- Управление приложениями в Защитнике Windows — WDAC
- Имена семей пакетов для приложений на HoloLens
- Как найти имя семейства пакетов
- Управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации Windows Defender Application Control and virtualization-based protection of code integrity
- Управление приложениями в Защитнике Windows Windows Defender Application Control
- Управление приложением для Windows Application Control for Windows
Управление приложениями в Защитнике Windows — WDAC
WDAC позволяет ИТ-администратору настраивать свои устройства на блокировку запуска приложений на устройствах. Это отличается от методов ограничения устройств, таких как режим терминала, где пользователь получает пользовательский интерфейс, который скрывает приложения на устройстве, но их можно запускать. При реализации WDAC приложения по-прежнему видны в списке «Все приложения», но WDAC останавливает запуск этих приложений и процессов пользователем устройства.
Устройству может быть назначено несколько политик WDAC. Если в системе установлено несколько политик WDAC, в силу вступает большинство ограничительных политик.
Когда конечные пользователи пытаются запустить приложение, заблокированное WDAC, на HoloLens они не получат уведомление о том, что не смогут запустить это приложение.
Ниже приводится руководство для пользователей, чтобы узнать, как использовать WDAC и Windows PowerShell, чтобы разрешить или заблокировать приложения на устройствах HoloLens 2 с Помощью Microsoft Intune.
При поиске приложений, установленных на компьютере с Windows 10 с помощью первого примера, может потребоваться несколько попыток сузить результаты.
If you don’t know the full name of the package, you may need to run ‘Get-AppxPackage -name *YourBestGuess*’ a few times to find it. После этого запустите имя «$package 1 = Get-AppxPackage -name Actual.PackageName»
Например, при запуске следующего для Microsoft Edge будет возвращено несколько результатов, но из этого списка можно определить, что вам нужно полное имя Microsoft.MicrosoftEdge.
Имена семей пакетов для приложений на HoloLens
В руководстве, связанном выше, можно вручную изменить newPolicy.xml и добавить правила для приложений, которые установлены только на HoloLens с именами их семейство пакетов. Иногда вы можете использовать приложения, которые не находятся на настольном компьютере, который вы хотите добавить в политику.
Вот список часто используемых и In-Box приложений для устройств HoloLens 2.
| Имя приложения | Имя семейства пакетов |
|---|---|
| Средство 3D-просмотра | Microsoft.Microsoft3DViewer_8wekyb3d8bbwe |
| Установщик приложений | Microsoft.DesktopAppInstaller_8wekyb3d8bbwe 1 |
| Календарь | microsoft.windowscommunicationsapps_8wekyb3d8bbwe |
| Камера | HoloCamera_cw5n1h2txyewy |
| Кортана | Microsoft.549981C3F5F10_8wekyb3d8bbwe |
| Руководства по Dynamics 365 | Microsoft.Dynamics365.Guides_8wekyb3d8bbwe |
| Dynamics 365 Remote Assist | Microsoft.MicrosoftRemoteAssist_8wekyb3d8bbwe |
| Центр отзывов | Microsoft.WindowsFeedbackHub_8wekyb3d8bbwe |
| Проводник | c5e2524a-ea46-4f67-841f-6a9465d9d515_cw5n1h2txyewy |
| microsoft.windowscommunicationsapps_8wekyb3d8bbwe | |
| Microsoft Store | Microsoft.WindowsStore_8wekyb3d8bbwe |
| Кино и ТВ | Microsoft.ZuneVideo_8wekyb3d8bbwe |
| OneDrive | microsoft.microsoftskydrive_8wekyb3d8bbwe |
| Фотографии | Microsoft.Windows.Photos_8wekyb3d8bbwe |
| Параметры | HolographicSystemSettings_cw5n1h2txyewy |
| Советы | Microsoft.HoloLensTips_8wekyb3d8bbwe |
- 1 — блокирующий установщик приложений блокирует только приложение установщика приложений, а не приложения, установленные из других источников, таких как Microsoft Store или из вашего решения MDM.
Как найти имя семейства пакетов
Если приложения нет в этом списке, пользователь может воспользоваться порталом устройств, подключенным к HoloLens 2, на который установлено приложение, которое должно быть заблокировано, чтобы определить PackageRelativeID, а затем получить PackageFamilyName.
- Установите приложение на устройство HoloLens 2.
- Откройте параметры -> обновления & безопасности -> для разработчиков, в **** режиме разработчика и на портале устройств.
- Дополнительные сведения об установке и использовании портала устройств можно узнать здесь.
- После подключения портала устройств **** перейдите к представлениям, а затем к приложениям.
- На панели «Установленные приложения» выберите установленное приложение с помощью dropdown.
- Найдите PackageRelativeID.
- Скопируйте символы приложения перед !, эти символы будут вашими packageFamilyName.
—>
Управление приложениями в Защитнике Windows и защита целостности кода на основе виртуализации Windows Defender Application Control and virtualization-based protection of code integrity
Относится к: Applies to
- Windows 10 Windows 10
- Windows Server 2016 Windows Server 2016
Windows 10 включает набор технологий оборудования и ОС, которые при настройке вместе позволяют предприятиям «заблокировать» системы Windows 10, чтобы они работали со многими свойствами мобильных устройств. Windows 10 includes a set of hardware and OS technologies that, when configured together, allow enterprises to «lock down» Windows 10 systems so they operate with many of the properties of mobile devices. В этой конфигурации определенные технологии работают вместе, чтобы ограничить устройства только для запуска авторизованных приложений с помощью функции, называемой настраиваемой целостностью кода, одновременно закадривая ОС от атак памяти ядра с помощью защиты целостности кода на основе виртуализации (точнее, HVCI). In this configuration, specific technologies work together to restrict devices to only run authorized apps by using a feature called configurable code integrity, while simultaneously hardening the OS against kernel memory attacks by using virtualization-based protection of code integrity (more specifically, HVCI).
Настраиваемые политики целостности кода и HVCI — это мощные средства защиты, которые можно использовать отдельно. Configurable code integrity policies and HVCI are powerful protections that can be used separately. Однако, когда эти две технологии настроены для совместной работы, они представляют собой мощную возможность защиты для устройств с Windows 10. However, when these two technologies are configured to work together, they present a strong protection capability for Windows 10 devices.
Использование настраиваемой целостности кода для ограничения устройств только авторизованными приложениями имеет эти преимущества перед другими решениями: Using configurable code integrity to restrict devices to only authorized apps has these advantages over other solutions:
- Настраиваемая политика целостности кода обеспечивается самим ядром Windows. Configurable code integrity policy is enforced by the Windows kernel itself. Таким образом, политика вступает в силу на ранних стадиях загрузки перед практически всеми другими кодами ОС и до запуска традиционных антивирусных решений. As such, the policy takes effect early in the boot sequence before nearly all other OS code and before traditional antivirus solutions run.
- Настраиваемая целостность кода позволяет клиентам устанавливать политику управления приложениями не только над кодом, работающим в пользовательском режиме, но и с драйверами оборудования и программного обеспечения в режиме ядра и даже кодом, который выполняется в составе Windows. Configurable code integrity allows customers to set application control policy not only over code running in user mode, but also kernel mode hardware and software drivers and even code that runs as part of Windows.
- Клиенты могут защитить настраиваемую политику целостности кода даже от локального взлома администратора, подписав политику в цифровом формате. Customers can protect the configurable code integrity policy even from local administrator tampering by digitally signing the policy. Это означает, что для изменения политики потребуется как административная привилегия, так и доступ к процессу цифровой подписи организации, что затруднит злоумышленнику с административными привилегиями или вредоносным программам, которым удалось получить административную привилегию, изменить политику управления приложениями. This would mean that changing the policy would require both administrative privilege and access to the organization’s digital signing process, making it difficult for an attacker with administrative privilege, or malicious software that managed to gain administrative privilege, to alter the application control policy.
- Весь настраиваемый механизм обеспечения целостности кода может быть защищен HVCI, где даже если уязвимость существует в коде режима ядра, вероятность успешного использования злоумышленником ее снижается. The entire configurable code integrity enforcement mechanism can be protected by HVCI, where even if a vulnerability exists in kernel mode code, the likelihood that an attacker could successfully exploit it is diminished. Почему это актуально? Why is this relevant? Это потому, что злоумышленник, который скомпрометировать ядро, в противном случае будет иметь достаточно привилегий, чтобы отключить большинство системных средств защиты и переопределить политики управления приложениями, которые применяются с помощью настраиваемой целостности кода или любого другого решения управления приложениями. That’s because an attacker that compromises the kernel would otherwise have enough privilege to disable most system defenses and override the application control policies enforced by configurable code integrity or any other application control solution.
Управление приложениями в Защитнике Windows Windows Defender Application Control
При первоначальной настройке этого состояния конфигурации мы делали это с учетом определенного обещания безопасности. When we originally designed this configuration state, we did so with a specific security promise in mind. Несмотря на отсутствие прямых зависимостей между настраиваемой целостностью кода и HVCI, мы намеренно сосредоточили свое обсуждение вокруг состояния блокировки, который вы достигаете при их совместном развертывании. Although there were no direct dependencies between configurable code integrity and HVCI, we intentionally focused our discussion around the lockdown state you achieve when deploying them together. Однако, учитывая, что HVCI зависит от безопасности на основе виртуализации Windows, она поставляется с большим оборудованием, прошивки и драйвера совместимости ядра требования, которые некоторые старые системы не могут соответствовать. However, given that HVCI relies on Windows virtualization-based security, it comes with more hardware, firmware, and kernel driver compatibility requirements that some older systems can’t meet. В результате многие ИТ-специалисты предположили, что из-за того, что некоторые системы не могут использовать HVCI, они также не могут использовать настраиваемую целостность кода. As a result, many IT Professionals assumed that because some systems couldn’t use HVCI, they couldn’t use configurable code integrity either.
Настраиваемая целостность кода не содержит каких-либо определенных требований к оборудованию или программному обеспечению, кроме windows 10, что означает, что многим ИТ-специалистам было ошибочно отказано в преимуществах этой мощной возможности управления приложениями. Configurable code integrity carries no specific hardware or software requirements other than running Windows 10, which means many IT professionals were wrongly denied the benefits of this powerful application control capability.
С момента первоначального выпуска Windows 10 мир стал свидетелем многочисленных атак взлома и вредоносных программ, в результате которых только управление приложениями могло бы полностью предотвратить атаку. Since the initial release of Windows 10, the world has witnessed numerous hacking and malware attacks where application control alone could have prevented the attack altogether. В этой связи мы обсуждаем и документизовываем целостность настраиваемого кода как независимую технологию в нашем стеке безопасности и даем ей имя: Защитник Windows Application Control. With this in mind, we are discussing and documenting configurable code integrity as an independent technology within our security stack and giving it a name of its own: Windows Defender Application Control. Мы надеемся, что это изменение поможет нам лучше общаться с вариантами принятия управления приложениями в организации. We hope this change will help us better communicate options for adopting application control within an organization.
Управление приложением для Windows Application Control for Windows
Область применения: Applies to:
- Windows 10 Windows 10
- Windows Server 2016 и выше Windows Server 2016 and above
Ежедневно создаются тысячи новых вредоносных файлов, поэтому использование традиционных методов, таких как антивирусные программы— определение вредоносного кода на основе сигнатур с его последующим устранением,— не обеспечивает достаточной защиты от новых атак. With thousands of new malicious files created every day, using traditional methods like antivirus solutions—signature-based detection to fight against malware—provides an inadequate defense against new attacks.
В большинстве организаций информация является наиболее ценным активом, поэтому необходимо обеспечить доступ к этой информации только утвержденным пользователям. In most organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Однако если пользователь запускает процесс, этот процесс имеет тот же уровень доступа к данным, что и у пользователя. However, when a user runs a process, that process has the same level of access to data that the user has. В результате конфиденциальные сведения могут быть без труда удалены или переданы за пределы организации, если пользователь намеренно или случайно запускает вредоносное ПО. As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software.
Управление приложениями может помочь смягчить эти типы угроз безопасности, ограничив приложения, которые могут запускать пользователи, и код, который выполняется в ядре System Core. Application control can help mitigate these types of security threats by restricting the applications that users are allowed to run and the code that runs in the System Core (kernel). Политики управления приложениями также могут блокировать неподписаные скрипты и msIs и Windows PowerShell работать в режиме ограниченного языка. Application control policies can also block unsigned scripts and MSIs, and restrict Windows PowerShell to run in Constrained Language Mode.
Управление приложениями является важной линией защиты для защиты предприятий, учитывая современный ландшафт угроз, и оно имеет неотъемлемое преимущество перед традиционными антивирусными решениями. Application control is a crucial line of defense for protecting enterprises given today’s threat landscape, and it has an inherent advantage over traditional antivirus solutions. В частности, управление приложениями отодвигается от модели доверия к приложениям, где все приложения считаются надежными, в то время как для запуска приложений необходимо заработать доверие. Specifically, application control moves away from an application trust model where all applications are assumed trustworthy to one where applications must earn trust in order to run. Это понимают многие организации, например Управление сигналов Австралии, и часто ссылаются на управление приложениями как на одно из наиболее эффективных средств для устранения угрозы исполняемой вредоносной программы на основе файлов (.exe, dll и т.д.). Many organizations, like the Australian Signals Directorate, understand this and frequently cite application control as one of the most effective means for addressing the threat of executable file-based malware (.exe, .dll, etc.).
Несмотря на то, что управление приложениями может значительно затвердеть компьютеры от вредоносного кода, рекомендуется продолжать поддерживать корпоративное антивирусное решение для хорошо округленного корпоративного портфеля безопасности. Although application control can significantly harden your computers against malicious code, we recommend that you continue to maintain an enterprise antivirus solution for a well-rounded enterprise security portfolio.
Windows 10 включает две технологии, которые можно использовать для управления приложениями в зависимости от конкретных сценариев и требований организации: Windows 10 includes two technologies that can be used for application control depending on your organization’s specific scenarios and requirements:
- Защитник Windows управления приложениями; и Windows Defender Application Control; and
- AppLocker AppLocker
