Criar uma política de Controlo de Aplicações com um computador de referência

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Esta secção descreve o processo de criação de uma política de Controlo de Aplicações para Empresas através de um computador de referência que já está configurado com o software que pretende permitir. Pode utilizar esta abordagem para dispositivos de carga de trabalho fixa dedicados a um objetivo funcional específico e partilhar atributos de configuração comuns com outros dispositivos que cumprem a mesma função funcional. Exemplos de dispositivos de carga de trabalho fixa podem incluir controladores de Domínio do Active Directory, estações de trabalho de Administração segura, equipamentos farmacêuticos de mistura de medicamentos, dispositivos de fabrico, caixas registadores, caixas multibanco, etc. Esta abordagem também pode ser utilizada para ativar o Controlo de Aplicações em sistemas "em estado selvagem" e quer minimizar o impacto potencial na produtividade dos utilizadores.

Observação

Algumas das opções do Controlo de Aplicações para Empresas descritas neste tópico só estão disponíveis na Windows 10 versão 1903 e superior ou Windows 11. Ao utilizar este tópico para planear as políticas de Controlo de Aplicações da sua própria organização, considere se os clientes geridos podem utilizar todas ou algumas destas funcionalidades e avaliar o impacto de quaisquer funcionalidades que possam estar indisponíveis nos seus clientes. Poderá ter de adaptar esta documentação de orientação para satisfazer as necessidades da sua organização específica.

Conforme descrito em cenários comuns de implementação do Controlo de Aplicações para Empresas, vamos utilizar o exemplo da Lamna Healthcare Company (Lamna) para ilustrar este cenário. A Lamna está a tentar adotar políticas de aplicação mais fortes, incluindo a utilização do Controlo de Aplicações para impedir que aplicações indesejadas ou não autorizadas sejam executadas nos respetivos dispositivos geridos.

Alice Pena é a líder da equipa de TI encarregada da implementação do Controlo de Aplicações.

Criar uma política de base personalizada com um dispositivo de referência

Alice criou anteriormente uma política para os dispositivos de utilizador final totalmente geridos da organização. Agora, quer utilizar o Controlo de Aplicações para proteger os servidores de infraestrutura críticos da Lamna. A prática de processamento de imagens da Lamna para sistemas de infraestrutura é estabelecer uma imagem "dourada" como referência para o aspeto que um sistema ideal deve ter e, em seguida, utilizar essa imagem para clonar mais recursos da empresa. Alice decide utilizar estes mesmos sistemas de imagens "dourados" para criar as políticas de Controlo de Aplicações, o que resultará em políticas de base personalizadas separadas para cada tipo de servidor de infraestrutura. Tal como acontece com o processamento de imagens, terá de criar políticas a partir de vários computadores dourados com base no modelo, departamento, conjunto de aplicações, etc.

Observação

Certifique-se de que o computador de referência não tem vírus e software maligno e instale qualquer software que pretenda que seja analisado antes de criar a política de Controlo de Aplicações.

Cada aplicativo de software instalado deve ser validado como confiável antes da criação de uma política.

É recomendável que você consulte o computador de referência em busca de software que possa carregar DLLs arbitrárias e executar código ou scripts que possam tornar o computador mais vulnerável. Os exemplos incluem software destinado ao desenvolvimento ou scripting, como msbuild.exe (parte do Visual Studio e do .NET Framework), que podem ser removidos se não quiser executar scripts. Você pode remover ou desabilitar o software no computador de referência.

Alice identifica os seguintes fatores-chave para chegar ao "círculo de confiança" para os servidores de infraestrutura críticos da Lamna:

  • Todos os dispositivos estão a executar o Windows Server 2019 ou superior;
  • Todas as aplicações são geridas e implementadas centralmente;
  • Sem utilizadores interativos.

Com base no acima, Alice define as pseudo-regras para a política:

  1. Regras "O Windows funciona" que autorizam:

    • Windows
    • WHQL (controladores de kernel de terceiros)
    • Aplicações assinadas na Loja Windows
  2. Regras para ficheiros analisados que autorizam todos os binários de aplicações pré-existentes encontrados no dispositivo

Para criar a política de Controlo de Aplicações, a Alice executa cada um dos seguintes comandos numa sessão de Windows PowerShell elevada, por ordem:

  1. Inicializar variáveis.

    $PolicyPath=$env:userprofile+"\Desktop\"
    $PolicyName="FixedWorkloadPolicy_Audit"
    $LamnaServerPolicy=$PolicyPath+$PolicyName+".xml"
    $DefaultWindowsPolicy=$env:windir+"\schemas\CodeIntegrity\ExamplePolicies\DefaultWindows_Audit.xml"
    
  2. Utilize New-CIPolicy para criar uma nova política de Controlo de Aplicações ao analisar as aplicações instaladas no sistema:

    New-CIPolicy -FilePath $LamnaServerPolicy -Level SignedVersion -Fallback FilePublisher,FileName,Hash -ScanPath c:\ -UserPEs -MultiplePolicyFormat -OmitPaths c:\Windows,'C:\Program Files\WindowsApps\',c:\windows.old\,c:\users\ 3> CIPolicyLog.txt
    

    Observação

    • Você pode adicionar o parâmetro -Fallback para capturar todos os aplicativos não detectados usando o nível de regra de arquivo primário especificado pelo parâmetro -Level. Para obter mais informações sobre as opções de nível de regra de ficheiro, veja Níveis de regras de ficheiros do Controlo de Aplicações para Empresas.
    • Para especificar que a política de Controlo de Aplicações analisa apenas uma unidade específica, inclua o parâmetro -ScanPath seguido de um caminho. Sem este parâmetro, a ferramenta analisará a unidade C por predefinição.
    • Quando especificar o parâmetro -UserPEs (para incluir executáveis no modo de utilizador na análise), a opção de regra 0 Ativada:UMCI é adicionada automaticamente à política de Controlo de Aplicações. Se não especificar -UserPEs, a política estará vazia de executáveis no modo de utilizador e terá apenas regras para binários do modo kernel, como controladores. Por outras palavras, a lista de permissões não incluirá aplicações. Se criar essa política e, mais tarde, adicionar a opção de regra 0 Ativada:UMCI, todas as tentativas de iniciar aplicações irão causar uma resposta do Controlo de Aplicações para Empresas. No modo de auditoria, a resposta será o registro de um evento em log e, no modo imposto, a resposta será o bloqueio do aplicativo.
    • Para criar uma política para Windows 10 1903 e superior, incluindo o suporte para políticas suplementares, utilize -MultiplePolicyFormat.
    • Para especificar uma lista de caminhos a excluir da análise, utilize a opção -OmitPaths e forneça uma lista delimitada por vírgulas de caminhos.
    • O exemplo anterior inclui 3> CIPolicylog.txt, que redireciona as mensagens de aviso para um arquivo de texto, CIPolicylog.txt.
  3. Intercale a nova política com a política de WindowsDefault_Audit para garantir que todos os binários e controladores de kernel do Windows serão carregados.

    Merge-CIPolicy -OutputFilePath $LamnaServerPolicy -PolicyPaths $LamnaServerPolicy,$DefaultWindowsPolicy
    
  4. Atribua um nome descritivo à nova política e o número da versão inicial:

    Set-CIPolicyIdInfo -FilePath $LamnaServerPolicy -PolicyName $PolicyName
    Set-CIPolicyVersion -FilePath $LamnaServerPolicy -Version "1.0.0.0"
    
  5. Modifique a política intercalada para definir regras de política:

    Set-RuleOption -FilePath $LamnaServerPolicy -Option 3 # Audit Mode
    Set-RuleOption -FilePath $LamnaServerPolicy -Option 6 # Unsigned Policy
    Set-RuleOption -FilePath $LamnaServerPolicy -Option 9 # Advanced Boot Menu
    Set-RuleOption -FilePath $LamnaServerPolicy -Option 12 # Enforce Store Apps
    Set-RuleOption -FilePath $LamnaServerPolicy -Option 16 # No Reboot
    Set-RuleOption -FilePath $LamnaServerPolicy -Option 17 # Allow Supplemental
    Set-RuleOption -FilePath $LamnaServerPolicy -Option 19 # Dynamic Code Security
    
  6. Se for apropriado, adicione mais regras de início de sessão ou de ficheiro para personalizar ainda mais a política para a sua organização.

  7. Utilize ConvertFrom-CIPolicy para converter a política de Controlo de Aplicações num formato binário:

    [xml]$LamnaServerPolicyXML = Get-Content $LamnaServerPolicy
    $PolicyId = $LamnaServerPolicyXML.SiPolicy.PolicyId
    $LamnaServerPolicyBin = $PolicyPath+$PolicyId+".cip"
    ConvertFrom-CIPolicy $LamnaServerPolicy $LamnaServerPolicyBin
    
  8. Carregue o XML da política base e o binário associado para uma solução de controlo de origem, como o GitHub ou uma solução de gestão de documentos, como Office 365 SharePoint.

Alice tem agora uma política inicial para os servidores de infraestrutura críticos da Lamna que está pronto para implementar no modo de auditoria.

Criar uma política base personalizada para minimizar o impacto do utilizador em dispositivos cliente em utilização

Alice criou anteriormente uma política para os dispositivos totalmente geridos da organização. A Alice incluiu a política de dispositivos totalmente gerida como parte do processo de compilação de dispositivos da Lamna, pelo que todos os novos dispositivos começam agora com o Controlo de Aplicações ativado. Ela está a preparar-se para implementar a política em sistemas que já estão a ser utilizados, mas está preocupada em causar perturbações na produtividade dos utilizadores. Para minimizar esse risco, Alice decide adotar uma abordagem diferente para esses sistemas. Continuará a implementar a política de dispositivos totalmente gerida no modo de auditoria nesses dispositivos, mas, para o modo de imposição, irá intercalar as regras de política de dispositivos totalmente geridas com uma política criada através da análise do dispositivo relativamente a todo o software instalado anteriormente. Desta forma, cada dispositivo é tratado como o seu próprio sistema "dourado".

Alice identifica os seguintes fatores-chave para chegar ao "circle-of-trust" para os dispositivos totalmente geridos em utilização da Lamna:

Com base no acima, Alice define as pseudo-regras para a política:

  1. Tudo incluído na política Dispositivos Totalmente Geridos
  2. Regras para ficheiros analisados que autorizam todos os binários de aplicações pré-existentes encontrados no dispositivo

Para os dispositivos existentes e em utilização da Lamna, a Alice implementa um script juntamente com o XML da política Dispositivos Totalmente Geridos (não o binário da política de Controlo de Aplicações convertido). Em seguida, o script gera uma política personalizada localmente no cliente, conforme descrito na secção anterior, mas em vez de intercalar com a política DefaultWindows, o script intercala com a política Dispositivos Totalmente Geridos da Lamna. Alice também modifica os passos acima para corresponder aos requisitos deste caso de utilização diferente.