Windows Defender Application Control: Virksomhedsalternativet til S-Mode

Windows 10. maj 2019 Opdatering: Alt hvad du har brug for at vide Ændringer kommer til Windows 10 med udgivelsen af ​​version 1903, der påvirker hverdagens brugere og it-beslutningstagere. Her er hvad du har brug for at vide.

Problemet med computere er software. Ikke den software, du har tillid til, som du bruger hver dag til at udføre dit arbejde. Nej, problemet er kode, du ikke kender, der følger med en download. Det kan være malware, der stjæler og beskadiger data, eller det kan være dårligt skrevet, idet det spiser ressourcer, der er nødvendige til vigtigere opgaver.

Mere om Windows

  • Sådan bruges God Mode i Windows 10
  • Windows 10 PowerToys: Et snyderi
  • Microsofts største flopper i årtiet
  • 10 tricks og tweaks til tilpasning af Windows 10 (gratis PDF)

Vi kan bruge antivirus og firewalls til at beskytte pc'er mod kendte trusler, men med en stadigt voksende mængde ondsindet kode, der kun kan være en bagbeskyttelseshandling. Så hvordan kan vi beskytte vores flåde af pc'er, mens vi stadig giver brugerne adgang til de filer og applikationer, de har brug for?

Microsofts S-tilstand i Windows 10 er en metode, der låser installationsstier, så du kun kan installere pålidelig og testet kode fra Windows Store. Med digitale signaturer til applikationer er det muligt at sikre, at du installerer den korrekte, sikre version af et program. Men apps, der distribueres gennem butikken, skal enten være UWP eller indpakket ved hjælp af Desktop Bridge. Og selvom du kan bruge private butikker via Intune, er det ikke altid økonomisk at tage gamle eksisterende apps og enten omskrive eller konvertere.

Introduktion af WDAC

Det er her Windows Defender Application Control, WDAC, kommer ind. I stedet for at lade alt køre, med al kode klaret uanset hvor det stammer, tager WDAC en mere bevidst tilgang til applikationssikkerhed, hvilket sikrer, at kun betroede kode kører på administrerede pc'er. Det er ikke kun et værktøj til håndhævelse af digitale signaturer: WDAC går endnu længere, kontrollerer, hvordan nøgle kernefunktioner fungerer, begrænser rækkevidden og rækkevidden af ​​scriptingværktøjer som PowerShell, og blokerer scripts og installatører, der ikke har en digital signatur. Du kan tænke på det som en virksomhedsversion af Windows 10 i S-tilstand - en, der ikke låser dine brugere ud af dine egne interne apps eller fra ældre Win32-kode.

Tidligere en del af Windows Defender Device Guard, understøttes WDAC på Windows 10 Enterprise og på Windows Server 2016 eller nyere. Det administreres af gruppepolitik eller via MDM, så du kan bruge værktøjer som Intune til at levere administrationspolitikker til dine brugere, selvom de er uden for din firewall.

En af de mere nyttige WDAC-funktioner er muligheden for at kontrollere mere end applikationer, tilføje en måde at arbejde med plug-ins, tilføjelsesprogrammer og moduler, der bruges til at udvide applikationer. Ved hjælp af denne funktion kan du sikre dig, at betroede Chrome- eller Edge-udvidelser kan leveres til browsere samt understøtte Office-tilføjelsesprogrammer i værktøjer som Outlook eller Excel.

Definition af WDAC-politikker

Microsoft leverer en række retningslinjer, der hjælper dig med at definere de politikker, du vil bruge. Valgmulighederne inkluderer kontrol af alle applikationer, kontrol af specifikke applikationer, kontrol af enten standard Windows-apps eller UWP-apps eller begge dele. Du kan derefter vælge, hvordan du vil kontrollere apps - af brugere, grupper eller computere. Nyttigtvis tilbyder WDAC en revisionsindstilling, så du kan køre den på tværs af din flåde af enheder og dine brugere for at se, hvad de bruger. Resultaterne fra en WDAC-revision kan bruges til at oprette et sæt politikker, der bedst passer til, hvordan dine brugere fungerer.

Sådan bygger du en succesrig udviklerkarriere (gratis PDF)

WDAC er en kraftfuld teknologi og kan hurtigt låse et netværk ned. Det bruges måske bedst, hvor dine brugere er opgaveorienterede og ikke behøver at få adgang til en masse applikationer, især hvor de ikke har administratorrettigheder. Det gør det ideelt til brug i et callcenter eller til offentlige internetterminaler. Det er også nyttigt, når brugere har nogle administratorrettigheder, men de arbejder med følsomme oplysninger. Ved hjælp af WDAC kan du begrænse adgangen til et sæt specifikke applikationer og til betroede apps fra Microsoft Store, hvilket reducerer risikoen for, at brugere installerer malware.

Gør WDAC mere fleksibel

Frigørelsen af ​​Windows 10 fra 1903 føjede flere funktioner til WDAC, hvilket gjorde det mere fleksibelt ved at øge de anvendte typer af applikationer, der kan beskyttes, samt yderligere styringsfunktioner. Politik kan skubbes over MDM-værktøjer, og implementeringer kræver ikke en genstart.

En ny mulighed er understøttelse af regler for filstier. Hvis du har brugt den ældre AppLocker, finder du denne tilgang kendt, da den giver dig mulighed for at definere filstier til apps og eksekverbare filer, der styrer, hvor eksekverbare filer kan køre. WDAC går videre ved at sikre sig, at disse stier kun kan skrives af privilegerede konti, hvilket reducerer risikoen for kodeindsprøjtning fra applikationer med lavere privilegier. Denne regel kan slås sammen med andre politikker for at øge den tilgængelige beskyttelse - for eksempel at sikre, at kun underskrevet kode i sikrede filstier kan køres.

Det er vigtigt at indse, at en størrelse ikke passer til alle, og det er usandsynligt, at din virksomhed kun understøttes af én politik. Forskellige grupper og individuelle brugere har muligvis brug for separate politikker, og de seneste udgivelser af WDAC understøtter dette ved at give dig mulighed for at definere en basispolitik for din organisation, der kan udvides med supplerende politikker. Kombination af basispolitikker med supplerende politikker betyder, at det er lettere at styre mindre skalaer-supplerende politikker på gruppeniveau og udvide basispolitiske regler. Det er vigtigt at bemærke, at det er bedre at have en mindre basispolitik end en større, da supplerende politikker ikke kan reducere omfanget af reglerne i en basispolitik.

Windows 10 i S-Mode er et nyttigt første skridt til at levere applikationskontrol, låse systemer til Store apps kun med mulighed for at bruge politik til at forhindre brugere, der fjerner S-Mode. Det er måske bedst tænkt på som en mulighed for uddannelse og for små virksomheder såvel som for hjemmebrugere, da det kræver meget lidt ledelse.

Hvor du har brug for mere kontrol og har administrationsressourcerne, er det langt bedre at skifte værktøjer som WDAC. Mens WDAC kræver meget mere arbejde for at køre med succes, er det et kraftfuldt værktøj til at sikre, at kun betroet software kører i dit netværk. Med 96% af malware, der ikke er underskrevet, er det at lukke din pc-flåde, så kun koder med hvidliste er en fornuftig måde at beskytte dit netværk og dine data, hvor du vil begrænse de applikationer, som brugerne kan køre. Hvis en dårlig kode ikke kan køre på dine pc'er, og dine data er sikre, er den tid, der bruges til at opbygge en WDAC-konfiguration, brugt tid.

Microsoft ugentlig nyhedsbrev

Vær din virksomheds Microsoft-insider ved hjælp af disse Windows- og Office-tutorials og vores eksperters analyser af Microsofts virksomhedsprodukter. Leveres mandage og onsdage

Tilmeld dig i dag

Se også

  • TypeScript's 3.6-udgivelse er ude: Nye funktioner til Microsofts JavaScript-programmeringssprog-spin-off (TechRepublic)
  • Sådan sikres og beskyttes din Microsoft-konto (TechRepublic)
  • 50 tidsbesparende tip til hurtigere arbejde i Microsoft Office (gratis PDF) (TechRepublic)
  • Windows 10-sikkerhed: En guide til forretningsførere (TechRepublic Premium)
  • Windows 10-opsætning: Hvilken brugerkontotype skal du vælge? (ZDNet)
  • Microsoft tilføjer en ny 'kodeordløs' tilmeldingsmulighed med den nyeste Windows 10 20H1 testopbygning (ZDNet)
  • Sådan opretter og bruger du app-adgangskoder til din Microsoft-konto (CNET)
  • Sådan aktiveres telefon-login til din Microsoft-konto (TechRepublic)
  • Windows 10-adgangskoder udløber ikke: Hvorfor Microsoft siger, at dette vil gøre din konto mere sikker (TechRepublic)
  • Få flere must-read Microsoft-tip og nyheder (TechRepublic på Flipboard)

© Copyright 2020 | mobilegn.com