Windows Defender distribuzione del controllo delle applicazioni in scenari diversi: tipi di dispositivi
Nota
Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.
In genere, la distribuzione di Windows Defender controllo delle applicazioni (WDAC) si verifica meglio nelle fasi, anziché essere una funzionalità semplicemente "attivata". La scelta e la sequenza di fasi dipendono dal modo in cui vengono usati i vari computer e altri dispositivi nell'organizzazione e in quale misura l'IT gestisce tali dispositivi. La tabella seguente consente di iniziare a sviluppare un piano per la distribuzione di WDAC nell'organizzazione. È comune per le organizzazioni avere casi d'uso dei dispositivi in ognuna delle categorie descritte.
Tipi di dispositivi
| Tipo di dispositivo | Relazione tra WDAC e questo tipo di dispositivo |
|---|---|
| Dispositivi poco gestiti: di proprietà dell'azienda, ma gli utenti sono liberi di installare software. Nei dispositivi devono essere in esecuzione la soluzione antivirus e gli strumenti di gestione client dell'organizzazione. |
Windows Defender controllo delle applicazioni può essere usato per proteggere il kernel e per monitorare (controllare) le applicazioni problematiche anziché limitare le applicazioni che possono essere eseguite. |
| Dispositivi completamente gestiti: il software consentito è limitato dal reparto IT. Gli utenti possono richiedere più software o eseguire l'installazione da un elenco di applicazioni fornite dal reparto IT. Esempi: computer desktop e portatili bloccati di proprietà dell'azienda. |
È possibile stabilire e applicare una linea di base iniziale Windows Defender criteri di controllo delle applicazioni. Ogni volta che il reparto IT approva più applicazioni, aggiorna i criteri WDAC e (per le applicazioni LOB non firmate) il catalogo. |
| Dispositivi con carico di lavoro fisso: eseguono ogni giorno le stesse attività. Gli elenchi di applicazioni approvate cambiano raramente. Esempi: chioschi multimediali, sistemi POS, computer di call center. |
Windows Defender il controllo delle applicazioni può essere distribuito completamente e la distribuzione e l'amministrazione in corso sono relativamente semplici. Dopo Windows Defender distribuzione di Controllo applicazioni, è possibile eseguire solo le applicazioni approvate. Questa regola è dovuta alle protezioni offerte da WDAC. |
| Bring Your Own Device (BYOD): i dipendenti sono autorizzati a usare dispositivi personali, anche lontano dal lavoro. | Nella maggior parte dei casi, Windows Defender controllo delle applicazioni non si applica. È possibile invece valutare altre funzionalità di sicurezza e protezione avanzata con soluzioni di accesso condizionale basato su MDM, ad esempio Microsoft Intune. Tuttavia, è possibile scegliere di distribuire criteri in modalità di controllo in questi dispositivi o usare solo criteri di tipo blocklist per impedire app o file binari specifici considerati dannosi o vulnerabili dall'organizzazione. |
Introduzione a Lamna Healthcare Company
Nel set di articoli successivo verranno esaminati ognuno degli scenari precedenti usando un'organizzazione fittizia denominata Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) è un grande operatore sanitario che opera nel Stati Uniti. Lamna impiega migliaia di persone, da medici e infermieri a contabili, avvocati interni e tecnici IT. I casi d'uso dei dispositivi sono diversi e includono workstation monoutente per il personale professionale, chioschi condivisi usati da medici e infermieri per accedere alle cartelle cliniche dei pazienti, dispositivi medici dedicati come scanner MRI e molti altri. Inoltre, Lamna ha una politica rilassata e bring-your-own-device per molti dei loro professionisti.
Lamna usa Microsoft Intune in modalità ibrida con Configuration Manager e Intune. Anche se usano Microsoft Intune per distribuire molte applicazioni, Lamna ha sempre avuto procedure di utilizzo delle applicazioni meno rigide: i singoli team e dipendenti sono stati in grado di installare e usare tutte le applicazioni che ritengono necessarie per il proprio ruolo nelle proprie workstation. Lamna ha anche recentemente iniziato a usare Microsoft Defender per endpoint per migliorare il rilevamento e la risposta degli endpoint.
Di recente, Lamna ha riscontrato un evento ransomware che ha richiesto un processo di recupero costoso e potrebbe aver incluso l'esfiltrazione dei dati da parte dell'utente malintenzionato sconosciuto. Parte dell'attacco includeva l'installazione e l'esecuzione di file binari dannosi che evitavano il rilevamento da parte della soluzione antivirus di Lamna, ma che sarebbero stati bloccati da un criterio di controllo delle applicazioni. In risposta, il consiglio esecutivo di Lamna ha autorizzato molte nuove risposte IT di sicurezza, tra cui l'inasprimento dei criteri per l'uso delle applicazioni e l'introduzione del controllo delle applicazioni.
Il prossimo
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per