Správa řízení aplikací v programu Windows Defender pomocí Configuration Manager

  • Článek

Platí pro: Configuration Manager (Current Branch)

Řízení aplikací v programu Windows Defender je navržené tak, aby chránilo zařízení před malwarem a jiným nedůvěryhodným softwarem. Brání spuštění škodlivého kódu tím, že zajišťuje, že se dá spustit jenom schválený kód.

Řízení aplikací je softwarová vrstva zabezpečení, která vynucuje explicitní seznam softwaru, který může běžet na počítači. Řízení aplikací samo o sobě nemá žádné požadavky na hardware ani firmware. Zásady řízení aplikací nasazené s Configuration Manager povolit zásadu na zařízeních v cílových kolekcích, která splňují minimální požadavky na verzi a skladovou položku Windows uvedené v tomto článku. Volitelně je možné povolit ochranu zásad řízení aplikací nasazených prostřednictvím Configuration Manager na základě hypervisoru prostřednictvím zásad skupiny na hardwaru, který podporuje.

Další informace najdete v průvodci nasazením řízení aplikací v programu Windows Defender.

Poznámka

Tato funkce se dříve označovala jako konfigurovatelná integrita kódu a Ochrana Device Guard.

Použití řízení aplikací s Configuration Manager

K nasazení zásad řízení aplikací můžete použít Configuration Manager. Tato zásada umožňuje nakonfigurovat režim, ve kterém se řízení aplikací spouští na zařízeních v kolekci.

Můžete nakonfigurovat jeden z následujících režimů:

  1. Vynucení povoleno – spouštět se můžou jenom důvěryhodné spustitelné soubory.
  2. Pouze audit – Povolí spuštění všech spustitelných souborů, ale protokolování nedůvěryhodných spustitelných souborů, které běží v protokolu událostí místního klienta.

Co se dá spustit, když nasadíte zásady řízení aplikací?

Řízení aplikací umožňuje silně řídit, co se dá spustit na zařízeních, která spravujete. Tato funkce může být užitečná pro zařízení v odděleních s vysokou úrovní zabezpečení, kde je důležité, aby nepotřebný software nemohl běžet.

Při nasazování zásad se obvykle dají spustit následující spustitelné soubory:

  • Součásti operačního systému Windows
  • Ovladače Hardwar Dev Center s signaturami Windows Hardware Quality Labs
  • Aplikace pro Windows Store
  • Klient Configuration Manager
  • Veškerý software nasazený prostřednictvím Configuration Manager, který zařízení nainstalují po zpracování zásad řízení aplikací
  • Aktualizace k integrovaným komponentám Windows z:
    • Windows Update
    • služba Windows Update pro firmy
    • Windows Server Update Services
    • Správce konfigurace
    • Volitelně se jedná o software s dobrou pověstí, kterou určuje Microsoft Intelligent Security Graph (ISG). IsG zahrnuje filtr SmartScreen v programu Windows Defender a další služby Microsoftu. Aby byl tento software důvěryhodný, musí na zařízení běžet filtr SmartScreen v programu Windows Defender a Windows 10 verze 1709 nebo novější.

Důležité

Tyto položky nezahrnují žádný software, který není integrovaný ve Windows a který se automaticky aktualizuje z internetu, ani aktualizace softwaru třetích stran. Toto omezení platí bez ohledu na to, jestli jsou nainstalované pomocí některého z uvedených mechanismů aktualizace nebo z internetu. Řízení aplikací umožňuje pouze změny softwaru nasazené prostřednictvím klienta Configuration Manager.

Podporované operační systémy

Pokud chcete používat řízení aplikací s Configuration Manager, musí na zařízeních běžet podporované verze:

  • Windows 11 nebo novější, edice Enterprise
  • Windows 10 nebo novější, edice Enterprise
  • Windows Server 2019 nebo novější

Tip

Stávající zásady řízení aplikací vytvořené pomocí Configuration Manager verze 2006 nebo starší nebudou s Windows Serverem fungovat. Pokud chcete podporovat Windows Server, vytvořte nové zásady řízení aplikací.

Než začnete

  • Po úspěšném zpracování zásady na zařízení se Configuration Manager nakonfiguruje jako spravovaný instalační program na daném klientovi. Po zpracování zásad se software nasazený službou Configuration Manager automaticky důvěřuje. Než zařízení zpracuje zásady řízení aplikací, software nainstalovaný Configuration Manager se automaticky nedůvěřuje.

    Poznámka

    K instalaci aplikací během nasazení operačního systému například nemůžete použít krok Nainstalovat aplikaci v pořadí úkolů. Další informace najdete v tématu Kroky pořadí úkolů – Instalace aplikace.

  • Výchozí plán vyhodnocení dodržování předpisů pro zásady řízení aplikací je každý den. Tento plán je možné konfigurovat během nasazování zásad. Pokud si všimnete problémů se zpracováním zásad, nakonfigurujte plán vyhodnocení dodržování předpisů tak, aby byl častější. Například každou hodinu. Tento plán určuje, jak často klienti znovu zpracovávají zásady řízení aplikací, pokud dojde k selhání.

  • Bez ohledu na režim vynucení, který vyberete, nemůžou zařízení při nasazování zásad řízení aplikací spouštět aplikace HTML s příponou .hta souboru.

Vytvoření zásady řízení aplikací

  1. V konzoli Správce konfigurace přejděte do pracovního prostoru Prostředky a dodržování předpisů.

  2. Rozbalte Endpoint Protection a pak vyberte uzel Řízení aplikací v programu Windows Defender .

  3. Na pásu karet na kartě Domů ve skupině Vytvořit vyberte Vytvořit zásadu řízení aplikací.

  4. Na stránce Obecnév Průvodci vytvořením zásad řízení aplikací zadejte následující nastavení:

    • Název: Zadejte jedinečný název této zásady řízení aplikací.

    • Popis: Volitelně můžete zadat popis zásad, který vám pomůže zásadu identifikovat v konzole Configuration Manager.

    • Vynutit restartování zařízení, aby bylo možné tuto zásadu vynutit pro všechny procesy: Jakmile zařízení zpracuje zásadu, naplánuje se restartování klienta podle nastavení klienta pro restartování počítače. Aplikace aktuálně spuštěné na zařízení nebudou používat nové zásady řízení aplikací, dokud se nerestartuje. Aplikace spuštěné po uplatnění zásady ale budou dodržovat nové zásady.

    • Režim vynucení: Zvolte jednu z následujících metod vynucování:

      • Povoleno vynucování: Spouštět se můžou jenom důvěryhodné aplikace.

      • Pouze audit: Umožňuje spuštění všech aplikací, ale protokolování nedůvěryhodných programů, které se spouští. Zprávy auditu jsou v protokolu událostí místního klienta.

  5. Na kartě Zahrnutív Průvodci vytvořením zásad řízení aplikací zvolte, jestli chcete autorizovat software, který je důvěryhodný pro Intelligent Security Graph.

  6. Pokud chcete přidat vztah důvěryhodnosti pro konkrétní soubory nebo složky na zařízeních, vyberte Přidat. V dialogovém okně Přidat důvěryhodný soubor nebo složku můžete zadat místní soubor nebo cestu ke složce, které chcete důvěřovat. Můžete také zadat cestu k souboru nebo složce na vzdáleném zařízení, ke kterému máte oprávnění k připojení. Když v zásadách řízení aplikací přidáte vztah důvěryhodnosti pro konkrétní soubory nebo složky, můžete:

    • Řešení problémů s chováním spravovaného instalačního programu

    • Důvěřujte obchodním aplikacím, které nemůžete nasadit pomocí Configuration Manager.

    • Důvěřovat aplikacím, které jsou součástí image nasazení operačního systému.

  7. Dokončete průvodce.

Nasazení zásad řízení aplikací

  1. V konzoli Správce konfigurace přejděte do pracovního prostoru Prostředky a dodržování předpisů.

  2. Rozbalte Endpoint Protection a pak vyberte uzel Řízení aplikací v programu Windows Defender .

  3. V seznamu zásad vyberte zásadu, kterou chcete nasadit. Na kartě Domů na pásu karet ve skupině Nasazení vyberte Nasadit zásady řízení aplikací.

  4. V dialogovém okně Nasadit zásady řízení aplikací vyberte kolekci, do které chcete zásady nasadit. Pak nakonfigurujte plán, kdy klienti vyhodnocují zásady. Nakonec vyberte, jestli klient může vyhodnotit zásady mimo nakonfigurovaná období údržby.

  5. Až budete hotovi, vyberte OK a nasaďte zásadu.

Monitorování zásad řízení aplikací

Obecně použijte informace v článku Monitorování nastavení dodržování předpisů . Tyto informace vám můžou pomoct sledovat, jestli se nasazené zásady správně použily na všechna zařízení.

Pokud chcete monitorovat zpracování zásad řízení aplikací, použijte na zařízeních následující soubor protokolu:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Pokud chcete ověřit, že konkrétní software je blokovaný nebo auditovaný, projděte si následující protokoly událostí místního klienta:

  • Pokud chcete blokovat a auditovat spustitelné soubory, použijte protokoly aplikací a služeb Microsoft>>Windows>Code Integrity>Operational.

  • Pokud chcete blokovat a auditovat instalační službu systému Windows a soubory skriptů, použijte protokoly> aplikací a služebMicrosoft>Windows>AppLocker>MSI a skript.

Informace o zabezpečení a ochraně osobních údajů

  • Zařízení, která mají nasazenou zásadu v režimu Jen audit nebo Vynucení povoleno , ale nebyla restartována kvůli vynucení zásad, jsou ohrožena instalací nedůvěryhodného softwaru. V takovém případě může software běžet i v případě, že se zařízení restartuje nebo obdrží zásadu v režimu povoleného vynucení .

  • Pokud chcete pomoct s efektivitou zásad řízení aplikací, připravte zařízení nejprve v testovacím prostředí. Nasaďte zásadu povolenou vynucení a restartujte zařízení. Jakmile ověříte, že aplikace fungují, předejte zařízení uživateli.

  • Nenasazujte zásadu s povoleným vynucováním a později nasaďte zásadu jen s auditováním na stejné zařízení. Tato konfigurace může vést ke spuštění nedůvěryhodného softwaru.

  • Pokud k povolení řízení aplikací na zařízeních použijete Configuration Manager, nezabrání tato zásada uživatelům s právy místního správce v obejití zásad řízení aplikací nebo jiném spuštění nedůvěryhodného softwaru.

  • Jediným způsobem, jak zabránit uživatelům s oprávněními místního správce v zakázání řízení aplikací, je nasadit zásadu podepsaného binárního souboru. Toto nasazení je možné prostřednictvím zásad skupiny, ale v současné době není podporováno v Configuration Manager.

  • Nastavení Configuration Manager jako spravovaného instalačního programu na zařízeních používá zásady Windows AppLockeru. AppLocker se používá jenom k identifikaci spravovaných instalačních programů. Veškeré vynucování probíhá pomocí řízení aplikací.

Další kroky

Správa antimalwarových zásad a nastavení brány firewall