Planifier la gestion de la stratégie de cycle de vie d’App Control for Business

Cet article décrit les décisions que vous devez prendre pour établir les processus de gestion et de maintenance des stratégies App Control for Business.

Gestion du cycle de vie XML de la stratégie

La première étape de l’implémentation d’App Control consiste à prendre en compte la façon dont vos stratégies seront gérées et gérées au fil du temps. Le développement d’un processus de gestion des stratégies App Control for Business permet de s’assurer que Le contrôle d’application continue de contrôler efficacement la façon dont les applications sont autorisées à s’exécuter dans votre organization.

La plupart des stratégies App Control for Business évoluent au fil du temps et passent par un ensemble de phases identifiables pendant leur durée de vie. En règle générale, ces phases sont les suivantes :

1. Définissez (ou affinez) le « cercle d’approbation » pour la stratégie et créez une version en mode audit du xml de stratégie. En mode audit, les événements de bloc sont générés, mais les fichiers ne sont pas empêchés de s’exécuter.
2. Déployez la stratégie de mode audit sur les appareils prévus.
3. Surveillez les événements de bloc d’audit à partir des appareils prévus et ajoutez/modifiez/supprimez des règles si nécessaire pour traiter les blocs inattendus/indésirables.
4. Répétez les étapes 2 à 3 jusqu’à ce que les événements de bloc restants répondent aux attentes.
5. Générez la version en mode appliqué de la stratégie. En mode appliqué, les fichiers que la stratégie n’autorise pas sont empêchés de s’exécuter et les événements de bloc correspondants sont générés.
6. Déployez la stratégie de mode appliqué sur les appareils prévus. Nous vous recommandons d’utiliser des déploiements intermédiaires pour les stratégies appliquées afin de détecter et de répondre aux problèmes avant de déployer la stratégie à grande échelle.
7. Répétez les étapes 1 à 6 chaque fois que le « cercle de confiance » souhaité change.

Conserver les stratégies App Control dans une solution de contrôle de code source ou de gestion de documents

Pour gérer efficacement les stratégies App Control for Business, vous devez stocker et gérer vos documents XML de stratégie dans un référentiel central accessible à tous les responsables de la gestion des stratégies App Control. Nous vous recommandons une solution de contrôle de code source telle que GitHub ou une solution de gestion de documents comme Office 365 SharePoint, qui fournissent un contrôle de version et vous permettent de spécifier des métadonnées sur les documents XML.

Définir les métadonnées PolicyName, PolicyID et Version pour chaque stratégie

Utilisez l’applet de commande Set-CIPolicyIDInfo pour donner à chaque stratégie un nom descriptif et définir un ID de stratégie unique. Ces attributs uniques vous aident à différencier chaque stratégie lors de l’examen des événements App Control for Business ou lors de l’affichage du document XML de stratégie. Bien que vous puissiez spécifier une valeur de chaîne pour PolicyId, pour les stratégies utilisant le format de stratégie multiple, nous vous recommandons d’utiliser le commutateur -ResetPolicyId pour permettre au système de générer automatiquement un ID unique pour la stratégie.

En outre, nous vous recommandons d’utiliser l’applet de commande Set-CIPolicyVersion pour incrémenter le numéro de version interne de la stratégie lorsque vous apportez des modifications à la stratégie. La version doit être définie comme une chaîne de version en quatre parties standard (par exemple, « 1.0.0.0 »).

Mises à jour des règles de stratégie

Vous devrez peut-être réviser votre stratégie lorsque de nouvelles applications sont déployées ou que des applications existantes sont mises à jour par l’éditeur de logiciel pour vous assurer que les applications s’exécutent correctement. La nécessité ou non de mettre à jour les règles de stratégie dépend considérablement des types de règles que votre stratégie inclut. Les règles basées sur les certificats de codesignage offrent la plus grande résilience aux modifications d’application, tandis que les règles basées sur les attributs de fichier ou le hachage sont plus susceptibles de nécessiter des mises à jour lorsque les applications changent. Sinon, si vous utilisez la fonctionnalité d’installation managée App Control et que vous déployez de manière cohérente toutes les applications et leurs mises à jour via votre programme d’installation managé, vous avez moins de chances d’avoir besoin de mises à jour de stratégie.

Gestion des événements App Control

Chaque fois que le contrôle d’application bloque un processus, les événements sont écrits dans les journaux des événements Windows CodeIntegrity\Operational ou AppLocker\MSI et Script. L’événement décrit le fichier qui a tenté d’exécuter, les attributs de ce fichier et ses signatures, ainsi que le processus qui a tenté d’exécuter le fichier bloqué.

La collecte de ces événements dans un emplacement central peut vous aider à gérer votre stratégie App Control for Business et à résoudre les problèmes de configuration des règles. Vous pouvez utiliser l’agent Azure Monitor pour collecter automatiquement vos événements App Control à des fins d’analyse.

En outre, Microsoft Defender pour point de terminaison collecte les événements App Control qui peuvent être interrogés à l’aide de la fonctionnalité de repérage avancée.

Stratégie de support des applications et des utilisateurs

Les considérations sont les suivantes :

• Quel type de support utilisateur final est fourni pour les applications bloquées ?
• Comment les nouvelles règles sont-elles ajoutées à la stratégie ?
• Comment les règles existantes sont-elles mises à jour ?
• Les événements sont-ils transférés pour révision ?

Support technique

Si votre organization dispose d’un service de support technique établi, tenez compte des points suivants lors du déploiement de stratégies App Control for Business :

• Quelle documentation votre service de support a-t-il besoin pour les nouveaux déploiements de stratégie ?
• Quels sont les processus critiques dans chaque groupe d’entreprise, à la fois dans le flux de travail et le minutage qui seront affectés par les stratégies De contrôle d’application, et comment peuvent-ils affecter la charge de travail de votre service de support ?
• Qui sont les contacts du service de support ?
• Comment le service de support technique va-t-il résoudre les problèmes de contrôle d’application entre l’utilisateur final et les ressources qui gèrent les règles App Control for Business ?

Prise en charge des utilisateurs finaux

Étant donné que App Control for Business empêche l’exécution des applications non approuvées, il est important que votre organization planifie soigneusement la façon de fournir un support aux utilisateurs finaux. Les considérations sont les suivantes :

• Voulez-vous utiliser un site intranet comme support de première ligne pour les utilisateurs qui tentent d’exécuter une application bloquée ?
• Comment voulez-vous prendre en charge les exceptions à la stratégie ? Autoriserez-vous les utilisateurs à exécuter un script pour autoriser temporairement l’accès à une application bloquée ?

Documenter votre plan

Après avoir décidé comment votre organization gérera votre stratégie App Control for Business, enregistrez vos résultats.

• Stratégie de prise en charge des utilisateurs finaux. Documentez le processus que vous allez utiliser pour gérer les appels des utilisateurs qui ont tenté d’exécuter une application bloquée, et assurez-vous que le personnel du support technique a des étapes d’escalade claires afin que l’administrateur puisse mettre à jour la stratégie App Control for Business, si nécessaire.
• Traitement des événements. Indiquez si les événements seront collectés dans un emplacement central appelé magasin, comment ce magasin sera archivé et si les événements seront traités à des fins d’analyse.
• Gestion des stratégies. Détaillez les stratégies planifiées, la façon dont elles seront gérées et la façon dont les règles seront conservées au fil du temps.