Condividi tramite


Panoramica di Controllo app per le aziende e AppLocker

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Windows 10 e Windows 11 includono due tecnologie che possono essere usate per il controllo delle applicazioni, a seconda degli scenari e dei requisiti specifici dell'organizzazione: Controllo app per le aziende e AppLocker.

Controllo app per le aziende

Controllo app è stato introdotto con Windows 10 e consente alle organizzazioni di controllare quali driver e applicazioni possono essere eseguiti nei client Windows. È stato progettato come funzionalità di sicurezza in base ai criteri di manutenzione, definiti dal Microsoft Security Response Center (MSRC).

I criteri di Controllo app si applicano all'intero computer gestito e interessano tutti gli utenti del dispositivo. Le regole di Controllo app possono essere definite in base a:

  • Attributi dei certificati di progettazione condivisa usati per firmare un'app e i relativi file binari
  • Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file
  • La reputazione dell'app determinata da Intelligent Security Graph di Microsoft
  • Identità del processo che ha avviato l'installazione dell'app e dei relativi file binari (programma di installazione gestito)
  • Percorso da cui viene avviata l'app o il file (a partire da Windows 10 versione 1903)
  • Processo che ha avviato l'app o il file binario

Nota

Il controllo app è stato rilasciato originariamente come parte di Device Guard e denominato integrità del codice configurabile. Device Guard e l'integrità del codice configurabile non vengono più usati se non per trovare dove distribuire i criteri di controllo delle app tramite Criteri di gruppo.

Requisiti di sistema per il controllo delle app

I criteri di Controllo app possono essere creati e applicati in qualsiasi edizione client di Windows 10 o Windows 11 o in Windows Server 2016 e versioni successive. I criteri di Controllo app possono essere distribuiti tramite una soluzione MDM (Mobile Gestione dispositivi), ad esempio Intune, un'interfaccia di gestione come Configuration Manager o un host di script come PowerShell. Criteri di gruppo può essere usato anche per distribuire i criteri di controllo delle app, ma è limitato ai criteri di formato a singolo criterio che funzionano su Windows Server 2016 e 2019.

Per altre informazioni sulle singole funzionalità di Controllo app disponibili in compilazioni specifiche di Controllo app, vedere Disponibilità delle funzionalità di Controllo app.

AppLocker

AppLocker è stato introdotto con Windows 7 e consente alle organizzazioni di controllare quali applicazioni possono essere eseguite nei client Windows. AppLocker consente di impedire agli utenti finali di eseguire software non approvato nei computer, ma non soddisfa i criteri di manutenzione per essere una funzionalità di sicurezza.

I criteri di AppLocker possono essere applicati a tutti gli utenti di un computer o a singoli utenti e gruppi. Le regole di AppLocker possono essere definite in base a:

  • Attributi dei certificati di progettazione condivisa usati per firmare un'app e i relativi file binari.
  • Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file.
  • Percorso da cui viene avviata l'app o il file.

AppLocker viene usato anche da alcune funzionalità di Controllo app, tra cui il programma di installazione gestito e Intelligent Security Graph.

Requisiti di sistema di AppLocker

I criteri di AppLocker possono essere configurati e applicati solo ai dispositivi in esecuzione nelle versioni e nelle edizioni supportate del sistema operativo Windows. Per altre info, vedi Requisiti per l'uso di AppLocker. I criteri di AppLocker possono essere distribuiti usando Criteri di gruppo o MDM.

Scegliere quando usare Il controllo app o AppLocker

In genere, i clienti che sono in grado di implementare il controllo dell'applicazione usando Controllo app, anziché AppLocker, devono farlo. Controllo app sta subendo continui miglioramenti e viene aggiunto il supporto dalle piattaforme di gestione Microsoft. Anche se AppLocker continua a ricevere correzioni di sicurezza, non sta ottenendo nuovi miglioramenti delle funzionalità.

In alcuni casi, tuttavia, AppLocker potrebbe essere la tecnologia più appropriata per l'organizzazione. AppLocker è ideale quando:

  • Si dispone di un ambiente del sistema operativo Windows misto ed è necessario applicare gli stessi controlli dei criteri a Windows 10 e versioni precedenti del sistema operativo.
  • È necessario applicare criteri diversi per utenti o gruppi diversi nei computer condivisi.
  • Non si vuole applicare il controllo dell'applicazione ai file dell'applicazione, ad esempio DLL o driver.

AppLocker può anche essere distribuito come complemento a Controllo app per aggiungere regole specifiche dell'utente o del gruppo per gli scenari di dispositivi condivisi, in cui è importante impedire ad alcuni utenti di eseguire app specifiche. Come procedura consigliata, è consigliabile applicare il controllo app al livello più restrittivo possibile per l'organizzazione e quindi usare AppLocker per ottimizzare ulteriormente le restrizioni.