建立完全受控裝置的應用程控原則

本節概述為組織內 完全受控裝置 建立商務用應用程控原則的程式。 此案例與 輕量管理裝置 之間的主要差異在於，所有部署到完全受控裝置的軟體都由IT管理，且裝置的使用者無法安裝任意應用程式。 在理想情況下，所有應用程式都是使用軟體發佈解決方案來部署，例如 Microsoft Intune。 此外，完全受控裝置上的使用者最好是以標準使用者身分執行，而且只有授權的IT專業人員具有系統管理存取權。

如 一般商務用應用程控部署案例中所述，我們將使用 Lamna Healthcare Company (Lamna) 範例來說明此案例。 Lamna 正嘗試採用更強的應用程式原則，包括使用應用程控來防止垃圾或未經授權的應用程式在其受管理的裝置上執行。

Alice Pena 是負責推出應用程控的 IT 小組負責人。

Alice 先前已為組織的輕量管理裝置建立原則。 不過，有些裝置會受到更緊密的管理，並可受益於受限較多的原則。 特別是，系統管理人員和第一線員工等特定作業功能不會被授與其裝置的系統管理員層級存取權。 同樣地，共用 Kiosk 只會使用一組受控應用程式和裝置的所有用戶來設定，但 IT 會以標準使用者身分執行。 在這些裝置上，IT 會部署並安裝所有應用程式。

定義完全受控裝置的「信任圈」

Alice 識別下列主要因素，以抵達 Lamna 完全受控裝置的「信任圈」：

• 所有客戶端都執行 Windows 10 版本 1903 或更新版本或 Windows 11;
• 所有用戶端都由 Configuration Manager 或使用 Intune 來管理;
• 大部分但並非所有應用程式都是使用 Configuration Manager 部署;
• 有時候，IT 人員會直接將應用程式安裝到這些裝置，而不需要使用 Configuration Manager;
• 除了 IT 以外的所有使用者都是這些裝置上的標準使用者。

Alice 的小組開發名為 LamnaITInstaller.exe的簡單控制台應用程式，這會成為 IT 人員直接將應用程式安裝到裝置的授權方式。 LamnaITInstaller.exe 可讓IT專業人員啟動另一個程式，例如應用程式安裝程式。 Alice 會將 LamnaITInstaller.exe 設定為 App Control 的額外受控安裝程式，並允許她移除對 filepath 規則的需求。

根據上述內容，Alice 會定義原則的虛擬規則：

1. 授權的「Windows 運作」 規則：

   • Windows
   • WHQL (第三方核心驅動程式)
   • Windows 市集簽署的應用程式

2. 包含簽署者和哈希規則的「ConfigMgr 運作」規則，可讓 Configuration Manager元件正常運作。

3. 允許受管理的安裝程式 (Configuration Manager 並 LamnaITInstaller.exe 設定為受管理的安裝程式)

這組虛擬規則與針對 Lamna 的輕 度受控裝置定義的虛擬規則之間的重大差異如下：

• 拿掉 Intelligent Security Graph (ISG) 選項;和
• 拿掉 filepath 規則。

使用範例應用程控基底原則建立自定義基底原則

在定義「信任圈」之後，Alice 已準備好為 Lamna 的完全受控裝置產生初始原則，並決定使用 Configuration Manager 來建立初始基底原則，然後加以自定義以符合 Lamna 的需求。

Alice 會遵循下列步驟來完成這項工作：

1. 使用 Configuration Manager 建立稽核原則，並將其部署至執行 Windows 10 1903 版或更新版本的用戶端裝置，或 Windows 11。

2. 在用戶端裝置上，於提升許可權的 Windows PowerShell 工作階段中執行下列命令，以初始化變數：

   $PolicyPath=$env:userprofile+"\Desktop\"
   $PolicyName= "Lamna_FullyManagedClients_Audit"
   $LamnaPolicy=$PolicyPath+$PolicyName+".xml"
   $ConfigMgrPolicy=$env:windir+"\CCM\DeviceGuard\MergedPolicy_Audit_ISG.xml"
   

3. 將 Configuration Manager 建立的原則複製到桌面：

   cp $ConfigMgrPolicy $LamnaPolicy
   

4. 為新原則提供唯一識別碼、描述性名稱和初始版本號碼：

   Set-CIPolicyIdInfo -FilePath $LamnaPolicy -PolicyName $PolicyName -ResetPolicyID
   Set-CIPolicyVersion -FilePath $LamnaPolicy -Version "1.0.0.0"
   

5. 修改複製的原則以設定原則規則：

   Set-RuleOption -FilePath $LamnaPolicy -Option 3 # Audit Mode
   Set-RuleOption -FilePath $LamnaPolicy -Option 6 # Unsigned Policy
   Set-RuleOption -FilePath $LamnaPolicy -Option 9 # Advanced Boot Menu
   Set-RuleOption -FilePath $LamnaPolicy -Option 12 # Enforce Store Apps
   Set-RuleOption -FilePath $LamnaPolicy -Option 13 # Managed Installer
   Set-RuleOption -FilePath $LamnaPolicy -Option 16 # No Reboot
   Set-RuleOption -FilePath $LamnaPolicy -Option 17 # Allow Supplemental
   Set-RuleOption -FilePath $LamnaPolicy -Option 19 # Dynamic Code Security
   

6. 如果適當，請新增更多簽署者或檔案規則，以進一步自定義貴組織的原則。

7. 使用 ConvertFrom-CIPolicy 將商務用應用程控原則轉換為二進位格式：

   [xml]$PolicyXML = Get-Content $LamnaPolicy
   $LamnaPolicyBin = Join-Path $PolicyPath "$($PolicyXML.SiPolicy.PolicyID).cip"
   ConvertFrom-CIPolicy $LamnaPolicy $LamnaPolicyBin
   

8. 將您的基底原則 XML 和相關聯的二進位檔上傳至原始檔控制解決方案，例如 GitHub 或檔管理解決方案，例如 Office 365 SharePoint。

此時，Alice 已有初始原則，可在稽核模式下部署至 Lamna 內的受控用戶端。

此完全受控原則的安全性考慮

Alice 已定義 Lamna 完全受控裝置的原則，可在應用程式的安全性和管理性之間做出一些取捨。 一些取捨包括：

• 具有系統管理存取權的使用者

  雖然套用至較少的使用者，Lamna 仍可讓某些IT人員以系統管理員身分登入其完全受控的裝置。 此許可權可讓這些使用者 (或使用使用者許可權執行的惡意代碼，) 修改或移除裝置上套用的應用程控原則。 此外，系統管理員可以設定他們想要作為受管理安裝程序運作的任何應用程式，讓他們能夠針對任何想要的應用程式或二進位檔取得持續的應用程式授權。

  可能的緩和措施：

  • 使用已簽署的應用程控原則和 UEFI BIOS 存取保護，以防止竄改應用程控原則。
  • 在應用程式部署程式中建立和部署已簽署的類別目錄檔案，以移除受管理安裝程式的需求。
  • 使用裝置證明在開機時偵測應用程控的設定狀態，並使用該資訊來設定敏感性公司資源的存取條件。

• 不帶正負號的原則

  以系統管理員身分執行的任何程式都可以取代或移除未簽署的原則，而不會造成任何結果。 同樣啟用補充原則的未簽署基底原則，其「信任圈」可能會遭到任何未簽署的補充原則改變。

  已套用現有的防護功能：

  • 限制可在裝置上提升給系統管理員的人員。

  可能的緩和措施：

  • 使用已簽署的應用程控原則和 UEFI BIOS 存取保護，以防止竄改應用程控原則。

• Managed 安裝程式

  請參閱 Managed安裝程式的安全性考慮

  已套用現有的防護功能：

  • 限制可在裝置上提升給系統管理員的人員。

  可能的緩和措施：

  • 在應用程式部署程式中建立和部署已簽署的類別目錄檔案，以移除受管理安裝程式的需求。

• 補充原則
  

  補充原則的設計目的是要放寬相關聯的基底原則。 此外，允許不帶正負號的原則可讓任何系統管理員程式無限制地擴充基底原則所定義的「信任圈」。

  可能的緩和措施：

  • 使用已簽署的應用程控原則，只允許經過授權的已簽署補充原則。
  • 使用限制性稽核模式原則來稽核應用程式使用量和增強弱點偵測。

下一步

• 使用參照計算機為固定工作負載裝置建立商務用應用程控原則
• 準備部署商務用應用程控原則