="S-1-1-0" Action="Deny">
      <Conditions>
        <FilePathCondition Path="%OSDRIVE%\ThisWillBeBlocked.exe" />
      </Conditions>
    </FilePathRule>
    <RuleCollectionExtensions>
      <ThresholdExtensions>
        <Services EnforcementMode="Enabled" />
      </ThresholdExtensions>
      <RedstoneExtensions>
        <SystemApps Allow="Enabled"/>
      </RedstoneExtensions>
    </RuleCollectionExtensions>
  </RuleCollection>
  <RuleCollection Type="ManagedInstaller" EnforcementMode="AuditOnly">
    <FilePublisherRule Id="55932f09-04b8-44ec-8e2d-3fc736500c56" Name="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE version 1.39.200.2 or greater in MICROSOFT&reg; INTUNE&trade; from O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
          <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="MICROSOFT.MANAGEMENT.SERVICES.INTUNEWINDOWSAGENT.EXE">
            <BinaryVersionRange LowSection="1.39.200.2" HighSection="*" />
          </FilePublisherCondition>
    </Conditions>
    </FilePublisherRule>
    <FilePublisherRule Id="6ead5a35-5bac-4fe4-a0a4-be8885012f87" Name="CMM - CCMEXEC.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMEXEC.EXE">
          <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
        </FilePublisherCondition>
      </Conditions>
    </FilePublisherRule>
    <FilePublisherRule Id="8e23170d-e0b7-4711-b6d0-d208c960f30e" Name="CCM - CCMSETUP.EXE, 5.0.0.0+, Microsoft signed" Description="" UserOrGroupSid="S-1-1-0" Action="Allow">
      <Conditions>
        <FilePublisherCondition PublisherName="O=MICROSOFT CORPORATION, L=REDMOND, S=WASHINGTON, C=US" ProductName="*" BinaryName="CCMSETUP.EXE">
          <BinaryVersionRange LowSection="5.0.0.0" HighSection="*" />
          </FilePublisherCondition>
        </Conditions>
      </FilePublisherRule>
    </RuleCollection>
  </AppLockerPolicy>

  5. Разверните политику конфигурации управляемого установщика AppLocker. Вы можете импортировать политику AppLocker и выполнить развертывание с помощью групповая политика или использовать сценарий для развертывания политики с помощью командлета Set-AppLockerPolicy, как показано в следующей команде PowerShell.

    Set-AppLockerPolicy -XmlPolicy <AppLocker XML FilePath> -Merge -ErrorAction SilentlyContinue

  6. При развертывании политики AppLocker с помощью скрипта используйте appidtel.exe для настройки службы удостоверений приложений AppLocker и драйвера фильтра AppLocker.

    appidtel.exe start [-mionly]

    Укажите "-mionly", если вы не планируете использовать Граф интеллектуальной безопасности (ISG).

Примечание.

Отслеживание управляемого установщика запускается при следующем запуске процесса, соответствующего правилам управляемого установщика. Если предполагаемый процесс уже запущен, его необходимо перезапустить.

Включение параметра управляемого установщика в политике управления приложениями

Чтобы включить доверие для двоичных файлов, установленных управляемыми установщиками, в политике управления приложениями необходимо указать параметр "Enabled: Managed Installer". Этот параметр можно определить с помощью командлета Set-RuleOption с параметром 13.

Ниже приведены шаги по созданию политики управления приложениями, которая позволяет загружать Windows и включает параметр управляемого установщика.

  1. Скопируйте политику DefaultWindows_Audit в рабочую папку из раздела "C:\Windows\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"

  2. Сбросьте идентификатор политики, чтобы убедиться, что он имеет формат с несколькими политиками, и присвойте ему идентификатор GUID, отличный от примера политик. Кроме того, присвойте ему понятное имя, чтобы помочь с идентификацией.

    Пример:

    Set-CIPolicyIdInfo -FilePath <XML filepath> -PolicyName "<friendly name>" -ResetPolicyID

  3. Задайте параметр 13 (Включено:Управляемый установщик).

    Set-RuleOption -FilePath <XML filepath> -Option 13

  4. Разверните политику управления приложениями. См . статью Развертывание политик управления приложениями для бизнеса.

Примечание.

Политика управления приложениями должна содержать правила для всех системных и загрузочных компонентов, драйверов ядра и любых других авторизованных приложений, которые нельзя развернуть с помощью управляемого установщика.

Удаление функции управляемого установщика

Чтобы удалить функцию Управляемого установщика с устройства, необходимо удалить политику Управляемого установщика AppLocker с устройства, следуя инструкциям в разделе Удаление правила AppLocker: очистка политик AppLocker в одной или удаленных системах.