Condividi tramite


Gestione di Windows Defender Application Control con Configuration Manager

Si applica a: Configuration Manager (Current Branch)

Windows Defender Application Control è progettato per proteggere i dispositivi da malware e altro software non attendibile. Impedisce l'esecuzione di codice dannoso assicurandosi che sia possibile eseguire solo il codice approvato, che si conosce.

Il controllo delle applicazioni è un livello di sicurezza basato sul software che applica un elenco esplicito di software che può essere eseguito in un PC. Il controllo delle applicazioni non dispone di prerequisiti hardware o firmware. I criteri di controllo delle applicazioni distribuiti con Configuration Manager abilitare un criterio nei dispositivi nelle raccolte di destinazione che soddisfano i requisiti minimi per la versione di Windows e lo SKU descritti in questo articolo. Facoltativamente, la protezione basata su hypervisor dei criteri di controllo delle applicazioni distribuiti tramite Configuration Manager può essere abilitata tramite criteri di gruppo su hardware con supporto.

Per altre informazioni, vedere la guida alla distribuzione di Windows Defender Application Control.

Nota

Questa funzionalità era nota in precedenza come integrità del codice configurabile e Device Guard.

Uso del controllo applicazione con Configuration Manager

È possibile usare Configuration Manager per distribuire un criterio di controllo delle applicazioni. Questo criterio consente di configurare la modalità di esecuzione del controllo applicazione nei dispositivi di una raccolta.

È possibile configurare una delle modalità seguenti:

  1. Imposizione abilitata : è consentita l'esecuzione solo di eseguibili attendibili.
  2. Solo controllo : consente l'esecuzione di tutti i file eseguibili, ma registra i file eseguibili non attendibili eseguiti nel registro eventi del client locale.

Cosa può essere eseguito quando si distribuiscono criteri di controllo delle applicazioni?

Il controllo delle applicazioni consente di controllare con forza ciò che può essere eseguito nei dispositivi gestiti. Questa funzionalità può essere utile per i dispositivi nei reparti ad alta sicurezza, in cui è fondamentale che il software indesiderato non possa essere eseguito.

Quando si distribuisce un criterio, in genere è possibile eseguire i file eseguibili seguenti:

  • Componenti del sistema operativo Windows
  • Driver di Hardware Dev Center con firme di Windows Hardware Quality Labs
  • App di Microsoft Store
  • Client Configuration Manager
  • Tutto il software distribuito tramite Configuration Manager installato dai dispositivi dopo l'elaborazione dei criteri di controllo delle applicazioni
  • Aggiornamenti ai componenti predefiniti di Windows da:
    • Windows Update
    • Windows Update per le aziende
    • Windows Server Update Services
    • Configuration Manager
    • Facoltativamente, il software con una buona reputazione come determinato da Microsoft Intelligent Security Graph (ISG). L'ISG include Windows Defender SmartScreen e altri servizi Microsoft. Il dispositivo deve eseguire Windows Defender SmartScreen e Windows 10 versione 1709 o successiva affinché il software sia attendibile.

Importante

Questi elementi non includono software che non sia integrato in Windows che viene aggiornato automaticamente da Internet o da aggiornamenti software di terze parti. Questa limitazione si applica se sono installati da uno dei meccanismi di aggiornamento elencati o da Internet. Controllo applicazione consente solo modifiche software distribuite tramite il client Configuration Manager.

Sistemi operativi supportati

Per usare il controllo delle applicazioni con Configuration Manager, i dispositivi devono eseguire versioni supportate di:

  • Windows 11 o versione successiva, Enterprise Edition
  • Windows 10 o versione successiva, Enterprise Edition
  • Windows Server 2019 o versione successiva

Consiglio

I criteri di controllo delle applicazioni esistenti creati con Configuration Manager versione 2006 o precedente non funzionano con Windows Server. Per supportare Windows Server, creare nuovi criteri di controllo delle applicazioni.

Prima di iniziare

  • Dopo aver elaborato correttamente un criterio in un dispositivo, Configuration Manager viene configurato come programma di installazione gestito in tale client. Dopo i processi dei criteri, il software distribuito da Configuration Manager viene automaticamente considerato attendibile. Prima che il dispositivo elabori i criteri di controllo delle applicazioni, il software installato da Configuration Manager non è considerato automaticamente attendibile.

    Nota

    Ad esempio, non è possibile usare il passaggio Installa applicazione in una sequenza di attività per installare le applicazioni durante una distribuzione del sistema operativo. Per altre informazioni, vedere Passaggi della sequenza di attività - Installare l'applicazione.

  • La pianificazione di valutazione della conformità predefinita per i criteri di controllo delle applicazioni è ogni giorno. Questa pianificazione è configurabile durante la distribuzione dei criteri. Se si riscontrano problemi nell'elaborazione dei criteri, configurare la pianificazione della valutazione della conformità in modo che sia più frequente. Ad esempio, ogni ora. Questa pianificazione determina la frequenza con cui i client tentano di elaborare un criterio di controllo delle applicazioni in caso di errore.

  • Indipendentemente dalla modalità di imposizione selezionata, quando si distribuiscono criteri di controllo delle applicazioni, i dispositivi non possono eseguire applicazioni HTML con l'estensione di .hta file.

Creare un criterio di controllo delle applicazioni

  1. Nella console di Configuration Manager passare all'area di lavoro Asset e conformità.

  2. Espandere Endpoint Protection e quindi selezionare il nodo Windows Defender Application Control .

  3. Nel gruppo Crea della scheda Home della barra multifunzione selezionare Crea criteri di controllo applicazione.

  4. Nella pagina Generale della Creazione guidata criteri di controllo applicazione specificare le impostazioni seguenti:

    • Nome: immettere un nome univoco per questo criterio di controllo dell'applicazione.

    • Descrizione: facoltativamente, immettere una descrizione per i criteri che consente di identificarlo nella console di Configuration Manager.

    • Imporre un riavvio dei dispositivi in modo che questo criterio possa essere applicato per tutti i processi: dopo che il dispositivo ha elaborato il criterio, viene pianificato un riavvio nel client in base alle impostazioni client per il riavvio del computer. Le applicazioni attualmente in esecuzione nel dispositivo non applicano i nuovi criteri di controllo delle applicazioni fino a dopo un riavvio. Tuttavia, le applicazioni avviate dopo l'applicazione dei criteri rispettano i nuovi criteri.

    • Modalità di imposizione: scegliere uno dei metodi di imposizione seguenti:

      • Imposizione abilitata: è consentita l'esecuzione solo di applicazioni attendibili.

      • Solo controllo: consente l'esecuzione di tutte le applicazioni, ma registra i programmi non attendibili eseguiti. I messaggi di controllo si trovano nel registro eventi del client locale.

  5. Nella scheda Inclusioni della Creazione guidata criteri di controllo applicazione scegliere se si vuole autorizzare il software considerato attendibile da Intelligent Security Graph.

  6. Per aggiungere attendibilità per file o cartelle specifici nei dispositivi, selezionare Aggiungi. Nella finestra di dialogo Aggiungi file o cartella attendibile è possibile specificare un file locale o un percorso di cartella da considerare attendibile. È anche possibile specificare un percorso di file o cartella in un dispositivo remoto in cui si dispone dell'autorizzazione per la connessione. Quando si aggiunge l'attendibilità per file o cartelle specifici in un criterio di controllo delle applicazioni, è possibile:

    • Risolvere i problemi relativi ai comportamenti del programma di installazione gestito.

    • Considerare attendibili le app line-of-business che non è possibile distribuire con Configuration Manager.

    • Considerare attendibili le app incluse in un'immagine di distribuzione del sistema operativo.

  7. Completare la procedura guidata.

Distribuire un criterio di controllo delle applicazioni

  1. Nella console di Configuration Manager passare all'area di lavoro Asset e conformità.

  2. Espandere Endpoint Protection e quindi selezionare il nodo Windows Defender Application Control .

  3. Nell'elenco dei criteri selezionare quello che si vuole distribuire. Nel gruppo Distribuzione della scheda Home della barra multifunzione selezionare Distribuisci criteri di controllo applicazione.

  4. Nella finestra di dialogo Distribuisci criteri di controllo applicazione selezionare la raccolta in cui si desidera distribuire il criterio. Configurare quindi una pianificazione per quando i client valutano i criteri. Infine, selezionare se il client può valutare i criteri al di fuori di qualsiasi finestra di manutenzione configurata.

  5. Al termine, selezionare OK per distribuire i criteri.

Monitorare i criteri di controllo delle applicazioni

In generale, usare le informazioni nell'articolo Monitorare le impostazioni di conformità . Queste informazioni consentono di monitorare che i criteri distribuiti sono stati applicati correttamente a tutti i dispositivi.

Per monitorare l'elaborazione di un criterio di controllo delle applicazioni, usare il file di log seguente nei dispositivi:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Per verificare il software specifico bloccato o controllato, vedere i log eventi client locali seguenti:

  • Per bloccare e controllare i file eseguibili, usare registri> applicazioni e servizi Microsoft >Windows>Code Integrity>Operational.

  • Per bloccare e controllare i file di script e Windows Installer, usare i log delle applicazioni e dei> serviziMicrosoft>Windows>AppLocker>MSI e Script.

Informazioni sulla sicurezza e sulla privacy

  • I dispositivi con un criterio distribuito in modalità Solo controllo o Imposizione abilitata , ma non riavviati per applicare i criteri, sono vulnerabili all'installazione di software non attendibile. In questo caso, il software potrebbe continuare a essere eseguito anche se il dispositivo viene riavviato o riceve un criterio in modalità Di imposizione abilitata .

  • Per facilitare l'efficacia dei criteri di controllo delle applicazioni, preparare prima di tutto il dispositivo in un ambiente lab. Distribuire un criterio Di imposizione abilitato , quindi riavviare il dispositivo. Dopo aver verificato il funzionamento delle app, assegnare il dispositivo all'utente.

  • Non distribuire un criterio con Imposizione abilitata e quindi distribuire un criterio con Solo controllo nello stesso dispositivo. Questa configurazione potrebbe comportare l'esecuzione di software non attendibile.

  • Quando si usa Configuration Manager per abilitare il controllo delle applicazioni nei dispositivi, i criteri non impediscono agli utenti con diritti di amministratore locale di aggirare i criteri di controllo delle applicazioni o di eseguire in altro modo software non attendibile.

  • L'unico modo per impedire agli utenti con diritti di amministratore locale di disabilitare il controllo delle applicazioni consiste nel distribuire un criterio binario firmato. Questa distribuzione è possibile tramite Criteri di gruppo, ma attualmente non è supportata in Configuration Manager.

  • La configurazione di Configuration Manager come programma di installazione gestito nei dispositivi usa un criterio di Windows AppLocker. AppLocker viene usato solo per identificare i programmi di installazione gestiti. Tutte le imposizioni avvengono con il controllo applicazione.

Passaggi successivi

Gestire i criteri antimalware e le impostazioni del firewall