Criar uma política de Controlo de Aplicações para dispositivos totalmente geridos

Esta secção descreve o processo de criação de uma política de Controlo de Aplicações para Empresas para dispositivos totalmente geridos numa organização. A principal diferença entre este cenário e dispositivos ligeiramente geridos é que todo o software implementado num dispositivo totalmente gerido é gerido por TI e os utilizadores do dispositivo não podem instalar aplicações arbitrárias. Idealmente, todas as aplicações são implementadas com uma solução de distribuição de software, como Microsoft Intune. Além disso, os utilizadores em dispositivos totalmente geridos devem, idealmente, ser executados como utilizador padrão e apenas os profissionais de TI autorizados têm acesso administrativo.

Conforme descrito em cenários comuns de implementação do Controlo de Aplicações para Empresas, vamos utilizar o exemplo da Lamna Healthcare Company (Lamna) para ilustrar este cenário. A Lamna está a tentar adotar políticas de aplicação mais fortes, incluindo a utilização do Controlo de Aplicações para impedir que aplicações indesejadas ou não autorizadas sejam executadas nos respetivos dispositivos geridos.

Alice Pena é a líder da equipa de TI encarregada da implementação do Controlo de Aplicações.

Alice criou anteriormente uma política para os dispositivos geridos levemente pela organização. No entanto, alguns dispositivos são mais geridos de forma mais rigorosa e podem beneficiar de uma política mais restrita. Em particular, determinadas funções de trabalho, como funcionários administrativos e trabalhadores de primeira linha, não têm acesso ao nível do administrador aos respetivos dispositivos. Da mesma forma, os quiosques partilhados são configurados apenas com um conjunto gerido de aplicações e todos os utilizadores do dispositivo, exceto a execução de TI como utilizador padrão. Nestes dispositivos, todas as aplicações são implementadas e instaladas por TI.

Definir o "círculo de confiança" para dispositivos totalmente geridos

Alice identifica os seguintes fatores-chave para chegar ao "circle-of-trust" para os dispositivos totalmente geridos da Lamna:

• Todos os clientes estão a executar Windows 10 versão 1903 ou superior ou Windows 11;
• Todos os clientes são geridos por Configuration Manager ou com Intune;
• A maioria, mas não todas, aplicações são implementadas com Configuration Manager;
• Por vezes, a equipa de TI instala aplicações diretamente nestes dispositivos sem utilizar Configuration Manager;
• Todos os utilizadores, exceto as TI, são utilizadores padrão nestes dispositivos.

A equipa da Alice desenvolve uma aplicação de consola simples, denominada LamnaITInstaller.exe, que se tornará a forma autorizada para a equipa de TI instalar aplicações diretamente nos dispositivos. LamnaITInstaller.exe permite que o profissional de TI inicie outro processo, como um instalador de aplicações. A Alice irá configurar LamnaITInstaller.exe como um instalador extra gerido para o Controlo de Aplicações e permite-lhe remover a necessidade de regras de caminho de ficheiro.

Com base no acima, Alice define as pseudo-regras para a política:

1. Regras "O Windows funciona" que autorizam:

   • Windows
   • WHQL (controladores de kernel de terceiros)
   • Aplicações assinadas na Loja Windows

2. Regras de "ConfigMgr funciona" que incluem regras de início de sessão e hash para que Configuration Manager componentes funcionem corretamente.

3. Permitir Instalador Gerido (Configuration Manager e LamnaITInstaller.exe configurados como um instalador gerido)

As diferenças críticas entre este conjunto de pseudo-regras e as pseudo-regras definidas para os dispositivos levemente geridos da Lamna são:

• Remoção da opção Gráfico de Segurança Inteligente (ISG) ; e
• Remoção de regras de caminho de ficheiro.

Criar uma política base personalizada com uma política base de Controlo de Aplicações de exemplo

Depois de ter definido o "círculo de confiança", Alice está pronta para gerar a política inicial para os dispositivos totalmente geridos da Lamna e decide utilizar Configuration Manager para criar a política base inicial e, em seguida, personalizá-la para satisfazer as necessidades da Lamna.

A Alice segue estes passos para concluir esta tarefa:

1. Utilize Configuration Manager para criar e implementar uma política de auditoria num dispositivo cliente com Windows 10 versão 1903 ou superior ou Windows 11.

2. No dispositivo cliente, execute os seguintes comandos numa sessão de Windows PowerShell elevada para inicializar variáveis:

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$PolicyPath+$PolicyName+".xml"
   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   

3. Copie a política criada por Configuration Manager para o ambiente de trabalho:

   cp $ConfigMgrPolicy $LamnaPolicy
   

4. Atribua à nova política um ID exclusivo, um nome descritivo e um número de versão inicial:

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. Modifique a política copiada para definir regras de política:

   Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

6. Se for apropriado, adicione mais regras de início de sessão ou de ficheiro para personalizar ainda mais a política para a sua organização.

7. Utilize ConvertFrom-CIPolicy para converter a política de Controlo de Aplicações para Empresas num formato binário:

   [xml]$PolicyXML = Get-Content $LamnaPolicy
   $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
   ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

8. Carregue o XML da política base e o binário associado para uma solução de controlo de origem, como o GitHub ou uma solução de gestão de documentos, como Office 365 SharePoint.

Neste momento, a Alice tem agora uma política inicial que está pronta para ser implementada no modo de auditoria para os clientes geridos na Lamna.

Considerações de segurança desta política totalmente gerida

Alice definiu uma política para os dispositivos totalmente geridos da Lamna que faz algumas trocas entre segurança e capacidade de gestão de aplicações. Algumas das trocas incluem:

• Utilizadores com acesso administrativo

  Apesar de se candidatar a menos utilizadores, a Lamna ainda permite que alguns funcionários de TI iniciem sessão nos respetivos dispositivos totalmente geridos como administrador. Este privilégio permite que estes utilizadores (ou software maligno em execução com os privilégios do utilizador) modifiquem ou removam completamente a política de Controlo de Aplicações aplicada no dispositivo. Além disso, os administradores podem configurar qualquer aplicação que pretendam operar como um instalador gerido que lhes permita obter autorização de aplicação persistente para quaisquer aplicações ou binários que desejem.

  Possíveis mitigações:

  • Utilize políticas de Controlo de Aplicações assinadas e proteção de acesso AO BIOS do UEFI para impedir a adulteração das políticas de Controlo de Aplicações.
  • Crie e implemente ficheiros de catálogo assinados como parte do processo de implementação de aplicações para remover o requisito do instalador gerido.
  • Utilize o atestado de dispositivo para detetar o estado de configuração do Controlo de Aplicações no momento de arranque e utilize essas informações para condicionar o acesso a recursos empresariais confidenciais.

• Políticas não assinadas

  As políticas não assinadas podem ser substituídas ou removidas sem consequências por qualquer processo em execução como administrador. As políticas de base não assinadas que também permitem políticas suplementares podem ter o seu "círculo de confiança" alterado por qualquer política suplementar não assinada.

  Mitigações existentes aplicadas:

  • Limite quem pode elevar para administrador no dispositivo.

  Possíveis mitigações:

  • Utilize políticas de Controlo de Aplicações assinadas e proteção de acesso AO BIOS do UEFI para impedir a adulteração das políticas de Controlo de Aplicações.

• Instalador gerido

  Veja considerações de segurança com o instalador gerido

  Mitigações existentes aplicadas:

  • Limite quem pode elevar para administrador no dispositivo.

  Possíveis mitigações:

  • Crie e implemente ficheiros de catálogo assinados como parte do processo de implementação de aplicações para remover o requisito do instalador gerido.

• Políticas suplementares
  

  As políticas suplementares foram concebidas para descontrair a política de base associada. Além disso, permitir políticas não assinadas permite que qualquer processo de administrador expanda o "círculo de confiança" definido pela política de base sem restrições.

  Possíveis mitigações:

  • Utilize políticas de Controlo de Aplicações assinadas que permitem apenas políticas suplementares assinadas autorizadas.
  • Utilize uma política de modo de auditoria restritiva para auditar a utilização da aplicação e aumentar a deteção de vulnerabilidades.

A seguir

• Criar uma política de Controlo de Aplicações para Empresas para dispositivos de carga de trabalho fixa com um computador de referência
• Preparar para implementar políticas do Controlo de Aplicações para Empresas