Autorizar aplicações de renome com o Gráfico de Segurança Inteligente (ISG)

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

O Controlo de Aplicações pode ser difícil de implementar em organizações que não implementam e gerem aplicações através de um sistema gerido por TI. Nesses ambientes, os utilizadores podem adquirir as aplicações que pretendem utilizar para trabalhar, dificultando a criação de uma política de Controlo de Aplicações eficaz.

Para reduzir o atrito do utilizador final e as chamadas de suporte técnico, pode definir o Controlo de Aplicações para Empresas para permitir automaticamente aplicações que o Graph de Segurança Inteligente (ISG) da Microsoft reconhece como tendo uma boa reputação conhecida. A opção ISG ajuda as organizações a começar a implementar o Controlo de Aplicações mesmo quando a organização tem controlo limitado sobre o respetivo ecossistema de aplicações. Para saber mais sobre o ISG, consulte a secção Segurança em Principais serviços e funcionalidades no Microsoft Graph.

Aviso

Os binários que são essenciais para iniciar o sistema têm de ser permitidos através de regras explícitas na política de Controlo de Aplicações. Não confie no ISG para autorizar estes ficheiros.

A opção ISG não é a forma recomendada de permitir aplicações críticas para a empresa. Deve autorizar sempre aplicações críticas para a empresa através de regras de permissão explícitas ou ao instalá-las com um instalador gerido.

Como funciona o Controlo de Aplicações com o ISG?

O ISG não é uma "lista" de aplicações. Em vez disso, utiliza a mesma vasta análise de machine learning e inteligência de segurança que alimenta Microsoft Defender SmartScreen e Microsoft Defender Antivírus para ajudar a classificar as aplicações como tendo uma reputação "bem conhecida", "mal conhecida" ou "desconhecida". Esta IA baseada na cloud baseia-se em triliões de sinais recolhidos a partir de pontos finais do Windows e de outras origens de dados e processados a cada 24 horas. Como resultado, a decisão da cloud pode mudar.

O Controlo de Aplicações só verifica o ISG quanto a binários que não são explicitamente permitidos ou negados pela sua política e que não foram instalados por um instalador gerido. Quando um binário deste tipo é executado num sistema com o Controlo de Aplicações ativado com a opção ISG, o Controlo de Aplicações marcar a reputação do ficheiro ao enviar o hash e as informações de assinatura para a cloud. Se o ISG indicar que o ficheiro tem uma reputação de "bem conhecido", o ficheiro terá permissão para ser executado. Caso contrário, será bloqueado pelo Controlo de Aplicações.

Se o ficheiro com boa reputação for um instalador de aplicações, a reputação do instalador será transmitida a todos os ficheiros que escrever no disco. Desta forma, todos os ficheiros necessários para instalar e executar uma aplicação herdam os dados de reputação positivos do instalador. Os ficheiros autorizados com base na reputação do instalador terão a $KERNEL. SMARTLOCKER. ORIGINCLAIM kernel Extended Attribute (EA) escrito no ficheiro.

O Controlo de Aplicações consulta periodicamente os dados de reputação num ficheiro. Além disso, as empresas podem especificar que os resultados de reputação em cache são eliminados no reinício através da opção Ativado:Invalidar EAs no Reinício .

Configurar a autorização ISG para a política de Controlo de Aplicações

Configurar o ISG é fácil ao utilizar qualquer solução de gestão pretendida. A configuração da opção ISG envolve estes passos básicos:

Confirme que a opção ISG está definida no XML da política de Controlo de Aplicações

Para permitir aplicações e binários com base no Microsoft Intelligent Security Graph, a opção de autorização Enabled:Intelligent Security Graph tem de ser especificada na política de Controlo de Aplicações. Este passo pode ser feito com o cmdlet Set-RuleOption. Também deve definir a opção Ativado:Invalidar EAs no Reinício para que os resultados do ISG sejam verificados novamente após cada reinício. A opção ISG não é recomendada para dispositivos que não têm acesso regular à Internet. O exemplo seguinte mostra ambas as opções definidas.

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

Ative os serviços necessários para permitir que o Controlo de Aplicações utilize o ISG corretamente no cliente

Para que a heurística utilizada pelo ISG funcione corretamente, outros componentes no Windows têm de estar ativados. Pode configurar estes componentes ao executar o executável appidtel no c:\windows\system32.

appidtel start

Este passo não é necessário para as políticas de Controlo de Aplicações implementadas através da MDM, uma vez que o CSP ativará os componentes necessários. Este passo também não é necessário quando o ISG é configurado com a integração do Controlo de Aplicações do Configuration Manager.

Considerações de segurança com a opção ISG

Uma vez que o ISG é um mecanismo baseado em heurística, não fornece as mesmas garantias de segurança que as regras explícitas de permissão ou negação. É mais adequado para onde os utilizadores operam com direitos de utilizador padrão e onde é utilizada uma solução de monitorização de segurança como Microsoft Defender para Ponto de Extremidade.

Os processos em execução com privilégios de kernel podem contornar o Controlo de Aplicações ao definir o atributo de ficheiro expandido ISG para fazer com que um binário pareça ter uma boa reputação conhecida.

Além disso, uma vez que a opção ISG passa a reputação dos instaladores de aplicações para os binários que escrevem no disco, pode autorizar ficheiros em alguns casos. Por exemplo, se o instalador iniciar a aplicação após a conclusão, todos os ficheiros que a aplicação escrever durante a primeira execução também serão permitidos.

Limitações conhecidas com a utilização do ISG

Uma vez que o ISG só permite binários que são "conhecidos como bons", existem casos em que o ISG pode não conseguir prever se o software legítimo é seguro para ser executado. Se isso acontecer, o software será bloqueado pelo Controlo de Aplicações. Neste caso, tem de permitir o software com uma regra na política de Controlo de Aplicações, implementar um catálogo assinado por um certificado fidedigno na política de Controlo de Aplicações ou instalar o software a partir de um instalador gerido pelo Controlo de Aplicações. Os instaladores ou aplicações que criam dinamicamente binários em runtime e aplicações de atualização automática podem apresentar este sintoma.

As aplicações em pacote não são suportadas com o ISG e terão de ser autorizadas separadamente na sua política de Controlo de Aplicações. Uma vez que as aplicações em pacote têm uma identidade de aplicação forte e têm de ser assinadas, é simples autorizar aplicações em pacote com a sua política de Controlo de Aplicações.

O ISG não autoriza controladores de modo kernel. A política de Controlo de Aplicações tem de ter regras que permitam a execução dos controladores necessários.

Observação

Uma regra que negue ou permita explicitamente um ficheiro terá precedência sobre os dados de reputação desse ficheiro. O suporte incorporado do Controlo de Aplicações do Microsoft Intune inclui a opção de confiar em aplicações com boa reputação através do ISG, mas não tem a opção de adicionar regras explícitas de permissão ou negação. Na maioria dos casos, os clientes que utilizam o Controlo de Aplicações terão de implementar uma política de Controlo de Aplicações personalizada (que pode incluir a opção ISG, se pretender) com a funcionalidade OMA-URI de Intune.