App Control for Business-Bereitstellung in verschiedenen Szenarien: Gerätetypen
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
In der Regel erfolgt die Bereitstellung von App Control for Business am besten in Phasen, anstatt ein Feature zu sein, das Sie einfach "aktivieren". Die Auswahl und Abfolge der Phasen hängt davon ab, wie verschiedene Computer und andere Geräte in Ihrem organization verwendet werden und in welchem Umfang die IT diese Geräte verwaltet. Die folgende Tabelle hilft Ihnen bei der Entwicklung eines Plans für die Bereitstellung von App Control in Ihrem organization. Es ist üblich, dass Organisationen Geräteanwendungsfälle für jede der beschriebenen Kategorien verwenden.
Gerätetypen
| Gerätetyp | Beziehung von App Control zu diesem Gerätetyp |
|---|---|
|
Kaum verwaltete Geräte: Unternehmenseigene Geräte, auf denen Benutzer beliebige Software installieren dürfen. Auf den Geräten müssen Antivirenlösungen der Organisation und Clientverwaltungstools ausgeführt werden. |
App Control for Business kann verwendet werden, um den Kernel zu schützen und um Problemanwendungen zu überwachen (zu überwachen), anstatt die Anwendungen einzuschränken, die ausgeführt werden können. |
|
Vollständig verwaltete Geräte: Zulässige Software wird durch die IT-Abteilung eingeschränkt. Benutzer können weitere Software anfordern oder aus einer Liste von Anwendungen installieren, die von der IT-Abteilung bereitgestellt werden. Beispiele: gesperrte unternehmenseigene Desktopcomputer und Laptops |
Eine anfängliche Baselinerichtlinie für App Control for Business kann eingerichtet und erzwungen werden. Wenn die IT-Abteilung weitere Anwendungen genehmigt, aktualisiert sie die App Control-Richtlinie und (bei nicht signierten BRANCHENanwendungen) den Katalog. |
|
Geräte mit fester Arbeitsauslastung: Führen täglich dieselben Aufgaben aus. Die Listen der genehmigten Anwendungen ändern sich nur selten. Beispiele: Kioske, Point-of-Sale-Systeme, Callcenter-PCs |
App Control for Business kann vollständig bereitgestellt werden, und die Bereitstellung und die laufende Verwaltung sind relativ einfach. Nach der Bereitstellung von App Control for Business können nur genehmigte Anwendungen ausgeführt werden. Diese Regel basiert auf dem Schutz, der von der App-Steuerung angeboten wird. |
| BYOD (Bring Your Own Device): Mitarbeiter dürfen eigene Geräte mitbringen und diese auch privat gebrauchen. | In den meisten Fällen gilt App Control for Business nicht. Sie können stattdessen andere Härtungs- und Sicherheitsfeatures mit MDM-basierten Lösungen für den bedingten Zugriff in Erwägung ziehen, wie etwa Microsoft Intune. Sie können jedoch eine Richtlinie im Überwachungsmodus für diese Geräte bereitstellen oder eine Richtlinie nur für die Sperrliste verwenden, um bestimmte Apps oder Binärdateien zu verhindern, die von Ihrem organization als bösartig oder anfällig angesehen werden. |
Eine Einführung in lamna Healthcare Company
In den nächsten Artikeln untersuchen wir jedes der oben genannten Szenarien mithilfe eines fiktiven organization namens Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) ist ein großer Gesundheitsdienstleister, der im USA tätig ist. Lamna beschäftigt Tausende von Mitarbeitern, von Ärzten und Krankenschwestern bis hin zu Buchhaltern, internen Anwälten und IT-Technikern. Ihre Geräteanwendungsfälle sind vielfältig und umfassen Einzelbenutzerarbeitsstationen für ihr professionelles Personal, freigegebene Kioske, die von Ärzten und Krankenschwestern für den Zugriff auf Patientenakten verwendet werden, dedizierte medizinische Geräte wie MRT-Scanner und viele andere. Darüber hinaus hat Lamna eine entspannte Bring-Your-Own-Device-Richtlinie für viele ihrer professionellen Mitarbeiter.
Lamna verwendet Microsoft Intune im Hybridmodus sowohl mit Configuration Manager als auch mit Intune. Obwohl sie Microsoft Intune verwenden, um viele Anwendungen bereitzustellen, hat Lamna immer gelockerte Anwendungsmethoden: Einzelne Teams und Mitarbeiter konnten alle Anwendungen installieren und verwenden, die sie für ihre Rolle auf ihren eigenen Arbeitsstationen für erforderlich halten. Lamna hat vor Kurzem auch damit begonnen, Microsoft Defender for Endpoint für eine bessere Endpunkterkennung und -reaktion zu verwenden.
Vor kurzem erlebte Lamna ein Ransomware-Ereignis, das einen teuren Wiederherstellungsprozess erforderte und möglicherweise Datenexfiltration durch den unbekannten Angreifer beinhaltete. Teil des Angriffs war die Installation und Ausführung schädlicher Binärdateien, die der Erkennung durch die Antivirenlösung von Lamna entzogen, aber durch eine App-Steuerungsrichtlinie blockiert worden wären. Als Reaktion darauf hat die Lamna-Geschäftsleitung viele neue It-Sicherheitsreaktionen genehmigt, einschließlich der Verschärfung von Richtlinien für die Anwendungsnutzung und der Einführung von App Control.