Condividi tramite


Autorizzare app affidabili con Intelligent Security Graph (ISG)

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Il controllo delle app può essere difficile da implementare nelle organizzazioni che non distribuiscono e gestiscono le applicazioni tramite un sistema gestito dall'IT. In questi ambienti, gli utenti possono acquisire le applicazioni che vogliono usare per il lavoro, rendendo difficile la creazione di un criterio di controllo delle app efficace.

Per ridurre l'attrito degli utenti finali e le chiamate al supporto tecnico, è possibile impostare Controllo app per le aziende in modo da consentire automaticamente alle applicazioni riconosciute dall'ISG (Intelligent Security Graph) di Microsoft di avere una buona reputazione nota. L'opzione ISG consente alle organizzazioni di iniziare a implementare il controllo delle app anche quando l'organizzazione ha un controllo limitato sull'ecosistema delle app. Per altre informazioni sull'ISG, vedere la sezione Sicurezza in Principali servizi e funzionalità in Microsoft Graph.

Warning

I file binari critici per l'avvio del sistema devono essere consentiti usando regole esplicite nei criteri di Controllo app. Non fare affidamento sull'ISG per autorizzare questi file.

L'opzione ISG non è il modo consigliato per consentire le app business critical. È consigliabile autorizzare sempre le app business critical usando regole di autorizzazione esplicite o installandole con un programma di installazione gestito.

Come funziona il controllo app con l'ISG?

L'ISG non è un "elenco" di app. Usa invece la stessa vasta intelligence di sicurezza e l'analisi di Machine Learning che alimentano Microsoft Defender SmartScreen e Microsoft Defender Antivirus per classificare le applicazioni come "note buone", "note male" o "sconosciute". Questa intelligenza artificiale basata sul cloud si basa su trilioni di segnali raccolti dagli endpoint windows e da altre origini dati ed elaborati ogni 24 ore. Di conseguenza, la decisione del cloud può cambiare.

Controllo app controlla solo l'ISG per i file binari che non sono esplicitamente consentiti o negati dai criteri e che non sono stati installati da un programma di installazione gestito. Quando un file binario di questo tipo viene eseguito in un sistema con Controllo app abilitato con l'opzione ISG, Controllo app controllerà la reputazione del file inviando il relativo hash e le informazioni di firma al cloud. Se l'ISG segnala che il file ha una reputazione "nota", il file potrà essere eseguito. In caso contrario, verrà bloccato da Controllo app.

Se il file con buona reputazione è un programma di installazione dell'applicazione, la reputazione del programma di installazione passerà a tutti i file scritti su disco. In questo modo, tutti i file necessari per installare ed eseguire un'app ereditano i dati di reputazione positivi dal programma di installazione. I file autorizzati in base alla reputazione del programma di installazione avranno la $KERNEL. SMARTLOCKER. Attributo esteso (EA) del kernel ORIGINCLAIM scritto nel file.

Controllo app rieseguire periodicamente la sequenza dei dati di reputazione in un file. Inoltre, le aziende possono specificare che tutti i risultati della reputazione memorizzati nella cache vengono scaricati al riavvio usando l'opzione Enabled:Invalidate EAs on Reboot .

Configurazione dell'autorizzazione ISG per i criteri di Controllo app

La configurazione dell'ISG è semplice usando qualsiasi soluzione di gestione desiderata. La configurazione dell'opzione ISG prevede i passaggi di base seguenti:

Assicurarsi che l'opzione ISG sia impostata nel codice XML dei criteri di controllo delle app

Per consentire app e file binari basati su Microsoft Intelligent Security Graph, è necessario specificare l'opzione di autorizzazione Enabled:Intelligent Security Graph nei criteri di controllo delle app. Questo passaggio può essere eseguito con il cmdlet Set-RuleOption. È anche necessario impostare l'opzione Enabled:Invalidate EAs on Reboot in modo che i risultati isg vengano verificati di nuovo dopo ogni riavvio. L'opzione ISG non è consigliata per i dispositivi che non hanno accesso normale a Internet. L'esempio seguente mostra entrambe le opzioni impostate.

<Rules>
    <Rule>
      <Option>Enabled:Unsigned System Integrity Policy</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Advanced Boot Options Menu</Option>
    </Rule>
    <Rule>
      <Option>Required:Enforce Store Applications</Option>
    </Rule>
    <Rule>
      <Option>Enabled:UMCI</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Managed Installer</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Intelligent Security Graph Authorization</Option>
    </Rule>
    <Rule>
      <Option>Enabled:Invalidate EAs on Reboot</Option>
    </Rule>
</Rules>

Abilitare i servizi necessari per consentire a Controllo app di usare correttamente l'ISG nel client

Affinché l'euristica usata dall'ISG funzioni correttamente, è necessario abilitare altri componenti in Windows. È possibile configurare questi componenti eseguendo l'eseguibile appidtel in c:\windows\system32.

appidtel start

Questo passaggio non è necessario per i criteri di controllo delle app distribuiti in MDM, perché il CSP abiliterà i componenti necessari. Questo passaggio non è necessario anche quando il gruppo di sicurezza del servizio app è configurato usando l'integrazione del controllo app di Configuration Manager.

Considerazioni sulla sicurezza con l'opzione ISG

Poiché l'ISG è un meccanismo basato su euristica, non offre le stesse garanzie di sicurezza delle regole di autorizzazione o negazione esplicite. È più adatto in cui gli utenti operano con diritti utente standard e in cui viene usata una soluzione di monitoraggio della sicurezza come Microsoft Defender per endpoint.

I processi in esecuzione con privilegi del kernel possono aggirare il controllo app impostando l'attributo del file esteso ISG in modo che un file binario sembri avere una buona reputazione nota.

Inoltre, poiché l'opzione ISG passa la reputazione dai programmi di installazione delle app ai file binari che scrivono su disco, in alcuni casi può autorizzare in modo eccessivo i file. Ad esempio, se il programma di installazione avvia l'app al completamento, saranno consentiti anche i file scritti dall'app durante la prima esecuzione.

Limitazioni note con l'uso dell'ISG

Poiché l'ISG consente solo file binari noti, in alcuni casi l'ISG potrebbe non essere in grado di prevedere se il software legittimo è sicuro da eseguire. In questo caso, il software verrà bloccato da Controllo app. In questo caso, è necessario consentire al software con una regola nei criteri di Controllo app, distribuire un catalogo firmato da un certificato attendibile nei criteri di Controllo app o installare il software da un programma di installazione gestito di Controllo app. I programmi di installazione o le applicazioni che creano dinamicamente file binari in fase di esecuzione e applicazioni auto-aggiornanti possono presentare questo sintomo.

Le app in pacchetto non sono supportate con l'ISG e dovranno essere autorizzate separatamente nei criteri di controllo delle app. Poiché le app in pacchetto hanno un'identità dell'app avanzata e devono essere firmate, è semplice autorizzare le app in pacchetto con i criteri di Controllo app.

L'ISG non autorizza i driver in modalità kernel. I criteri di Controllo app devono avere regole che consentono l'esecuzione dei driver necessari.

Nota

Una regola che nega o consente esplicitamente un file avrà la precedenza sui dati di reputazione del file. il supporto predefinito di Controllo app di Microsoft Intune include l'opzione per considerare attendibili le app con una buona reputazione tramite l'ISG, ma non ha alcuna opzione per aggiungere regole di autorizzazione o negazione esplicite. Nella maggior parte dei casi, i clienti che usano Controllo app dovranno distribuire criteri di controllo app personalizzati (che possono includere l'opzione ISG, se lo si desidera) usando la funzionalità URI OMA di Intune.