Планирование и начало развертывания Защитник Windows управления приложениями Planning and getting started on the Windows Defender Application Control deployment process

Область применения Applies to

• Windows 10 Windows 10
• Windows Server 2016 Windows Server 2016

В этом разделе содержится план планирования и начала работы по развертыванию Защитник Windows Application Control (WDAC) со ссылками на разделы, которые предоставляют дополнительные подробные данные. This topic provides a roadmap for planning and getting started on the Windows Defender Application Control (WDAC) deployment process, with links to topics that provide additional detail. Планирование развертывания WDAC включает в себя просмотр как конечных пользователей, так и ИТ-пользователей, которые влияют на ваши варианты. Planning for WDAC deployment involves looking at both the end-user and the IT pro impact of your choices.

Планирование Planning

Просмотрите требования, особенно требования к оборудованию для работы VBS. Review requirements, especially hardware requirements for VBS.

Сгруппируйте устройства по степени необходимого контроля. Group devices by degree of control needed. Можно ли распределить большинство устройств по нескольким категориям или же они распределяются по всем категориям? Do most devices fit neatly into a few categories, or are they scattered across all categories? Разрешено ли пользователям устанавливать любые приложения, или они могут выбирать только те приложения, которые включены в список? Are users allowed to install any application or must they choose from a list? Разрешено ли пользователям использовать собственные периферийные устройства? Are users allowed to use their own peripheral devices?
Развертывание проще, если все заблокировано одним способом, но для решения потребностей отдельных отделов и работы с различными устройствами может потребоваться более сложное и гибкое развертывание. Deployment is simpler if everything is locked down in the same way, but meeting individual departments’ needs, and working with a wide variety of devices, may require a more complicated and flexible deployment.

Оцените, насколько разнообразно программное обеспечение и оборудование, необходимое для разных ролей или отделов. Review how much variety in software and hardware is needed by roles or departments. Следующие вопросы помогут вам уточнить, сколько политик WDAC следует создавать. The following questions can help you clarify how many WDAC policies to create:

Насколько стандартизировано оборудование? How standardized is the hardware?
Это имеет значение в связи с драйверами. This can be relevant because of drivers. Можно создать политику WDAC для оборудования, которое использует определенный набор драйверов, и если прочие драйверы в этой среде используют ту же подпись, их запуск также будет разрешен. You could create a WDAC policy on hardware that uses a particular set of drivers, and if other drivers in your environment use the same signature, they would also be allowed to run. Однако может потребоваться создать несколько политик WDAC для различного базового оборудования, затем объединить эти политики вместе, чтобы обеспечить распознавание результирующей политикой всех драйверов в вашей среде. However, you might need to create several WDAC policies on different «reference» hardware, then merge the policies together, to ensure that the resulting policy recognizes all the drivers in your environment.

Какое программное обеспечение требуется каждому отделу или роли? What software does each department or role need? Должны ли они иметь возможность устанавливать и запускать программное обеспечение других отделов? Should they be able to install and run other departments’ software?
Если нескольким отделам разрешено запускать одно и то же программное обеспечение, вы можете объединить несколько политик WDAC для упрощения управления. If multiple departments are allowed to run the same list of software, you might be able to merge several WDAC policies to simplify management.

Имеются ли отделы или роли, которые используют уникальное, ограниченное программное обеспечение? Are there departments or roles where unique, restricted software is used?
Если одному отделу необходимо запускать приложение, которое запрещено в других отделах, может потребоваться отдельная политика WDAC. If one department needs to run an application that no other department is allowed, it might require a separate WDAC policy. Аналогичным образом если одному отделу необходимо работать со старой версией приложения (тогда как все остальные отделы могут использовать только более новую), может потребоваться отдельная политика WDAC. Similarly, if only one department must run an old version of an application (while other departments allow only the newer version), it might require a separate WDAC policy.

Имеется ли список допустимых приложений? Is there already a list of accepted applications?
Список допустимых приложений можно использовать для создания базовой политики WDAC. A list of accepted applications can be used to help create a baseline WDAC policy.
Начиная с Windows 10 версии 1703 также может быть полезно иметь список подключаемых модулей, надстроек или модулей, которые вы хотите разрешить только в конкретных приложениях (например, бизнес приложениях). As of Windows 10, version 1703, it might also be useful to have a list of plug-ins, add-ins, or modules that you want to allow only in a specific app (such as a line-of-business app). Аналогичным образом может быть полезно иметь список подключаемых модулей, надстроек или модулей, которые необходимо заблокировать в конкретном приложении (например, браузере). Similarly, it might be useful to have a list of plug-ins, add-ins, or modules that you want to block in a specific app (such as a browser).

Выполнили ли вы в рамках процедуры анализа угроз анализ систем на предмет программного обеспечения, способного загружать произвольные библиотеки DLL либо выполнять код или сценарии? As part of a threat review process, have you reviewed systems for software that can load arbitrary DLLs or run code or scripts? При ежедневной работе политика безопасности организации может разрешить запуск определенных приложений, кода или сценариев в системах в зависимости от их роли и контекста. In day-to-day operations, your organization’s security policy may allow certain applications, code, or scripts to run on your systems depending on their role and the context. Однако, если ваша политика безопасности требует, чтобы в системах запускались только доверенные приложения, коды и сценарии, вы можете надежно заблокировать эти системы с помощью политики управления приложениями в Защитнике Windows. However, if your security policy requires that you run only trusted applications, code, and scripts on your systems, you may decide to lock these systems down securely with Windows Defender Application Control policies.

Разрешенные приложения от доверенных поставщиков обеспечивают допустимые функции. Legitimate applications from trusted vendors provide valid functionality. Однако злоумышленник может использовать те же функции для выполнения вредоносного исполняемого кода, который способен обойти WDAC. However, an attacker could also potentially use that same functionality to run malicious executable code that could bypass WDAC.

В операционных сценариях, для которых требуется повышенная безопасность, определенные приложения с известными обходами целостности кода могут представлять угрозу безопасности, если вы разрешаете их в политиках WDAC. For operational scenarios that require elevated security, certain applications with known Code Integrity bypasses may represent a security risk if you allow them in your WDAC policies. Другие приложения, в которых более старые версии приложения имели уязвимости, также представляют риск. Other applications, where older versions of the application had vulnerabilities, also represent a risk. Таким образом, может потребоваться запретить или заблокировать такие приложения в ваших политиках WDAC. Therefore, you may want to deny or block such applications from your WDAC policies. Что касается приложений с уязвимостями, то как только эти уязвимости будут устранены, вы сможете создать правило, позволяющее работать только с исправленными или более новыми версиями таких приложений. For applications with vulnerabilities, once the vulnerabilities are fixed you can create a rule that only allows the fixed or newer versions of that application. Решение о том, разрешить или заблокировать то или иное приложение, зависит от контекста и от того, каким образом используется исходная система. The decision to allow or block applications depends on the context and on how the reference system is being used.

Наши специалисты по безопасности совместно с Microsoft постоянно работают над усилением безопасности наших клиентов. Security professionals collaborate with Microsoft continuously to help protect customers. Благодаря их ценным отчетам корпорации Майкрософт удалось определить список известных приложений, которые злоумышленник может использовать для обхода функции управления приложениями в Защитнике Windows. With the help of their valuable reports, Microsoft has identified a list of known applications that an attacker could potentially use to bypass Windows Defender Application Control. В зависимости от контекста эти приложения можно блокировать. Depending on the context, you may want to block these applications. Чтобы просмотреть этот список приложений и примеры использования, например отключение msbuild.exe, см. рекомендуемые корпорацией Майкрософт правила блокировки. To view this list of applications and for use case examples, such as disabling msbuild.exe, see Microsoft recommended block rules.

Определите бизнес-приложения, которые в данный момент не подписаны. Identify LOB applications that are currently unsigned. Несмотря на то, что требование к наличию подписанного кода (через WDAC) защищает от многих угроз, ваша организация может использовать неподписанные бизнес-приложения, процесс подписания которых может оказаться очень сложным. Although requiring signed code (through WDAC) protects against many threats, your organization might use unsigned LOB applications, for which the process of signing might be difficult. У вас также могут иметься подписанные приложения, однако вам необходимо добавить к ним вторую подпись. You might also have applications that are signed, but you want to add a secondary signature to them. В этом случае определите такие приложения, так как вам понадобится создать для них файл каталога. If so, identify these applications, because you will need to create a catalog file for them.

Начало процесса развертывания Getting started on the deployment process

Кроме того, можно создать сертификат подписывания для функции управления приложениями в Защитнике Windows. Optionally, create a signing certificate for Windows Defender Application Control. По мере развертывания WDAC вам может понадобиться подписать файлы каталога или политики WDAC внутри организации. As you deploy WDAC, you might need to sign catalog files or WDAC policies internally. Для этого вам понадобится выданный сертификат подписи кода (который вы приобрели) или внутренний центр сертификации. To do this, you will either need a publicly issued code signing certificate (that you purchase) or an internal CA. Если вы решили использовать внутренний ЦС, необходимо создать сертификат подписи кода. If you choose to use an internal CA, you will need to create a code signing certificate.

Создайте политики WDAC на эталонных компьютерах. Create WDAC policies from reference computers. В этом отношении создание политик WDAC и управление ими в соответствии с потребностями ролей или отделов могут походить на управление корпоративными образами. In this respect, creating and managing WDAC policies to align with the needs of roles or departments can be similar to managing corporate images. На каждом эталонных компьютерах можно создать политику WDAC и решить, как управлять этой политикой. From each reference computer, you can create a WDAC policy, and decide how to manage that policy. Вы можете объединить политики WDAC, чтобы создать более широкую политику или политику хозяина, или вы можете управлять и развертывать каждую политику по отдельности. You can merge WDAC policies to create a broader policy or a master policy, or you can manage and deploy each policy individually.

Выполните аудит политики WDAC и соберите информацию о приложениях, которые не охвачены этой политикой. Audit the WDAC policy and capture information about applications that are outside the policy. Рекомендуется использовать режим аудита для тщательной проверки каждой политики WDAC перед ее применением. We recommend that you use audit mode to carefully test each WDAC policy before you enforce it. В режиме аудита никакие приложения не блокируются— политика просто записывает в журнал событие при каждом запуске приложения, которое в нее не входит. With audit mode, no application is blocked—the policy just logs an event whenever an application outside the policy is started. Позже вы сможете расширить политику, чтобы при необходимости разрешить эти приложения. Later, you can expand the policy to allow these applications, as needed.

Создайте файл каталога для неподписаных приложений. Create a catalog file for unsigned LOB applications. Используйте средство Package Inspector для создания и подписи файла каталога для ваших неподписанных бизнес-приложений. Use the Package Inspector tool to create and sign a catalog file for your unsigned LOB applications. На последующих шагах вы сможете объединить подпись файла каталога с политикой WDAC, чтобы приложения в каталоге были разрешены политикой. In later steps, you can merge the catalog file’s signature into your WDAC policy, so that applications in the catalog will be allowed by the policy.

Получите необходимые сведения о политике из журнала событий и при необходимости включите сведения в существующую политику. Capture needed policy information from the event log, and merge information into the existing policy as needed. После того, как политика WDAC проработает в режиме аудита в течение некоторого времени, журнал событий будет содержать сведения о приложениях, которые не охвачены этой политикой. After a WDAC policy has been running for a time in audit mode, the event log will contain information about applications that are outside the policy. Чтобы расширить политику и разрешить запуск этих приложений, используйте команды Windows PowerShell для сбора необходимых данных о политике из журнала событий и объединения этих данных с существующей политикой. To expand the policy so that it allows for these applications, use Windows PowerShell commands to capture the needed policy information from the event log, and then merge that information into the existing policy. Вы можете объединить политики WDAC также из других источников. Это позволяет гибко подходить к созданию итоговых политик WDAC. You can merge WDAC policies from other sources also, for flexibility in how you create your final WDAC policies.

Разверните политики WDAC и файлы каталога. Deploy WDAC policies and catalog files. После подтверждения того, что вы завершили все предыдущие шаги, вы можете начать развертывание файлов каталога и вывод политик WDAC из режима аудита. After you confirm that you have completed all the preceding steps, you can begin deploying catalog files and taking WDAC policies out of auditing mode. Мы настоятельно рекомендуем начать этот процесс с тестовой группы пользователей. We strongly recommend that you begin this process with a test group of users. Таким образом вы сможете выполнить контрольную проверку качества перед более широким развертыванием файлов каталога и политик WDAC. This provides a final quality-control validation before you deploy the catalog files and WDAC policies more broadly.

Включите необходимые функции безопасности на основе виртуализации (VBS). Enable desired virtualization-based security (VBS) features. Аппаратные функции безопасности, также называемые функциями безопасности на основе виртуализации (VBS), усиливают защиту, Защитник Windows application Control. Hardware-based security features—also called virtualization-based security (VBS) features—strengthen the protections offered by Windows Defender Application Control.

Известные проблемы Known issues

В этом разделе освещаются известные проблемы с WDAC. This section covers known issues with WDAC. Защита целостности кода на основе виртуализации может быть несовместима с некоторыми устройствами и приложениями, что может привести к непредвиденным сбоям, потере данных или ошибке синего экрана (также называемой ошибкой остановки). Virtualization-based protection of code integrity may be incompatible with some devices and applications, which might cause unexpected failures, data loss, or a blue screen error (also called a stop error). Протестировать эту конфигурацию в лаборатории, прежде чем включите ее в производство. Test this configuration in your lab before enabling it in production.

Установки MSI блокируются WDAC MSI Installations are blocked by WDAC

Установка MSI-файлов непосредственно из Интернета на компьютер, защищенный WDAC, не удастся. Installing .msi files directly from the internet to a computer protected by WDAC will fail. Например, эта команда не будет работать: For example, this command will not work:

В качестве обходного решения скачайте MSI-файл и запустите его локально: As a workaround, download the MSI file and run it locally: