Descrição Geral do Controlo de Aplicações do Windows Defender e do AppLocker
Observação
Algumas capacidades do Controlo de Aplicações do Windows Defender (WDAC) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do WDAC.
O Windows 10 e o Windows 11 incluem duas tecnologias que podem ser utilizadas para o controlo de aplicações, consoante os cenários e requisitos específicos da sua organização: Windows Defender Application Control (WDAC) e AppLocker.
Controle de Aplicativos do Windows Defender
O WDAC foi introduzido com o Windows 10 e permite que as organizações controlem que controladores e aplicações podem ser executados nos seus clientes Windows. Foi concebido como uma funcionalidade de segurança nos critérios de manutenção, definidos pelo Centro de Resposta de Segurança da Microsoft (MSRC).
As políticas WDAC aplicam-se ao computador gerido como um todo e afetam todos os utilizadores do dispositivo. As regras WDAC podem ser definidas com base em:
- Atributos dos certificados de atribuição de código utilizados para assinar uma aplicação e os respetivos binários
- Atributos dos binários da aplicação provenientes dos metadados assinados para os ficheiros, como Nome de Ficheiro Original e versão, ou o hash do ficheiro
- A reputação da aplicação, conforme determinado pelo Gráfico de Segurança Inteligente da Microsoft
- A identidade do processo que iniciou a instalação da aplicação e dos respetivos binários (instalador gerido)
- O caminho a partir do qual a aplicação ou ficheiro é iniciado (a partir do Windows 10, versão 1903)
- O processo que iniciou a aplicação ou o binário
Observação
O WDAC foi originalmente lançado como parte do Device Guard e denominado integridade de código configurável. O Device Guard e a integridade do código configurável já não são utilizados, exceto para saber onde implementar a política WDAC através da Política de Grupo.
Requisitos de Sistema WDAC
As políticas WDAC podem ser criadas e aplicadas em qualquer edição de cliente do Windows 10 ou Windows 11, ou no Windows Server 2016 e superior. As políticas WDAC podem ser implementadas através de uma solução de Gestão de Dispositivos Móveis (MDM), por exemplo, o Intune; uma interface de gestão, como o Configuration Manager; ou um anfitrião de scripts, como o PowerShell. A Política de Grupo também pode ser utilizada para implementar políticas WDAC, mas está limitada a políticas de formato de política única que funcionam no Windows Server 2016 e 2019.
Para obter mais informações sobre as funcionalidades individuais do WDAC que estão disponíveis em compilações WDAC específicas, veja Disponibilidade de funcionalidades do WDAC.
AppLocker
O AppLocker foi introduzido com o Windows 7 e permite que as organizações controlem as aplicações que podem ser executadas nos seus clientes Windows. O AppLocker ajuda a impedir que os utilizadores finais executem software não aprovado nos respetivos computadores, mas não cumpre os critérios de manutenção para serem uma funcionalidade de segurança.
As políticas do AppLocker podem ser aplicadas a todos os utilizadores num computador ou a utilizadores e grupos individuais. As regras do AppLocker podem ser definidas com base em:
- Atributos dos certificados de atribuição de código utilizados para assinar uma aplicação e os respetivos binários.
- Atributos dos binários da aplicação provenientes dos metadados assinados para os ficheiros, como Nome de Ficheiro Original e versão, ou o hash do ficheiro.
- O caminho a partir do qual a aplicação ou ficheiro é iniciado.
O AppLocker também é utilizado por algumas funcionalidades do WDAC, incluindo o instalador gerido e o Gráfico de Segurança Inteligente.
Requisitos de Sistema do AppLocker
As políticas do AppLocker só podem ser configuradas e aplicadas a dispositivos em execução nas versões e edições suportadas do sistema operativo Windows. Para obter mais informações, consulte Requisitos para usar o AppLocker. As políticas do AppLocker podem ser implementadas com a Política de Grupo ou a MDM.
Escolher quando utilizar o WDAC ou o AppLocker
Geralmente, os clientes que conseguem implementar o controlo de aplicações com o WDAC, em vez do AppLocker, devem fazê-lo. O WDAC está a sofrer melhorias contínuas e está a receber suporte adicional das plataformas de gestão da Microsoft. Embora o AppLocker continue a receber correções de segurança, não está a receber novas melhorias de funcionalidades.
No entanto, em alguns casos, o AppLocker pode ser a tecnologia mais adequada para a sua organização. O AppLocker é o melhor quando:
- Tem um ambiente de sistema operativo Windows (SO) misto e tem de aplicar os mesmos controlos de política ao Windows 10 e versões anteriores do SO.
- Tem de aplicar políticas diferentes para diferentes utilizadores ou grupos em computadores partilhados.
- Não quer impor o controlo da aplicação em ficheiros de aplicação, como DLLs ou controladores.
O AppLocker também pode ser implementado como um complemento no WDAC para adicionar regras específicas de utilizadores ou grupos para cenários de dispositivos partilhados, onde é importante impedir que alguns utilizadores executem aplicações específicas. Como melhor prática, deve impor o WDAC ao nível mais restritivo possível para a sua organização e, em seguida, pode utilizar o AppLocker para ajustar ainda mais as restrições.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de