Visão geral do Controle de Aplicativos do Windows Defender e do AppLocker

• Aplica-se a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Observação

Alguns recursos do WDAC (Controle de Aplicativos do Windows Defender) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso controle de aplicativos do Windows Defender.

O Windows 10 e Windows 11 incluem duas tecnologias que podem ser usadas para o controle de aplicativos, dependendo dos cenários e requisitos específicos da sua organização: o WDAC (Windows Defender Application Control) e o AppLocker.

Controle de Aplicativos do Windows Defender

O Windows Defender Application Control foi introduzido com o Windows 10 e permite que as organizações controlem quais drivers e aplicativos podem ser executados em seus clientes Windows. Ele foi projetado como um recurso de segurança sob os critérios de manutenção, definidos pelo MSRC (Centro de Resposta à Segurança da Microsoft).

As políticas de Controle de Aplicativos do Windows Defender se aplicam ao computador gerenciado como um todo e afetam todos os usuários do dispositivo. As regras do WDAC podem ser definidas com base em:

• Atributos dos certificados de codificação usados para assinar um aplicativo e seus binários
• Atributos dos binários do aplicativo provenientes dos metadados assinados para os arquivos, como Nome de Arquivo Original e versão, ou o hash do arquivo
• A reputação do aplicativo conforme determinado pelo Grafo de Segurança Inteligente da Microsoft
• A identidade do processo que iniciou a instalação do aplicativo e seus binários (instalador gerenciado)
• O caminho do qual o aplicativo ou arquivo é iniciado (começando com o Windows 10 versão 1903)
• O processo que iniciou o aplicativo ou binário

Observação

O WDAC foi originalmente lançado como parte do Device Guard e chamado de integridade de código configurável. A proteção de dispositivo e a integridade do código configurável não são mais usadas, exceto para localizar onde implantar a política WDAC por meio de Política de Grupo.

Requisitos do sistema WDAC

As políticas do WDAC (Controle de Aplicativos do Windows Defender) podem ser criadas e aplicadas em qualquer edição do cliente do Windows 10 ou Windows 11 ou em Windows Server 2016 e superior. As políticas do WDAC podem ser implantadas por meio de uma solução MDM (Mobile Gerenciamento de Dispositivos), por exemplo, Intune; uma interface de gerenciamento como Configuration Manager; ou um host de script como o PowerShell. Política de Grupo também pode ser usado para implantar políticas WDAC, mas está limitado a políticas de formato de política única que funcionam em Windows Server 2016 e 2019.

Para obter mais informações sobre quais recursos individuais do WDAC estão disponíveis em builds específicos do WDAC, confira Disponibilidade de recursos do WDAC.

AppLocker

O AppLocker foi introduzido com o Windows 7 e permite que as organizações controlem quais aplicativos podem ser executados em seus clientes Windows. O AppLocker ajuda a impedir que os usuários finais executem software não aprovado em seus computadores, mas não atende aos critérios de manutenção para ser um recurso de segurança.

As políticas do AppLocker podem ser aplicadas a todos os usuários em um computador ou a usuários e grupos individuais. As regras do AppLocker podem ser definidas com base em:

• Atributos dos certificados de codificação usados para assinar um aplicativo e seus binários.
• Atributos dos binários do aplicativo provenientes dos metadados assinados para os arquivos, como Nome de Arquivo Original e versão, ou o hash do arquivo.
• O caminho do qual o aplicativo ou o arquivo é iniciado.

Requisitos do sistema AppLocker

As políticas do AppLocker só podem ser configuradas e aplicadas a dispositivos que estão em execução nas versões e edições com suporte do sistema operacional Windows. Para obter mais informações, consulte Requisitos para usar o AppLocker. As políticas do AppLocker podem ser implantadas usando Política de Grupo ou MDM.

Escolha quando usar o WDAC ou o AppLocker

Geralmente, é recomendável que os clientes, que são capazes de implementar o controle de aplicativo usando o Controle de Aplicativos do Windows Defender em vez do AppLocker, façam isso. O WDAC está passando por melhorias contínuas e está recebendo suporte adicional das plataformas de gerenciamento da Microsoft. Embora o AppLocker continue recebendo correções de segurança, ele não está recebendo novos aprimoramentos de recursos.

No entanto, em alguns casos, o AppLocker pode ser a tecnologia mais apropriada para sua organização. O AppLocker é o melhor quando:

• Você tem um ambiente misto do sistema operacional Windows (sistema operacional) e precisa aplicar os mesmos controles de política ao Windows 10 e versões anteriores do sistema operacional.
• Você precisa aplicar políticas diferentes para diferentes usuários ou grupos em computadores compartilhados.
• Você não deseja impor o controle de aplicativo em arquivos de aplicativo, como DLLs ou drivers.

O AppLocker também pode ser implantado como um complemento ao WDAC (Controle de Aplicativo do Windows Defender) para adicionar regras específicas de usuário ou grupo para cenários de dispositivo compartilhado, em que é importante impedir que alguns usuários executem aplicativos específicos. Como uma prática recomendada, você deve impor o WDAC no nível mais restritivo possível para sua organização e, em seguida, você pode usar o AppLocker para ajustar ainda mais as restrições.