Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Hinweis
Einige Funktionen von App Control for Business sind nur für bestimmte Windows-Versionen verfügbar. Erfahren Sie mehr über die Verfügbarkeit von App Control-Features.
Nach Möglichkeit sollte App Control for Business (App-Steuerung) beim erstmaligen Einrichten eines Geräts und vor der Installation von Apps aktiviert werden. Dadurch wird sichergestellt, dass sich das System beim Starten der App-Steuerung in einem "sauber"-Zustand befindet. Dies ist besonders wichtig für Apps, die zulässig sind, da sie von einem verwalteten Installationsprogramm installiert wurden oder der Intelligent Security Graph (ISG) festgestellt hat, dass die App sicher ausgeführt werden kann.
In der Regel erfolgt die Bereitstellung von App Control for Business am besten in Phasen, anstatt ein Feature zu sein, das Sie einfach "aktivieren". Die Auswahl und Abfolge der Phasen hängt davon ab, wie verschiedene Computer und andere Geräte in Ihrem organization verwendet werden und in welchem Umfang die IT diese Geräte verwaltet. Die folgende Tabelle hilft Ihnen bei der Entwicklung eines Plans für die Bereitstellung von App Control in Ihrem organization. Es ist üblich, dass Organisationen Geräteanwendungsfälle für jede der beschriebenen Kategorien verwenden.
Häufige Anwendungsfälle
| Anwendungsfall | Beziehung von App Control zu diesem Anwendungsfall |
|---|---|
|
Unerwünschte Apps blockieren: Nur wenige Unternehmen verwalten alle Apps zentral und benötigen einen langen Ermittlungszeitraum, bevor sie überhaupt entscheiden können, was sie zulassen. Stattdessen verlagert sich der Fokus der IT-Abteilung darauf, eine Reihe von Apps zu blockieren, die sie als Probleme betrachten, während sie ihren Bestand an Apps erstellen. |
Stellen Sie mithilfe der App-Steuerung zusammen mit einer Richtlinie für überwachungsfähige Zulassungslisten eine Richtlinie nur für sperrige Listen bereit, um Informationen zu den Apps und Prozessen zu sammeln, die auf Ihren Geräten ausgeführt werden. |
|
Kaum verwaltete Geräte: Unternehmenseigene Geräte, auf denen Benutzer beliebige Software installieren dürfen. Geräte sind erforderlich, um bestimmte Apps auszuführen, z. B. die Antivirenlösung des organization oder die Helpdesk-Clientverwaltungstools. |
App Control for Business kann verwendet werden, um den Kernel zu schützen und Benutzern das Ausführen von Apps zu ermöglichen, die signiert sind, von der App-Bereitstellungslösung des Unternehmens wie Intune installiert werden, an Speicherorten installiert wurden, an denen nur ein Administrator Dateien schreiben kann, und jede App mit gutem Ruf. |
|
Vollständig verwaltete Geräte: Zulässige Software wird von Ihrer IT-Abteilung eingeschränkt. Benutzer können weitere Software anfordern oder aus einer Liste von Anwendungen installieren, die von der IT-Abteilung bereitgestellt werden. Beispiele: gesperrte unternehmenseigene Desktopcomputer und Laptops |
Eine anfängliche Baselinerichtlinie für App Control for Business kann eingerichtet und erzwungen werden. Wenn die IT-Abteilung weitere Anwendungen genehmigt, kann sie die App-Steuerungsrichtlinie im Rahmen ihrer App-Paketerstellungs- und Bereitstellungsprozesse aktualisieren. Alternativ können sie App-Katalogdateien erstellen und signieren, die dann als Abhängigkeit der App verteilt werden. |
|
Geräte mit fester Arbeitsauslastung: Führen täglich dieselben Aufgaben aus. Die Listen der genehmigten Anwendungen ändern sich nur selten. Beispiele: Kioske, Point-of-Sale-Systeme, Callcenter-PCs |
App Control for Business kann vollständig bereitgestellt werden, und die Bereitstellung und die laufende Verwaltung sind relativ einfach. Nach der Bereitstellung von App Control for Business können nur genehmigte Anwendungen ausgeführt werden. Diese Regel basiert auf dem Schutz, der von der App-Steuerung angeboten wird. |
| BYOD (Bring Your Own Device): Mitarbeiter dürfen eigene Geräte mitbringen und diese auch privat gebrauchen. | In den meisten Fällen gilt App Control for Business nicht. Sie können stattdessen andere Härtungs- und Sicherheitsfeatures mit MDM-basierten Lösungen für den bedingten Zugriff in Erwägung ziehen, wie etwa Microsoft Intune. Sie können jedoch eine Richtlinie im Überwachungsmodus für diese Geräte bereitstellen oder eine Richtlinie nur für die Sperrliste verwenden, um bestimmte Apps oder Binärdateien zu verhindern, die von Ihrem organization als bösartig oder anfällig angesehen werden. |
| "Dirty"-Systeme: Die Einführung einer App-Steuerungslösung auf Systemen, die bereits verwendet werden, ist viel schwieriger als wenn Sie sie auf ein neues Gerät anwenden, auf dem noch keine Apps installiert sind. Manchmal müssen Kompromisse eingegangen werden, um die Produktivität zu erhalten, auch wenn einige Apps möglicherweise durch die organization unerwünscht sind. | Mithilfe eines Skripts zum Anwenden von App Control-Richtlinien können Organisationen eine Richtlinie erstellen, indem sie jedes Gerät überprüfen und Regeln für jede beobachtete Binär- oder Skriptdatei erstellen. Dieser Regelsatz wird verwendet, um die restriktivere Basisrichtlinie zu ergänzen, die auf neue, neu konfigurierte Geräte angewendet wird. Auf diese Weise funktioniert jede zuvor installierte App weiterhin, aber alle zukünftigen Installationen müssen die neu erzwungenen App-Steuerungsregeln der Organisationen erfüllen. |
Eine Einführung in lamna Healthcare Company
In den nächsten Artikeln untersuchen wir Richtlinien zur Behandlung von Szenarien wie denen in der Tabelle mithilfe eines fiktiven Unternehmens namens Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) ist ein großer Gesundheitsdienstleister, der im USA tätig ist. Lamna beschäftigt Tausende von Mitarbeitern, von Ärzten und Krankenschwestern bis hin zu Buchhaltern, internen Anwälten und IT-Technikern. Ihre Geräteanwendungsfälle sind vielfältig und umfassen Einzelbenutzerarbeitsstationen für ihr professionelles Personal, freigegebene Kioske, die von Ärzten und Krankenschwestern für den Zugriff auf Patientenakten verwendet werden, dedizierte medizinische Geräte wie MRT-Scanner und viele andere. Darüber hinaus hat Lamna eine entspannte Bring-Your-Own-Device-Richtlinie für viele ihrer professionellen Mitarbeiter.
Lamna verwendet Microsoft Intune im Hybridmodus sowohl mit Configuration Manager als auch mit Intune. Obwohl sie Microsoft Intune verwenden, um viele Anwendungen bereitzustellen, hat Lamna immer gelockerte Anwendungsmethoden: Einzelne Teams und Mitarbeiter konnten alle Anwendungen installieren und verwenden, die sie für ihre Rolle auf ihren eigenen Arbeitsstationen für erforderlich halten. Lamna hat vor Kurzem auch damit begonnen, Microsoft Defender for Endpoint für eine bessere Endpunkterkennung und -reaktion zu verwenden.
Vor kurzem erlebte Lamna ein Ransomware-Ereignis, das einen teuren Wiederherstellungsprozess erforderte und möglicherweise Datenexfiltration durch den unbekannten Angreifer beinhaltete. Teil des Angriffs war die Installation und Ausführung schädlicher Binärdateien, die der Erkennung durch die Antivirenlösung von Lamna entzogen, aber durch eine App-Steuerungsrichtlinie blockiert worden wären. Als Reaktion darauf hat die Lamna-Geschäftsleitung viele neue It-Sicherheitsreaktionen genehmigt, einschließlich der Verschärfung von Richtlinien für die Anwendungsnutzung und der Einführung von App Control.
Weiter oben
Als Nächstes erstellen wir unsere anfängliche Richtlinie mit dem Smart App Control "Circle of Trust" als Ausgangspunkt.
Oder, wenn Sie es bevorzugen: