Windows Defender Application Control: Foretaksalternativet til S-Mode

Windows 10. mai 2019-oppdatering: Alt du trenger å vite Endringer kommer til Windows 10 med utgivelsen av versjon 1903 som påvirker hverdagens brukere og IT-beslutningstakere. Her er hva du trenger å vite.

Problemet med datamaskiner er programvare. Ikke programvaren du stoler på, som du bruker hver dag til å utføre arbeidet ditt. Nei, problemet er kode du ikke kjenner, og det kommer med en nedlasting. Det kan være skadelig programvare som stjeler og ødelegger data, eller det kan være dårlig skrevet, og bruker ressurser som er nødvendige for viktigere oppgaver.

Mer om Windows

  • Slik bruker du God Mode i Windows 10
  • Windows 10 PowerToys: Et jukseark
  • Microsofts største flopper i tiåret
  • 10 triks og finpusse for tilpasning av Windows 10 (gratis PDF)

Vi kan bruke antivirus og brannmurer for å beskytte PCer mot kjente trusler, men med en stadig voksende mengde ondsinnet kode som bare kan være en bakvakt-handling. Så hvordan kan vi beskytte datamaskinparkene våre, og likevel gi brukerne tilgang til filene og applikasjonene de trenger?

Microsofts S-modus i Windows 10 er en tilnærming, og låser installasjonsstier slik at du bare kan installere pålitelige og testede koder fra Windows Store. Med digitale signaturer for applikasjoner er det mulig å sikre at du installerer riktig, sikker versjon av et program. Men apper som er distribuert gjennom butikken må enten være UWP eller pakkes inn ved hjelp av Desktop Bridge. Og selv om du kan bruke private butikker via Intune, er det ikke alltid økonomisk å ta gamle eksisterende apper og enten skrive om eller konvertere.

Vi introduserer WDAC

Det er der Windows Defender Application Control, WDAC, kommer inn. I stedet for å la alt kjøres, med all kode klarert uansett hvor den har sin opprinnelse, tar WDAC en mer bevisst tilnærming til applikasjonssikkerhet, og sikrer at bare pålitelige koder kjører på administrerte PC-er. Det er ikke bare et verktøy for å håndheve digitale signaturer: WDAC går enda lenger, og kontrollerer hvordan nøkkelkjernefunksjoner fungerer, begrenser rekkevidden og omfanget av skriptverktøy som PowerShell, og blokkerer skript og installatører som ikke har en digital signatur. Du kan tenke på det som en bedriftsversjon av Windows 10 i S-modus - en som ikke låser brukerne dine fra dine egne interne apper eller fra eldre Win32-kode.

Tidligere en del av Windows Defender Device Guard, støttes WDAC på Windows 10 Enterprise og på Windows Server 2016 eller nyere. Den administreres av gruppepolicy eller via MDM, slik at du kan bruke verktøy som Intune til å levere administrasjonspolicyer til brukerne dine, selv om de er utenfor brannmuren.

En av de mer nyttige WDAC-funksjonene er muligheten til å kontrollere mer enn applikasjoner, og legge til en måte å jobbe med plugins, tilleggsmoduler og moduler som brukes til å utvide applikasjoner. Ved å bruke denne funksjonen kan du sikre at pålitelige Chrome- eller Edge-utvidelser kan leveres til nettlesere, samt støtte Office-tillegg i verktøy som Outlook eller Excel.

Definere WDAC-retningslinjer

Microsoft tilbyr en rekke retningslinjer som hjelper deg med å definere retningslinjene du vil bruke. Alternativene inkluderer å kontrollere alle applikasjoner, kontrollere spesifikke applikasjoner, kontrollere enten standard Windows-apper eller UWP-apper eller begge deler. Du kan deretter velge hvordan du vil kontrollere apper - av brukere, av grupper eller av datamaskiner. Nyttig nok tilbyr WDAC et revisjonsalternativ, slik at du kan kjøre det på tvers av enhetene og brukerne dine for å se hva de bruker. Resultatene fra en WDAC-revisjon kan brukes til å lage et sett med retningslinjer som passer best for brukerne dine.

Hvordan bygge en vellykket utviklerkarriere (gratis PDF)

WDAC er en kraftig teknologi og kan raskt låse et nettverk. Det brukes kanskje best der brukerne dine er oppgaveorienterte og ikke trenger tilgang til mange applikasjoner, spesielt der de ikke har administratorrettigheter. Det gjør den ideell for bruk i et kundesenter eller for offentlige internettterminaler. Det er også nyttig når brukere har noen administratorrettigheter, men de jobber med sensitiv informasjon. Ved å bruke WDAC kan du begrense tilgangen til et sett med spesifikke applikasjoner, og til pålitelige apper fra Microsoft Store, og redusere risikoen for at brukere installerer skadelig programvare.

Gjør WDAC mer fleksibel

Utgivelsen av Windows 10 fra 1903 la til flere funksjoner i WDAC, noe som gjorde det mer fleksibelt ved å øke applikasjonstypene som kan beskyttes, samt ytterligere administrasjonsfunksjoner. Retningslinjer kan skyves over MDM-verktøy, og distribusjoner krever ikke omstart.

Et nytt alternativ er støtte for filstieregler. Hvis du har brukt den eldre AppLocker, vil du finne denne tilnærmingen kjent, ettersom den lar deg definere filstier for apper og kjørbare filer som styrer hvor kjørbare filer kan kjøres. WDAC går videre ved å sørge for at disse banene bare kan skrives av privilegerte kontoer, noe som reduserer risikoen for kodeinjeksjon fra applikasjoner med lavere privilegium. Denne regelen kan slås sammen med andre retningslinjer for å øke den tilgjengelige beskyttelsen - for eksempel å sikre at bare signert kode i sikrede filstier kan kjøres.

Det er viktig å innse at en størrelse ikke passer for alle, og det er usannsynlig at bedriften din støttes av bare én policy. Ulike grupper og individuelle brukere kan trenge separate retningslinjer, og de siste utgivelsene av WDAC støtter dette ved å la deg definere en grunnleggende policy for organisasjonen din som kan utvides med tilleggspolitikk. Å kombinere grunnpolicyer med tilleggspolicyer betyr at det er lettere å administrere tilleggsretningslinjer i mindre målestokk på konsernnivå, og utvide basispolicyreglene. Det er viktig å merke seg at det er bedre å ha en mindre basepolitikk enn en større, ettersom tilleggspolitikk ikke kan redusere omfanget av reglene i en basispolitikk.

Windows 10 i S-Mode er et nyttig første skritt for å levere applikasjonskontroll, låse systemer bare for Store apper, med muligheten til å bruke policy for å forhindre at brukere fjerner S-Mode. Det er kanskje best tenkt på som et alternativ for utdanning og for små bedrifter, så vel som for hjemmebrukere, da det krever veldig lite styring.

Der du trenger mer kontroll og har administrasjonsressursene, er det langt bedre å bytte verktøy som WDAC. Selv om WDAC krever mye mer arbeid for å kunne lykkes, er det et kraftig verktøy for å sikre at bare pålitelig programvare kjører i nettverket ditt. Når 96% av skadelig programvare ikke er signert, er det en fornuftig måte å beskytte nettverket og dataene dine for å beskytte nettverket og dataene dine der du vil begrense programmene brukerne kan kjøre. Hvis dårlig kode ikke kan kjøres på PCene dine og dataene dine er trygge, er tiden brukt på å bygge en WDAC-konfigurasjon god tid.

Microsoft Weekly Newsletter

Vær din virksomhets Microsoft-innsider ved hjelp av disse Windows- og Office-opplæringsprogrammene og våre eksperters analyser av Microsofts bedriftsprodukter. Leveres mandager og onsdager

Registrer deg i dag

Se også

  • TypeScript-versjonen 3.6 er ute: Nye funksjoner for Microsofts JavaScript-programmeringsspråk-off-off (TechRepublic)
  • Hvordan sikre og beskytte Microsoft-kontoen din (TechRepublic)
  • 50 tidsbesparende tips for å gjøre arbeidet ditt raskere i Microsoft Office (gratis PDF) (TechRepublic)
  • Windows 10-sikkerhet: En guide for bedriftsledere (TechRepublic Premium)
  • Windows 10-oppsett: Hvilken brukerkontotype bør du velge? (ZDNet)
  • Microsoft legger til et nytt "passordfritt" påloggingsalternativ med den nyeste Windows 10 20H1 testbyggingen (ZDNet)
  • Hvordan lage og bruke apppassord for Microsoft-kontoen din (CNET)
  • Slik aktiverer du telefonpålogging for Microsoft-kontoen din (TechRepublic)
  • Windows 10-passord vil ikke utløpe: Hvorfor Microsoft sier at dette vil gjøre kontoen din tryggere (TechRepublic)
  • Få flere må-les Microsoft-tips og nyheter (TechRepublic på Flipboard)

© Copyright 2021 | pepebotifarra.com