Compartilhar via

Gestão do Controlo de Aplicações do Windows Defender com Configuration Manager

  • Artigo

Aplica-se a: Configuration Manager (branch atual)

O Controlo de Aplicações do Windows Defender foi concebido para proteger dispositivos contra software maligno e outro software não fidedigno. Impede a execução de código malicioso ao garantir que apenas o código aprovado, sabe, pode ser executado.

O Controlo de Aplicações é uma camada de segurança baseada em software que impõe uma lista explícita de software que tem permissão para ser executado num PC. Por si só, o Controlo de Aplicações não tem quaisquer pré-requisitos de hardware ou firmware. As políticas de Controlo de Aplicações implementadas com Configuration Manager ativar uma política em dispositivos em coleções direcionadas que cumpram os requisitos mínimos de SKU e versão do Windows descritos neste artigo. Opcionalmente, a proteção baseada no hipervisor das políticas de Controlo de Aplicações implementadas através de Configuration Manager pode ser ativada através da política de grupo em hardware compatível.

Para obter mais informações, veja o Guia de implementação do Controlo de Aplicações do Windows Defender.

Observação

Esta funcionalidade era anteriormente conhecida como integridade de código configurável e Device Guard.

Utilizar o Controlo de Aplicações com Configuration Manager

Pode utilizar Configuration Manager para implementar uma política de Controlo de Aplicações. Esta política permite-lhe configurar o modo no qual o Controlo de Aplicações é executado em dispositivos numa coleção.

Pode configurar um dos seguintes modos:

  1. Imposição ativada – apenas os executáveis fidedignos podem ser executados.
  2. Apenas auditoria – permita a execução de todos os executáveis, mas registe executáveis não fidedignos que são executados no registo de eventos do cliente local.

O que pode ser executado quando implementa uma política de Controlo de Aplicações?

O Controlo de Aplicações permite-lhe controlar fortemente o que pode ser executado nos dispositivos que gere. Esta funcionalidade pode ser útil para dispositivos em departamentos de alta segurança, onde é vital que o software indesejado não possa ser executado.

Normalmente, quando implementa uma política, os seguintes executáveis podem ser executados:

  • Componentes do SO Windows
  • Controladores do Hardware Dev Center com assinaturas do Windows Hardware Quality Labs
  • Aplicativos da Microsoft Store
  • O cliente Configuration Manager
  • Todo o software implementado através de Configuration Manager que os dispositivos instalam depois de processarem a política de Controlo de Aplicações
  • Atualizações a componentes incorporados do Windows a partir de:
    • Windows Update
    • Windows Update para Empresas
    • Windows Server Update Services
    • Configuration Manager
    • Opcionalmente, o software com uma boa reputação, conforme determinado pelo Microsoft Intelligent Security Graph (ISG). O ISG inclui o Windows Defender SmartScreen e outros serviços Microsoft. O dispositivo tem de ter o Windows Defender SmartScreen e Windows 10 versão 1709 ou posterior para que este software seja considerado fidedigno.

Importante

Estes itens não incluem software que não esteja incorporado no Windows que atualize automaticamente a partir da Internet ou atualizações de software de terceiros. Esta limitação aplica-se quer estejam instalados por qualquer um dos mecanismos de atualização listados ou a partir da Internet. O Controlo de Aplicações só permite alterações de software implementadas através do cliente Configuration Manager.

Sistemas operacionais com suporte

Para utilizar o Controlo de Aplicações com Configuration Manager, os dispositivos têm de executar versões suportadas de:

  • Windows 11 ou posterior, Edição Enterprise
  • Windows 10 ou posterior, Edição Enterprise
  • Windows Server 2019 ou posterior

Dica

As políticas de Controlo de Aplicações existentes criadas com Configuration Manager versão 2006 ou anterior não funcionarão com o Windows Server. Para suportar o Windows Server, crie novas políticas de Controlo de Aplicações.

Antes de começar

  • Depois de uma política ser processada com êxito num dispositivo, Configuration Manager é configurada como um instalador gerido nesse cliente. Após os processos de política, o software implementado pelo Configuration Manager é automaticamente fidedigno. Antes de o dispositivo processar a política de Controlo de Aplicações, o software instalado por Configuration Manager não é automaticamente fidedigno.

    Observação

    Por exemplo, não pode utilizar o passo Instalar Aplicação numa sequência de tarefas para instalar aplicações durante uma implementação do SO. Para obter mais informações, veja Passos de sequência de tarefas – Instalar a Aplicação.

  • A agenda de avaliação de conformidade predefinida das políticas de Controlo de Aplicações é diária. Esta agenda é configurável durante a implementação da política. Se detetar problemas no processamento de políticas, configure a agenda de avaliação de compatibilidade para ser mais frequente. Por exemplo, a cada hora. Esta agenda dita a frequência com que os clientes se reativam para processar uma política de Controlo de Aplicações se ocorrer uma falha.

  • Independentemente do modo de imposição que selecionar, quando implementa uma política de Controlo de Aplicações, os dispositivos não podem executar aplicações HTML com a extensão de .hta ficheiro.

Criar uma política de Controlo de Aplicações

  1. No console do Configuration Manager, vá até o workspace Ativos e Conformidade.

  2. Expanda Endpoint Protection e, em seguida, selecione o nó Controlo de Aplicações do Windows Defender .

  3. No separador Base do friso, no grupo Criar , selecione Criar Política de Controlo de Aplicações.

  4. Na página Geral do Assistente para Criar Política de Controlo de Aplicações, especifique as seguintes definições:

    • Nome: introduza um nome exclusivo para esta política de Controlo de Aplicações.

    • Descrição: opcionalmente, introduza uma descrição para a política que o ajude a identificá-la na consola do Configuration Manager.

    • Impor um reinício dos dispositivos para que esta política possa ser imposta para todos os processos: após o dispositivo processar a política, é agendado um reinício no cliente de acordo com as Definições de Cliente para Reinício do Computador. As aplicações atualmente em execução no dispositivo só aplicarão a nova política de Controlo de Aplicações após um reinício. No entanto, as aplicações iniciadas após a aplicação da política respeitarão a nova política.

    • Modo de Imposição: escolha um dos seguintes métodos de imposição:

      • Imposição Ativada: apenas as aplicações fidedignas podem ser executadas.

      • Apenas auditoria: permita que todas as aplicações sejam executadas, mas registe programas não fidedignos executados. As mensagens de auditoria estão no registo de eventos do cliente local.

  5. No separador Inclusãos do Assistente para Criar Política de Controlo de Aplicações, escolha se pretende Autorizar software fidedigno pelo Gráfico de Segurança Inteligente.

  6. Se quiser adicionar confiança a ficheiros ou pastas específicos em dispositivos, selecione Adicionar. Na caixa de diálogo Adicionar Ficheiro ou Pasta Fidedigno , pode especificar um ficheiro local ou um caminho de pasta para confiar. Também pode especificar um caminho de ficheiro ou pasta num dispositivo remoto no qual tenha permissão para se ligar. Quando adiciona confiança a ficheiros ou pastas específicos numa política de Controlo de Aplicações, pode:

    • Supere os problemas com os comportamentos do instalador gerido.

    • Confie em aplicações de linha de negócio que não pode implementar com Configuration Manager.

    • Confiar nas aplicações incluídas numa imagem de implementação do SO.

  7. Conclua o assistente.

Implementar uma política de Controlo de Aplicações

  1. No console do Configuration Manager, vá até o workspace Ativos e Conformidade.

  2. Expanda Endpoint Protection e, em seguida, selecione o nó Controlo de Aplicações do Windows Defender .

  3. Na lista de políticas, selecione aquela que pretende implementar. No separador Base do friso, no grupo Implementação , selecione Implementar Política de Controlo de Aplicações.

  4. Na caixa de diálogo Implementar política de Controlo de Aplicações , selecione a coleção na qual pretende implementar a política. Em seguida, configure uma agenda para quando os clientes avaliam a política. Por fim, selecione se o cliente pode avaliar a política fora de quaisquer janelas de manutenção configuradas.

  5. Quando terminar, selecione OK para implementar a política.

Monitorizar uma política de Controlo de Aplicações

Em geral, utilize as informações no artigo Monitorizar definições de conformidade . Estas informações podem ajudá-lo a monitorizar se a política implementada foi aplicada corretamente a todos os dispositivos.

Para monitorizar o processamento de uma política de Controlo de Aplicações, utilize o seguinte ficheiro de registo nos dispositivos:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Para verificar se o software específico está a ser bloqueado ou auditado, veja os seguintes registos de eventos do cliente local:

  • Para bloquear e auditar ficheiros executáveis, utilize Registos de Aplicações e Serviços>> MicrosoftWindows>Code Integrity>Operational.

  • Para bloquear e auditar o Windows Installer e os ficheiros de script, utilize Registos de Aplicações e Serviços>microsoft>Windows>AppLocker>MSI e Script.

Informações de segurança e privacidade

  • Os dispositivos que tenham uma política implementada nos mesmos no modo Apenas de Auditoria ou Ativação Ativada , mas que não tenham sido reiniciados para impor a política, são vulneráveis à instalação de software não fidedigno. Nesta situação, o software pode continuar a ser executado mesmo que o dispositivo reinicie ou receba uma política no modo Ativado para Imposição .

  • Para ajudar na eficácia da política de Controlo de Aplicações, prepare primeiro o dispositivo num ambiente de laboratório. Implemente uma política Ativada pela Imposição e, em seguida, reinicie o dispositivo. Depois de verificar se as aplicações funcionam, dê o dispositivo ao utilizador.

  • Não implemente uma política com a Imposição Ativada e, mais tarde, implemente uma política com Apenas Auditoria no mesmo dispositivo. Esta configuração pode resultar na permissão de execução de software não fidedigno.

  • Quando utiliza Configuration Manager para ativar o Controlo de Aplicações em dispositivos, a política não impede que os utilizadores com direitos de administrador local contornem as políticas de Controlo de Aplicações ou executem software não fidedigno.

  • A única forma de impedir que os utilizadores com direitos de administrador local desativem o Controlo de Aplicações é implementar uma política binária assinada. Esta implementação é possível através da política de grupo, mas não é atualmente suportada no Configuration Manager.

  • Configurar Configuration Manager como um instalador gerido em dispositivos utiliza uma política do Windows AppLocker. O AppLocker só é utilizado para identificar instaladores geridos. Todas as imposiçãos ocorrem com o Controlo de Aplicações.

Próximas etapas

Gerenciar políticas antimalware e configurações de firewall