Windows Defender implementación de Application Control en diferentes escenarios: tipos de dispositivos
Nota
Algunas funcionalidades de Windows Defender Control de aplicaciones (WDAC) solo están disponibles en versiones específicas de Windows. Obtenga más información sobre la disponibilidad de características Windows Defender Application Control.
Normalmente, la implementación de Windows Defender Control de aplicaciones (WDAC) se produce mejor en fases, en lugar de ser una característica que simplemente se "activa". La elección y secuencia de fases depende de la forma en que se usan varios equipos y otros dispositivos en su organización y en qué grado administra esos dispositivos. La tabla siguiente puede ayudarle a empezar a desarrollar un plan para implementar WDAC en su organización. Es habitual que las organizaciones tengan casos de uso de dispositivos en cada una de las categorías descritas.
Tipos de dispositivos
| Tipo de dispositivo | Relación de WDAC con este tipo de dispositivo |
|---|---|
| Dispositivos apenas administrados: equipos de empresa en los que los usuarios pueden instalar software libremente. Los dispositivos deben ejecutar la solución antivirus de la organización y las herramientas de administración de cliente. |
Windows Defender Application Control se puede usar para ayudar a proteger el kernel y supervisar (auditar) las aplicaciones problemáticas en lugar de limitar las aplicaciones que se pueden ejecutar. |
| Dispositivos totalmente administrados: el departamento de TI restringe el software permitido. Los usuarios pueden solicitar más software o instalar desde una lista de aplicaciones proporcionadas por el departamento de TI. Ejemplos: equipos de escritorio y portátiles de empresa bloqueados. |
Se puede establecer y aplicar una línea base inicial Windows Defender directiva de Control de aplicaciones. Cada vez que el departamento de TI aprueba más aplicaciones, actualiza la directiva WDAC y (para las aplicaciones LOB sin firmar) el catálogo. |
| Dispositivos de carga de trabajo fija: se realizan las mismas tareas cada día. Las listas de aplicaciones aprobadas no suelen modificarse. Ejemplos: quioscos, sistemas de punto de venta, equipos de centros de atención de llamadas. |
Windows Defender Control de aplicaciones se puede implementar completamente y la implementación y la administración continua son relativamente sencillas. Después de Windows Defender implementación de Application Control, solo se pueden ejecutar aplicaciones aprobadas. Esta regla se debe a las protecciones ofrecidas por WDAC. |
| Trae tu dispositivo: los empleados pueden traer sus dispositivos y usarlos fuera del trabajo. | En la mayoría de los casos, no se aplica Windows Defender Control de aplicaciones. En cambio, puedes explorar otras características de seguridad y sistemas de protección alternativos con soluciones de acceso condicional basadas en MDM, como Microsoft Intune. Sin embargo, puede optar por implementar una directiva de modo auditoría en estos dispositivos o emplear una directiva de solo lista de bloqueos para evitar aplicaciones o archivos binarios específicos que su organización considera malintencionados o vulnerables. |
Introducción a Lamna Healthcare Company
En el siguiente conjunto de artículos, exploraremos cada uno de los escenarios anteriores mediante una organización ficticia llamada Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) es un gran proveedor de atención sanitaria que opera en el Estados Unidos. Lamna emplea a miles de personas, desde médicos y enfermeras hasta contadores, abogados internos y técnicos de TI. Sus casos de uso de dispositivos son variados e incluyen estaciones de trabajo de un solo usuario para su personal profesional, quioscos compartidos utilizados por médicos y enfermeras para acceder a los registros de pacientes, dispositivos médicos dedicados como escáneres de MRI y muchos otros. Además, Lamna tiene una directiva relajada de traiga su propio dispositivo para muchos de su personal profesional.
Lamna usa Microsoft Intune en modo híbrido con Configuration Manager y Intune. Aunque usan Microsoft Intune para implementar muchas aplicaciones, Lamna siempre ha tenido prácticas de uso de aplicaciones relajadas: equipos individuales y empleados han podido instalar y usar las aplicaciones que consideren necesarias para su rol en sus propias estaciones de trabajo. Lamna también comenzó recientemente a usar Microsoft Defender para punto de conexión para mejorar la detección y respuesta de puntos de conexión.
Recientemente, Lamna experimentó un evento de ransomware que requería un costoso proceso de recuperación y que puede haber incluido la filtración de datos por parte del atacante desconocido. Parte del ataque incluía la instalación y ejecución de archivos binarios malintencionados que evitaban la detección por la solución antivirus de Lamna, pero que habrían sido bloqueados por una directiva de control de aplicaciones. En respuesta, el comité ejecutivo de Lamna ha autorizado muchas nuevas respuestas de TI de seguridad, incluidas directivas de ajuste para el uso de aplicaciones e introducción del control de aplicaciones.
Siguiente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de