Planear a gestão de políticas de ciclo de vida do Controlo de Aplicações para Empresas

Este artigo descreve as decisões que precisa de tomar para estabelecer os processos de gestão e manutenção das políticas do Controlo de Aplicações para Empresas.

Gestão do ciclo de vida XML da política

O primeiro passo na implementação do Controlo de Aplicações é considerar a forma como as suas políticas serão geridas e mantidas ao longo do tempo. Desenvolver um processo para gerir políticas do Controlo de Aplicações para Empresas ajuda a garantir que o Controlo de Aplicações continua a controlar eficazmente a forma como as aplicações são autorizadas a ser executadas na sua organização.

A maioria das políticas do Controlo de Aplicações para Empresas irá evoluir ao longo do tempo e prosseguir com um conjunto de fases identificáveis durante a sua duração. Normalmente, estas fases incluem:

1. Defina (ou refine) o "círculo de confiança" para a política e crie uma versão do modo de auditoria do XML da política. No modo de auditoria, os eventos de bloqueio são gerados, mas os ficheiros não são impedidos de ser executados.
2. Implemente a política do modo de auditoria nos dispositivos pretendidos.
3. Monitorize eventos de bloqueio de auditoria a partir dos dispositivos pretendidos e adicione/edite/elimine regras conforme necessário para resolver blocos inesperados/indesejados.
4. Repita os passos 2 a 3 até que os restantes eventos de bloco satisfaçam as expectativas.
5. Gere a versão do modo imposto da política. No modo imposto, os ficheiros que a política não permite são impedidos de ser executados e são gerados eventos de bloco correspondentes.
6. Implemente a política de modo imposto nos dispositivos pretendidos. Recomendamos a utilização de implementações faseadas para políticas impostas para detetar e responder a problemas antes de implementar a política em geral.
7. Repita os passos 1 a 6 sempre que o "círculo de confiança" pretendido for alterado.

Manter as políticas de Controlo de Aplicações numa solução de gestão de documentos ou controlo de código fonte

Para gerir eficazmente as políticas do Controlo de Aplicações para Empresas, deve armazenar e manter os seus documentos XML de política num repositório central acessível a todos os responsáveis pela gestão de políticas de Controlo de Aplicações. Recomendamos uma solução de controlo de código fonte, como o GitHub ou uma solução de gestão de documentos, como Office 365 SharePoint, que fornecem controlo de versões e permitem especificar metadados sobre os documentos XML.

Definir metadados policyName, PolicyID e Versão para cada política

Utilize o cmdlet Set-CIPolicyIDInfo para dar a cada política um nome descritivo e definir um ID de política exclusivo. Estes atributos exclusivos ajudam-no a diferenciar cada política ao rever eventos do Controlo de Aplicações para Empresas ou ao visualizar o documento XML da política. Embora possa especificar um valor de cadeia para PolicyId, para políticas que utilizem o formato de várias políticas, recomendamos que utilize o comutador -ResetPolicyId para permitir ao sistema gerar automaticamente um ID exclusivo para a política.

Além disso, recomendamos que utilize o cmdlet Set-CIPolicyVersion para incrementar o número de versão interna da política quando efetuar alterações à política. A versão tem de ser definida como uma cadeia de versão de quatro partes padrão (por exemplo, "1.0.0.0").

Atualizações de regras de política

Poderá ter de rever a política quando forem implementadas novas aplicações ou as aplicações existentes forem atualizadas pelo fabricante do software para garantir que as aplicações são executadas corretamente. A necessidade de atualizações de regras de políticas dependerá significativamente dos tipos de regras que a sua política inclui. As regras baseadas em certificados de atribuição de códigos proporcionam a maior resiliência em relação às alterações da aplicação, enquanto as regras baseadas em atributos de ficheiro ou hash são mais prováveis de exigir atualizações quando as aplicações são alteradas. Em alternativa, se utilizar a funcionalidade do instalador gerido pelo Controlo de Aplicações e implementar consistentemente todas as aplicações e as respetivas atualizações através do instalador gerido, é menos provável que precise de atualizações de políticas.

Gestão de eventos do Controlo de Aplicações

Sempre que o Controlo de Aplicações bloqueia um processo, os eventos são escritos nos registos de eventos do Windows CodeIntegrity\Operational ou AppLocker\MSI e Script. O evento descreve o ficheiro que tentou executar, os atributos desse ficheiro e as respetivas assinaturas e o processo que tentou executar o ficheiro bloqueado.

Recolher estes eventos numa localização central pode ajudá-lo a manter a política de Controlo de Aplicações para Empresas e a resolver problemas de configuração de regras. Pode utilizar o Agente do Azure Monitor para recolher automaticamente os eventos do Controlo de Aplicações para análise.

Além disso, Microsoft Defender para Ponto de Extremidade recolhe eventos do Controlo de Aplicações que podem ser consultados com a funcionalidade de investigação avançada.

Política de suporte de aplicações e utilizadores

As considerações incluem:

• Que tipo de suporte do utilizador final é fornecido para aplicações bloqueadas?
• Como são adicionadas novas regras à política?
• Como é que as regras existentes são atualizadas?
• Os eventos são reencaminhados para revisão?

Suporte técnico

Se a sua organização tiver um departamento de suporte técnico estabelecido, considere os seguintes pontos ao implementar políticas do Controlo de Aplicações para Empresas:

• Que documentação é que o seu departamento de suporte necessita para novas implementações de políticas?
• Quais são os processos críticos em cada grupo empresarial, tanto no fluxo de trabalho como no tempo que serão afetados pelas políticas de Controlo de Aplicações e como podem afetar a carga de trabalho do seu departamento de suporte?
• Quem são os contactos no departamento de suporte?
• Como é que o departamento de suporte resolve problemas de Controlo de Aplicações entre o utilizador final e os recursos que mantêm as regras do Controlo de Aplicações para Empresas?

Suporte para utilizadores finais

Uma vez que o Controlo de Aplicações para Empresas está a impedir a execução de aplicações não aprovadas, é importante que a sua organização planeie cuidadosamente como fornecer suporte ao utilizador final. As considerações incluem:

• Pretende utilizar um site de intranet como linha de frente do suporte para os utilizadores que tentam executar uma aplicação bloqueada?
• Como pretende suportar exceções à política? Irá permitir que os utilizadores executem um script para permitir temporariamente o acesso a uma aplicação bloqueada?

Documentar o seu plano

Depois de decidir como a sua organização irá gerir a sua política de Controlo de Aplicações para Empresas, registe as suas conclusões.

• Política de suporte do utilizador final. Documente o processo que irá utilizar para processar chamadas de utilizadores que tentaram executar uma aplicação bloqueada e certifique-se de que o suporte técnico tem passos de escalamento claros para que o administrador possa atualizar a política do Controlo de Aplicações para Empresas, se necessário.
• Processamento de eventos. Documente se os eventos serão recolhidos numa localização central chamada arquivo, como esse arquivo será arquivado e se os eventos serão processados para análise.
• Gestão de políticas. Detalhe sobre as políticas planeadas, como serão geridas e como as regras serão mantidas ao longo do tempo.