Compartilhar via


Compreender as decisões de conceção da política do Controlo de Aplicações para Empresas

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Este artigo destina-se ao profissional de TI. Lista as perguntas de conceção, possíveis respostas e ramificações para decisões tomadas, ao planear a implementação de políticas de Controlo de Aplicações com o Controlo de Aplicações para Empresas, num ambiente de sistema operativo Windows.

Quando iniciar o processo de conceção e planeamento, deve considerar as ramificações das suas escolhas de design. As decisões resultantes afetarão o esquema de implementação de políticas e a manutenção subsequente da política de Controlo de Aplicações.

Deve considerar a utilização do Controlo de Aplicações para Empresas como parte das políticas de Controlo de Aplicações da sua organização se o seguinte for verdadeiro:

  • Implementou ou planeou implementar as versões suportadas do Windows na sua organização.
  • Precisa de um controlo melhorado sobre o acesso às aplicações da sua organização e aos dados aos quais os utilizadores acedem.
  • A sua organização tem um processo bem definido para a gestão e implementação de aplicações.
  • Tem recursos para testar políticas em relação aos requisitos da organização.
  • Tem recursos para envolver o Suporte Técnico ou criar um processo de ajuda autónoma para problemas de acesso à aplicação do utilizador final.
  • Os requisitos do grupo para produtividade, capacidade de gestão e segurança podem ser controlados por políticas restritivas.

Decidir que políticas criar

A partir de Windows 10, versão 1903, o Controlo de Aplicações para Empresas permite que sejam aplicadas várias políticas simultâneas a cada dispositivo. Esta aplicação simultânea abre muitos novos casos de utilização para as organizações, mas a sua gestão de políticas pode facilmente tornar-se difícil sem um plano bem pensado para o número e tipos de políticas a criar.

O primeiro passo é definir o "círculo de confiança" pretendido para as políticas de Controlo de Aplicações. Por "círculo de confiança", queremos dizer uma descrição da intenção empresarial da política expressa em linguagem natural. Esta definição de "círculo de confiança" irá guiá-lo à medida que cria as regras de política reais para o seu XML de política.

Por exemplo, a política DefaultWindows, que pode ser encontrada em %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, estabelece um "círculo de confiança" que permite o Windows, controladores de kernel de hardware e software de terceiros e aplicações da Microsoft Store.

Configuration Manager utiliza a política DefaultWindows como base para a sua política, mas, em seguida, modifica as regras de política para permitir Configuration Manager e respetivas dependências, define a regra de política do instalador gerido e, além disso, configura Configuration Manager como um instalador gerido. Opcionalmente, também pode autorizar aplicações com uma reputação positiva e realizar uma análise única dos caminhos de pasta especificados pelo administrador Configuration Manager, que adiciona regras para todas as aplicações encontradas nos caminhos especificados no ponto final gerido. Este processo estabelece o "círculo de confiança" para a integração nativa do Controlo de Aplicações do Configuration Manager.

As perguntas seguintes podem ajudá-lo a planear a implementação do Controlo de Aplicações para Empresas e a determinar o "círculo de confiança" certo para as suas políticas. Não estão por ordem prioritária ou sequencial e não se destinam a ser um conjunto exaustivo de considerações de design.

Considerações de design do Controlo de Aplicações

Como é que as aplicações são geridas e implementadas na sua organização?

As organizações com processos de implementação e gestão de aplicações bem definidos e geridos centralmente podem criar políticas mais restritivas e mais seguras. Outras organizações podem ser capazes de implementar o Controlo de Aplicações para Empresas com regras mais flexíveis ou podem optar por implementar o Controlo de Aplicações no modo de auditoria para obter uma melhor visibilidade das aplicações que estão a ser utilizadas na organização.

Respostas possíveis Considerações de design
Todas as aplicações são geridas e implementadas centralmente com ferramentas de gestão de pontos finais, como Microsoft Intune. As organizações que gerem centralmente todas as aplicações são as mais adequadas para o Controlo de Aplicações. As opções do Controlo de Aplicações para Empresas, como o instalador gerido , podem facilitar a autorização de aplicações implementadas pela solução de gestão de distribuição de aplicações da organização.
Algumas aplicações são geridas e implementadas centralmente, mas as equipas podem instalar outras aplicações para os respetivos membros. As políticas suplementares podem ser utilizadas para permitir exceções específicas da equipa à sua política principal de Controlo de Aplicações para Empresas em toda a organização. Em alternativa, as equipas podem utilizar instaladores geridos para instalar as respetivas aplicações específicas da equipa ou podem ser utilizadas regras de caminho de ficheiro apenas para administradores para permitir aplicações instaladas por utilizadores administradores.
Os utilizadores e as equipas são gratuitos para transferir e instalar aplicações, mas a organização quer restringir esse direito apenas a aplicações predominantes e de renome. O Controlo de Aplicações para Empresas pode ser integrado com o Gráfico de Segurança Inteligente da Microsoft (a mesma origem de informações que alimenta o Antivírus Microsoft Defender e o Windows Defender SmartScreen) para permitir apenas aplicações e binários com uma reputação positiva.
Os utilizadores e as equipas são gratuitos para transferir e instalar aplicações sem restrições. As políticas de Controlo de Aplicações para Empresas podem ser implementadas no modo de auditoria para obter informações sobre as aplicações e binários em execução na sua organização sem afetar a produtividade do utilizador e da equipa.

As aplicações e aplicações de linha de negócio (LOB) desenvolvidas internamente são desenvolvidas por empresas de terceiros assinadas digitalmente?

As aplicações Win32 tradicionais no Windows podem ser executadas sem serem assinadas digitalmente. Esta prática pode expor dispositivos Windows a código malicioso ou adulterado e apresenta uma vulnerabilidade de segurança aos seus dispositivos Windows. A adoção da assinatura de código como parte das práticas de desenvolvimento de aplicações da sua organização ou o aumento de aplicações com ficheiros de catálogo assinados como parte da ingestão e distribuição de aplicações pode melhorar consideravelmente a integridade e a segurança das aplicações utilizadas.

Respostas possíveis Considerações de design
Todas as aplicações utilizadas na sua organização têm de estar assinadas. As organizações que impõem a atribuição de códigos para todos os códigos executáveis estão mais bem posicionadas para proteger os respetivos computadores Windows contra a execução de código malicioso. As regras do Controlo de Aplicações para Empresas podem ser criadas para autorizar aplicações e binários das equipas de desenvolvimento interno da organização e de fornecedores de software independentes de confiança (ISV).
As aplicações utilizadas na sua organização não precisam de cumprir os requisitos de atribuição de código. As organizações podem utilizar ferramentas incorporadas do Windows para adicionar assinaturas do Catálogo de Aplicações específicas da organização a aplicações existentes como parte do processo de implementação de aplicações, que podem ser utilizadas para autorizar a execução de código. Soluções como Microsoft Intune oferecem várias formas de distribuir Catálogos de Aplicações assinados.

Existem grupos específicos na sua organização que precisam de políticas personalizadas de Controlo de Aplicações?

A maioria das equipas empresariais ou departamentos tem requisitos de segurança específicos relativos ao acesso aos dados e às aplicações utilizadas para aceder a esses dados. Considere o âmbito do projeto para cada grupo e as prioridades do grupo antes de implementar políticas de Controlo de Aplicações para toda a organização. Existem sobrecargas na gestão de políticas que podem levá-lo a escolher entre políticas abrangentes e de toda a organização e várias políticas específicas da equipa.

Respostas possíveis Considerações de design
Sim As políticas de Controlo de Aplicações podem ser criadas exclusivamente por equipa ou as políticas suplementares específicas da equipa podem ser utilizadas para expandir o que é permitido por uma política base comum e definida centralmente.
Não As políticas de Controlo de Aplicações podem ser aplicadas globalmente a aplicações instaladas em PCs com Windows 10 e Windows 11. Dependendo do número de aplicações que precisa de controlar, gerir todas as regras e exceções pode ser um desafio.

O seu departamento de TI tem recursos para analisar a utilização de aplicações e para estruturar e gerir as políticas?

O tempo e os recursos que estão disponíveis para realizar a pesquisa e a análise podem afetar os detalhes do seu plano e processos para continuar a gestão e manutenção de políticas.

Respostas possíveis Considerações de design
Sim Invista o tempo necessário para analisar os requisitos do Controlo de Aplicações da sua organização e planeie uma implementação completa que utilize regras que são construídas o mais possível.
Não Considere uma implementação focada e faseada para grupos específicos com poucas regras. À medida que aplica controlos a aplicações num grupo específico, aprenda com essa implementação para planear a sua próxima implementação. Em alternativa, pode criar uma política com um perfil de confiança abrangente para autorizar o maior número possível de aplicações.

A sua organização tem suporte para o Suporte Técnico?

Impedir que os seus utilizadores acedam a aplicações conhecidas, implementadas ou pessoais causará inicialmente um aumento no suporte do utilizador final. Será necessário resolver os vários problemas de suporte na sua organização para que as políticas de segurança sejam seguidas e o fluxo de trabalho empresarial não seja dificultado.

Respostas possíveis Considerações de design
Sim Envolva o departamento de suporte no início da fase de planeamento porque os seus utilizadores podem inadvertidamente ser impedidos de utilizar as respetivas aplicações ou podem procurar exceções para utilizar aplicações específicas.
Não Invista tempo no desenvolvimento de processos de suporte online e documentação antes da implementação.