Creare criteri di controllo delle app per dispositivi completamente gestiti

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Questa sezione descrive il processo per creare un criterio di controllo delle app per le aziende per i dispositivi completamente gestiti all'interno di un'organizzazione. La differenza principale tra questo scenario e i dispositivi gestiti con leggerezza è che tutto il software distribuito in un dispositivo completamente gestito è gestito dall'IT e gli utenti del dispositivo non possono installare app arbitrarie. Idealmente, tutte le app vengono distribuite usando una soluzione di distribuzione software, ad esempio Microsoft Intune. Inoltre, gli utenti su dispositivi completamente gestiti dovrebbero essere eseguiti come utente standard e solo i professionisti IT autorizzati hanno accesso amministrativo.

Nota

Alcune delle opzioni di Controllo app per le aziende descritte in questo argomento sono disponibili solo in Windows 10 versione 1903 o successiva o Windows 11. Quando si usa questo argomento per pianificare i criteri di controllo delle app dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità e valutare l'impatto per eventuali funzionalità che potrebbero non essere disponibili per i client. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.

Come descritto negli scenari di distribuzione comuni di Controllo app per le aziende, si userà l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso di Controllo app per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.

Alice Pena è il responsabile IT incaricato dell'implementazione di Controllo app.

Alice ha creato in precedenza un criterio per i dispositivi gestiti con leggerezza dell'organizzazione. Alcuni dispositivi, tuttavia, sono gestiti in modo più rigoroso e possono trarre vantaggio da criteri più vincolati. In particolare, a determinate funzioni di lavoro, ad esempio il personale amministrativo e i ruoli di lavoro di prima linea, non viene concesso l'accesso a livello di amministratore ai propri dispositivi. Analogamente, i chioschi multimediali condivisi sono configurati solo con un set gestito di app e tutti gli utenti del dispositivo, ad eccezione dell'IT eseguito come utente standard. In questi dispositivi, tutte le app vengono distribuite e installate dall'IT.

Definire il "cerchio di attendibilità" per i dispositivi completamente gestiti

Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i dispositivi completamente gestiti di Lamna:

  • Tutti i client eseguono Windows 10 versione 1903 o successiva o Windows 11;
  • Tutti i client sono gestiti da Configuration Manager o con Intune;
  • La maggior parte, ma non tutte, le app vengono distribuite usando Configuration Manager;
  • A volte, il personale IT installa le app direttamente su questi dispositivi senza usare Configuration Manager;
  • Tutti gli utenti tranne l'IT sono utenti standard in questi dispositivi.

Il team di Alice sviluppa una semplice applicazione console, denominata LamnaITInstaller.exe, che diventerà il modo autorizzato per il personale IT di installare le app direttamente nei dispositivi. LamnaITInstaller.exe consente al professionista IT di avviare un altro processo, ad esempio un programma di installazione dell'app. Alice configurerà LamnaITInstaller.exe come programma di installazione gestito aggiuntivo per Controllo app e le consentirà di rimuovere la necessità di regole di percorso file.

In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:

  1. Regole "Windows funziona" che autorizzano:

    • Windows
    • WHQL (driver del kernel di terze parti)
    • App firmate di Windows Store
  2. Regole "ConfigMgr funziona" che includono regole di firma e hash per Configuration Manager il corretto funzionamento dei componenti.

  3. Consenti programma di installazione gestito (Configuration Manager e LamnaITInstaller.exe configurati come programma di installazione gestito)

Le differenze critiche tra questo set di pseudo-regole e quelle pseudo-regole definite per i dispositivi gestiti con leggerezza di Lamna sono:

  • Rimozione dell'opzione Intelligent Security Graph (ISG); e
  • Rimozione delle regole filepath.

Creare un criterio di base personalizzato usando un esempio di criteri di base di Controllo app

Dopo aver definito il "cerchio di attendibilità", Alice è pronta a generare i criteri iniziali per i dispositivi completamente gestiti di Lamna e decide di usare Configuration Manager per creare il criterio di base iniziale e quindi personalizzarlo per soddisfare le esigenze di Lamna.

Alice segue questi passaggi per completare questa attività:

Nota

Se non si usa Configuration Manager o si preferisce usare criteri di base di Controllo app per le aziende diversi per i propri criteri, andare al passaggio 2 e sostituire il percorso dei criteri di Configuration Manager con i criteri di base di esempio preferiti.

  1. Usare Configuration Manager per creare e distribuire criteri di controllo in un dispositivo client che esegue Windows 10 versione 1903 o successiva o Windows 11.

  2. Nel dispositivo client eseguire i comandi seguenti in una sessione di Windows PowerShell con privilegi elevati per inizializzare le variabili:

    $PolicyPath=$env:userprofile+"\Desktop\"
    $PolicyName= "Lamna_FullyManagedClients_Audit"
    $LamnaPolicy=$PolicyPath+$PolicyName+".xml"
    $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
    
  3. Copiare i criteri creati da Configuration Manager sul desktop:

    cp $ConfigMgrPolicy $LamnaPolicy
    
  4. Assegnare al nuovo criterio un ID univoco, un nome descrittivo e un numero di versione iniziale:

    Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
    Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
    
  5. Modificare i criteri copiati per impostare le regole dei criteri:

    Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
    Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
    Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
    Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
    Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
    Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
    Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
    Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
    
  6. Se appropriato, aggiungere altre regole di firma o file per personalizzare ulteriormente i criteri per l'organizzazione.

  7. Usare ConvertFrom-CIPolicy per convertire i criteri di Controllo app per le aziende in un formato binario:

    [xml]$PolicyXML = Get-Content $LamnaPolicy
    $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
    ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
    
  8. Caricare il codice XML dei criteri di base e il file binario associato in una soluzione di controllo del codice sorgente, ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.

A questo punto, Alice ha ora un criterio iniziale pronto per la distribuzione in modalità di controllo ai client gestiti all'interno di Lamna.

Considerazioni sulla sicurezza di questo criterio completamente gestito

Alice ha definito un criterio per i dispositivi completamente gestiti di Lamna che rende alcuni compromessi tra sicurezza e gestibilità per le app. Alcuni compromessi includono:

  • Utenti con accesso amministrativo

    Anche se si applica a un numero inferiore di utenti, Lamna consente comunque ad alcuni membri del personale IT di accedere ai dispositivi completamente gestiti come amministratore. Questo privilegio consente a questi utenti (o malware in esecuzione con i privilegi dell'utente) di modificare o rimuovere completamente i criteri di controllo delle app applicati nel dispositivo. Inoltre, gli amministratori possono configurare qualsiasi app che desiderano operare come programma di installazione gestito che consenta loro di ottenere l'autorizzazione permanente per le app o i file binari che desiderano.

    Possibili mitigazioni:

    • Usare i criteri di controllo app firmati e la protezione dell'accesso al BIOS UEFI per evitare manomissioni dei criteri di controllo delle app.
    • Creare e distribuire file di catalogo firmati come parte del processo di distribuzione dell'app per rimuovere il requisito per il programma di installazione gestito.
    • Usare l'attestazione del dispositivo per rilevare lo stato di configurazione di Controllo app in fase di avvio e usare tali informazioni per condizionare l'accesso alle risorse aziendali sensibili.
  • Criteri non firmati

    I criteri non firmati possono essere sostituiti o rimossi senza conseguenze da qualsiasi processo in esecuzione come amministratore. I criteri di base non firmati che abilitano anche i criteri supplementari possono avere il loro "cerchio di attendibilità" modificato da qualsiasi criterio supplementare non firmato.

    Mitigazioni esistenti applicate:

    • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.

    Possibili mitigazioni:

    • Usare i criteri di controllo app firmati e la protezione dell'accesso al BIOS UEFI per evitare manomissioni dei criteri di controllo delle app.
  • Programma di installazione gestito

    Vedere considerazioni sulla sicurezza con il programma di installazione gestito

    Mitigazioni esistenti applicate:

    • Limitare gli utenti che possono elevarsi all'amministratore nel dispositivo.

    Possibili mitigazioni:

    • Creare e distribuire file di catalogo firmati come parte del processo di distribuzione dell'app per rimuovere il requisito per il programma di installazione gestito.
  • Criteri supplementari

    I criteri supplementari sono progettati per ridurre i criteri di base associati. Inoltre, consentire criteri non firmati consente a qualsiasi processo di amministratore di espandere il "cerchio di attendibilità" definito dai criteri di base senza restrizioni.

    Possibili mitigazioni:

    • Usare criteri di Controllo app firmati che consentono solo criteri supplementari firmati autorizzati.
    • Usare criteri restrittivi in modalità di controllo per controllare l'utilizzo delle app e aumentare il rilevamento delle vulnerabilità.

Il prossimo