Comprendere Windows Defender decisioni di progettazione dei criteri di controllo delle applicazioni
Nota
Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.
Questo articolo è destinato al professionista IT. Elenca le domande di progettazione, le possibili risposte e le ramificazioni per le decisioni prese durante la pianificazione della distribuzione dei criteri di controllo delle applicazioni usando Windows Defender Controllo applicazioni (WDAC), all'interno di un ambiente del sistema operativo Windows.
Quando si inizia il processo di progettazione e pianificazione, è necessario considerare le ramificazioni delle scelte di progettazione. Le decisioni risultanti influiranno sullo schema di distribuzione dei criteri e sulla successiva manutenzione dei criteri di controllo delle applicazioni.
È consigliabile usare Windows Defender controllo delle applicazioni come parte dei criteri di controllo delle applicazioni dell'organizzazione, se sono vere le condizioni seguenti:
- È stata distribuita o si prevede di distribuire le versioni supportate di Windows nell'organizzazione.
- È necessario un controllo migliore sull'accesso alle applicazioni dell'organizzazione e sui dati a cui accedono gli utenti.
- L'organizzazione ha un processo ben definito per la gestione e la distribuzione delle applicazioni.
- Sono disponibili risorse per testare i criteri in base ai requisiti dell'organizzazione.
- Sono disponibili risorse per coinvolgere l'Help Desk o creare un processo di self-help per i problemi di accesso alle applicazioni dell'utente finale.
- I requisiti del gruppo per la produttività, la gestibilità e la sicurezza possono essere controllati da criteri restrittivi.
Decidere quali criteri creare
A partire da Windows 10 versione 1903, Windows Defender Controllo applicazioni consente di applicare più criteri simultanei a ogni dispositivo. Questa applicazione simultanea apre molti nuovi casi d'uso per le organizzazioni, ma la gestione dei criteri può facilmente diventare complessa senza un piano ben ponderato per il numero e i tipi di criteri da creare.
Il primo passaggio consiste nel definire il "cerchio di attendibilità" desiderato per i criteri WDAC. Per "circle-of-trust", si intende una descrizione della finalità aziendale del criterio espressa in linguaggio naturale. Questa definizione di "circle-of-trust" guiderà l'utente durante la creazione delle regole dei criteri effettive per il codice XML del criterio.
Ad esempio, il criterio DefaultWindows, disponibile in %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, stabilisce un "cerchio di attendibilità" che consente a Windows, ai driver del kernel hardware e software di terze parti e alle applicazioni di Microsoft Store.
Configuration Manager usa il criterio DefaultWindows come base per i criteri, ma quindi modifica le regole dei criteri per consentire Configuration Manager e le relative dipendenze, imposta la regola dei criteri del programma di installazione gestita e configura inoltre Configuration Manager come programma di installazione gestito. Può anche autorizzare facoltativamente le app con reputazione positiva ed eseguire un'analisi occasionale dei percorsi delle cartelle specificati dall'amministratore Configuration Manager, che aggiunge regole per tutte le app trovate nei percorsi specificati nell'endpoint gestito. Questo processo stabilisce il "cerchio di attendibilità" per l'integrazione WDAC nativa di Configuration Manager.
Le domande seguenti consentono di pianificare la distribuzione del controllo delle applicazioni Windows Defender e determinare il "cerchio di attendibilità" appropriato per i criteri. Non sono in ordine di priorità o sequenziale e non sono pensati per essere un set completo di considerazioni di progettazione.
Considerazioni sulla progettazione di WDAC
Come vengono gestite e distribuite le app nell'organizzazione?
Le organizzazioni con processi di distribuzione e gestione delle app ben definiti e gestiti centralmente possono creare criteri più restrittivi e più sicuri. Altre organizzazioni possono essere in grado di distribuire Windows Defender controllo delle applicazioni con regole più rilassate o possono scegliere di distribuire WDAC in modalità di controllo per ottenere una maggiore visibilità sulle app usate nell'organizzazione.
| Risposte possibili | Considerazioni per la progettazione |
|---|---|
| Tutte le app vengono gestite e distribuite centralmente usando strumenti di gestione degli endpoint come Microsoft Intune. | Le organizzazioni che gestiscono centralmente tutte le app sono più adatte per il controllo delle applicazioni. Windows Defender opzioni di controllo delle applicazioni, ad esempio il programma di installazione gestito, può semplificare l'autorizzazione delle app distribuite dalla soluzione di gestione della distribuzione delle app dell'organizzazione. |
| Alcune app vengono gestite e distribuite centralmente, ma i team possono installare altre app per i membri. | I criteri supplementari possono essere usati per consentire eccezioni specifiche del team ai criteri di controllo delle applicazioni Windows Defender principali a livello di organizzazione. In alternativa, i team possono usare programmi di installazione gestiti per installare le app specifiche del team oppure è possibile usare regole di percorso file solo amministratore per consentire l'installazione delle app da parte degli utenti amministratori. |
| Gli utenti e i team sono liberi di scaricare e installare le app, ma l'organizzazione vuole limitare tale diritto solo alle app prevalenti e affidabili. | Windows Defender controllo delle applicazioni può integrarsi con Intelligent Security Graph di Microsoft (la stessa fonte di intelligenza che alimenta Microsoft Defender Antivirus e Windows Defender SmartScreen) per consentire solo le app e i file binari con reputazione positiva. |
| Gli utenti e i team sono liberi di scaricare e installare le app senza restrizioni. | Windows Defender i criteri di controllo delle applicazioni possono essere distribuiti in modalità di controllo per ottenere informazioni dettagliate sulle app e i file binari in esecuzione nell'organizzazione senza influire sulla produttività di utenti e team. |
Le app line-of-business e le app line-of-business sviluppate internamente sono sviluppate da aziende di terze parti firmate digitalmente?
Le app Win32 tradizionali in Windows possono essere eseguite senza firma digitale. Questa procedura può esporre i dispositivi Windows a codice dannoso o manomesso e presenta una vulnerabilità di sicurezza per i dispositivi Windows. L'adozione della firma del codice come parte delle procedure di sviluppo delle app dell'organizzazione o l'aumento delle app con file di catalogo firmati come parte dell'inserimento e della distribuzione delle app possono migliorare notevolmente l'integrità e la sicurezza delle app usate.
| Risposte possibili | Considerazioni per la progettazione |
|---|---|
| Tutte le app usate nell'organizzazione devono essere firmate. | Le organizzazioni che applicano la progettazione condivisa per tutto il codice eseguibile sono posizionate in modo ottimale per proteggere i computer Windows dall'esecuzione di codice dannoso. Windows Defender regole di controllo delle applicazioni possono essere create per autorizzare app e file binari dai team di sviluppo interni dell'organizzazione e da fornitori di software indipendenti attendibili (ISV). |
| Le app usate nell'organizzazione non devono soddisfare i requisiti di progettazione condivisa. | Le organizzazioni possono usare gli strumenti predefiniti di Windows per aggiungere firme del Catalogo app specifiche dell'organizzazione alle app esistenti come parte del processo di distribuzione delle app, che può essere usato per autorizzare l'esecuzione del codice. Soluzioni come Microsoft Intune offrono più modi per distribuire cataloghi di app firmati. |
Nell'organizzazione sono presenti gruppi specifici che necessitano di criteri di controllo delle applicazioni personalizzati?
La maggior parte dei team aziendali o dei reparti ha requisiti di sicurezza specifici relativi all'accesso ai dati e alle applicazioni usate per accedere a tali dati. Considerare l'ambito del progetto per ogni gruppo e le priorità del gruppo prima di distribuire i criteri di controllo delle applicazioni per l'intera organizzazione. La gestione dei criteri comporta un sovraccarico che potrebbe portare a scegliere tra criteri generali a livello di organizzazione e più criteri specifici del team.
| Risposte possibili | Considerazioni per la progettazione |
|---|---|
| Sì | È possibile creare criteri WDAC univoci per ogni team o usare criteri supplementari specifici del team per espandere ciò che è consentito da un criterio di base comune e definito centralmente. |
| No | I criteri WDAC possono essere applicati a livello globale alle applicazioni installate nei PC che eseguono Windows 10 e Windows 11. A seconda del numero di app che è necessario controllare, la gestione di tutte le regole e le eccezioni potrebbe essere complessa. |
Il reparto IT dispone di risorse per analizzare l'utilizzo delle applicazioni e progettare e gestire i criteri?
Il tempo e le risorse disponibili per eseguire la ricerca e l'analisi possono influire sui dettagli del piano e dei processi per continuare la gestione e la manutenzione dei criteri.
| Risposte possibili | Considerazioni per la progettazione |
|---|---|
| Sì | Investire il tempo necessario per analizzare i requisiti di controllo delle applicazioni dell'organizzazione e pianificare una distribuzione completa che usi regole costruite il più possibile. |
| No | Si consideri una distribuzione mirata e in più fasi per gruppi specifici usando poche regole. Quando si applicano controlli alle applicazioni in un gruppo specifico, apprendere da tale distribuzione per pianificare la distribuzione successiva. In alternativa, è possibile creare un criterio con un profilo di attendibilità ampio per autorizzare il minor numero possibile di app. |
L'organizzazione dispone del supporto help desk?
Impedire agli utenti di accedere ad applicazioni note, distribuite o personali causerà inizialmente un aumento del supporto degli utenti finali. Sarà necessario risolvere i vari problemi di supporto nell'organizzazione in modo che vengano seguiti i criteri di sicurezza e che il flusso di lavoro aziendale non sia ostacolato.
| Risposte possibili | Considerazioni per la progettazione |
|---|---|
| Sì | Coinvolgere il reparto di supporto all'inizio della fase di pianificazione perché gli utenti potrebbero inavvertitamente essere bloccati dall'uso delle proprie applicazioni o potrebbero cercare eccezioni per usare applicazioni specifiche. |
| No | Investire tempo nello sviluppo di processi di supporto online e nella documentazione prima della distribuzione. |
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per