Creare criteri di Controllo app usando un computer di riferimento
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Questa sezione descrive il processo per creare un criterio di controllo app per le aziende usando un computer di riferimento già configurato con il software che si vuole consentire. È possibile usare questo approccio per i dispositivi a carico di lavoro fisso dedicati a uno scopo funzionale specifico e condividere attributi di configurazione comuni con altri dispositivi che svolgono lo stesso ruolo funzionale. Esempi di dispositivi a carico di lavoro fisso possono includere controller di Dominio di Active Directory, workstation Amministrazione sicure, apparecchiature per la miscelazione di farmaci farmaceutici, dispositivi di produzione, registratori di cassa, sportelli bancomat e così via. Questo approccio può essere usato anche per attivare Controllo app nei sistemi "in natura" e si vuole ridurre al minimo il potenziale impatto sulla produttività degli utenti.
Nota
Alcune delle opzioni di Controllo app per le aziende descritte in questo argomento sono disponibili solo in Windows 10 versione 1903 o successiva o Windows 11. Quando si usa questo argomento per pianificare i criteri di controllo delle app dell'organizzazione, valutare se i client gestiti possono usare tutte o alcune di queste funzionalità e valutare l'impatto per eventuali funzionalità che potrebbero non essere disponibili per i client. Potrebbe essere necessario adattare queste linee guida per soddisfare le esigenze specifiche dell'organizzazione.
Come descritto negli scenari di distribuzione comuni di Controllo app per le aziende, si userà l'esempio di Lamna Healthcare Company (Lamna) per illustrare questo scenario. Lamna sta tentando di adottare criteri di applicazione più avanzati, incluso l'uso di Controllo app per impedire l'esecuzione di applicazioni indesiderate o non autorizzate nei dispositivi gestiti.
Alice Pena è il responsabile IT incaricato dell'implementazione di Controllo app.
Creare criteri di base personalizzati usando un dispositivo di riferimento
Alice ha creato in precedenza un criterio per i dispositivi dell'utente finale completamente gestiti dell'organizzazione. Ora vuole usare Controllo app per proteggere i server di infrastruttura critici di Lamna. La pratica di imaging di Lamna per i sistemi di infrastruttura consiste nel stabilire un'immagine "d'oro" come riferimento per l'aspetto ideale di un sistema e quindi usare tale immagine per clonare più asset aziendali. Alice decide di usare questi stessi sistemi di immagine "golden" per creare i criteri di controllo delle app, che genereranno criteri di base personalizzati separati per ogni tipo di server di infrastruttura. Come per l'imaging, dovrà creare criteri da più computer d'oro basati su modello, reparto, set di applicazioni e così via.
Nota
Assicurarsi che il computer di riferimento sia privo di virus e malware e installare qualsiasi software che si desidera analizzare prima di creare i criteri di controllo delle app.
Prima di creare i criteri, è necessario verificare che ogni applicazione software installata sia attendibile.
Si consiglia di esaminare nel computer di riferimento il software che può caricare DLL arbitrarie e di eseguire il codice o gli script che potrebbero rendere più vulnerabile il PC. Gli esempi includono software destinato allo sviluppo o allo scripting, ad esempio msbuild.exe (parte di Visual Studio e .NET Framework) che possono essere rimossi se non si vogliono eseguire script. Puoi rimuovere o disabilitare tale software nel computer di riferimento.
Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i server di infrastruttura critici di Lamna:
- Tutti i dispositivi eseguono Windows Server 2019 o versione successiva;
- Tutte le app vengono gestite e distribuite centralmente;
- Nessun utente interattivo.
In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:
Regole "Windows funziona" che autorizzano:
- Windows
- WHQL (driver del kernel di terze parti)
- App firmate di Windows Store
Regole per i file analizzati che autorizzano tutti i file binari dell'app preesistenti trovati nel dispositivo
Per creare i criteri di Controllo app, Alice esegue ognuno dei comandi seguenti in una sessione di Windows PowerShell con privilegi elevati, nell'ordine seguente:
Inizializzare le variabili.
$PolicyPath=$env:userprofile+"\Desktop\" $PolicyName="FixedWorkloadPolicy_Audit" $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml" $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"Usare New-CIPolicy per creare un nuovo criterio di controllo delle app analizzando il sistema per individuare le applicazioni installate:
New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txtNota
- Puoi aggiungere il parametro -Fallback per rilevare le applicazioni non individuate tramite il livello primario delle regole dei file specificato dal parametro -Level. Per altre informazioni sulle opzioni a livello di regola del file, vedere App Control for Business file rule levels (Controllo app per le regole di file aziendali).
- Per specificare che i criteri di Controllo app analizzano solo un'unità specifica, includere il parametro -ScanPath seguito da un percorso. Senza questo parametro, lo strumento analizzerà l'unità C per impostazione predefinita.
- Quando si specifica il parametro -UserPEs (per includere i file eseguibili in modalità utente nell'analisi), l'opzione della regola 0 Enabled:UMCI viene aggiunta automaticamente ai criteri di Controllo app. Se non si specifica -UserPE, il criterio sarà vuoto di eseguibili in modalità utente e avrà regole solo per i file binari in modalità kernel come i driver. In altre parole, l'elenco consenti non includerà le applicazioni. Se si crea un criterio di questo tipo e successivamente si aggiunge l'opzione della regola 0 Enabled:UMCI, tutti i tentativi di avvio delle applicazioni genereranno una risposta da Controllo app per le aziende. In modalità di controllo, la risposta registra un evento e, in modalità di imposizione, la risposta blocca l'applicazione.
- Per creare un criterio per Windows 10 1903 e versioni successive, incluso il supporto per i criteri supplementari, usare -MultiplePolicyFormat.
- Per specificare un elenco di percorsi da escludere dall'analisi, usare l'opzione -OmitPaths e specificare un elenco di percorsi delimitato da virgole.
- L'esempio precedente include
3> CIPolicylog.txt, che reindirizza i messaggi di avviso a un file di testo, CIPolicylog.txt.
Unire i nuovi criteri con i criteri di WindowsDefault_Audit per garantire il caricamento di tutti i file binari e i driver del kernel di Windows.
Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicyAssegnare al nuovo criterio un nome descrittivo e un numero di versione iniziale:
Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"Modificare i criteri uniti per impostare le regole dei criteri:
Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code SecuritySe appropriato, aggiungere altre regole di firma o file per personalizzare ulteriormente i criteri per l'organizzazione.
Usare ConvertFrom-CIPolicy per convertire i criteri di Controllo app in un formato binario:
[xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip" ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBinCaricare il codice XML dei criteri di base e il file binario associato in una soluzione di controllo del codice sorgente, ad esempio GitHub o una soluzione di gestione dei documenti, ad esempio Office 365 SharePoint.
Alice ha ora un criterio iniziale per i server dell'infrastruttura critica di Lamna pronti per la distribuzione in modalità di controllo.
Creare criteri di base personalizzati per ridurre al minimo l'impatto dell'utente sui dispositivi client in uso
Alice ha creato in precedenza un criterio per i dispositivi completamente gestiti dell'organizzazione. Alice ha incluso i criteri del dispositivo completamente gestiti come parte del processo di compilazione del dispositivo di Lamna, quindi tutti i nuovi dispositivi ora iniziano con Controllo app abilitato. Si sta preparando a distribuire i criteri ai sistemi già in uso, ma è preoccupata di causare interruzioni della produttività degli utenti. Per ridurre al minimo tale rischio, Alice decide di adottare un approccio diverso per tali sistemi. Continuerà a distribuire i criteri del dispositivo completamente gestiti in modalità di controllo a tali dispositivi, ma per la modalità di imposizione unirà le regole dei criteri del dispositivo completamente gestite con un criterio creato analizzando il dispositivo per tutto il software installato in precedenza. In questo modo, ogni dispositivo viene considerato come il proprio sistema "golden".
Alice identifica i fattori chiave seguenti per arrivare al "cerchio di attendibilità" per i dispositivi in uso completamente gestiti di Lamna:
- Tutto ciò che viene descritto per i dispositivi completamente gestiti di Lamna;
- Gli utenti hanno installato app che devono continuare a eseguire.
In base a quanto indicato in precedenza, Alice definisce le pseudo-regole per i criteri:
- Tutti gli elementi inclusi nei criteri Dispositivi completamente gestiti
- Regole per i file analizzati che autorizzano tutti i file binari dell'app preesistenti trovati nel dispositivo
Per i dispositivi esistenti in uso di Lamna, Alice distribuisce uno script insieme al codice XML dei criteri Completamente gestiti (non il file binario dei criteri di Controllo app convertito). Lo script genera quindi un criterio personalizzato in locale nel client come descritto nella sezione precedente, ma invece di eseguire l'unione con il criterio DefaultWindows, lo script si unisce ai criteri Dispositivi completamente gestiti di Lamna. Alice modifica anche i passaggi precedenti per soddisfare i requisiti di questo diverso caso d'uso.