Controllo delle applicazioni per Windows

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Con migliaia di nuovi file dannosi creati ogni giorno, l'uso di metodi tradizionali come il rilevamento basato su firma delle soluzioni antivirus per combattere il malware offre una difesa inadeguata contro i nuovi attacchi.

Nella maggior parte delle organizzazioni, le informazioni sono l'asset più prezioso e garantire che solo gli utenti approvati abbiano accesso a tali informazioni è fondamentale. Tuttavia, quando un utente esegue un processo, tale processo ha lo stesso livello di accesso ai dati dell'utente. Di conseguenza, le informazioni riservate potrebbero venire eliminate o divulgate all'esterno dell'organizzazione se un utente intenzionalmente o inconsapevolmente esegue software dannoso.

Il controllo delle applicazioni consente di attenuare questi tipi di minacce alla sicurezza limitando le applicazioni che gli utenti possono eseguire e il codice in esecuzione nel core di sistema (kernel). I criteri di controllo delle applicazioni possono anche bloccare gli script non firmati e gli identità del servizio gestito e limitare l'esecuzione di Windows PowerShell in modalità linguaggio vincolato.

Il controllo delle applicazioni è una linea di difesa cruciale per la protezione delle aziende dato il panorama delle minacce di oggi e ha un vantaggio intrinseco rispetto alle soluzioni antivirus tradizionali. In particolare, il controllo dell'applicazione si allontana da un modello di attendibilità dell'applicazione in cui tutte le applicazioni vengono considerate attendibili a una in cui le applicazioni devono ottenere attendibilità per l'esecuzione. Molte organizzazioni, come l'Australian Signals Directorate, comprendono il significato del controllo delle applicazioni e spesso citano il controllo delle applicazioni come uno dei mezzi più efficaci per affrontare la minaccia di malware eseguibile basato su file (.exe, .dll e così via).

Nota

Anche se il controllo delle applicazioni può rafforzare notevolmente i computer contro codice dannoso, è consigliabile continuare a mantenere una soluzione antivirus aziendale per un portfolio di sicurezza aziendale a tutto tondo.

Windows 10 e Windows 11 includono due tecnologie che possono essere usate per il controllo delle applicazioni a seconda degli scenari e dei requisiti specifici dell'organizzazione:

  • Controllo app per le aziende; e
  • AppLocker

Controllo app e controllo app intelligenti

A partire da Windows 11 versione 22H2, Il controllo app intelligente fornisce il controllo delle applicazioni per i consumer. Il controllo app intelligente è basato su Controllo app. Il controllo delle app consente ai clienti aziendali di creare criteri che offrono la stessa sicurezza e compatibilità di Smart App Control con la possibilità di personalizzare i criteri per l'esecuzione di app line-of-business (LOB). Per semplificare l'implementazione dei criteri, viene fornito un criterio di esempio . I criteri di esempio includono l'opzione Enabled:Conditional Windows Lockdown Policy che non è supportata per i criteri aziendali di Controllo app. Questa regola deve essere rimossa prima di usare i criteri di esempio. Per usare questo criterio di esempio come punto di partenza per la creazione di criteri personalizzati, vedere Creare un criterio di base personalizzato usando un criterio di base di Controllo app di esempio.

Il controllo app intelligente è disponibile solo in caso di installazione pulita di Windows 11 versione 22H2 o successiva e viene avviato in modalità di valutazione. Controllo app intelligente viene disattivato automaticamente per i dispositivi gestiti aziendali, a meno che l'utente non l'abbia attivato per primo. Per disattivare Il controllo delle app intelligenti negli endpoint dell'organizzazione, è possibile impostare il valore del Registro di sistema VerifiedAndReputablePolicyState (DWORD) in HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy come illustrato nella tabella seguente. Dopo aver modificato il valore del Registro di sistema, è necessario usare CiTool.exe -r per rendere effettiva la modifica.

Value Descrizione
0 Inattivo
1 Rinforzare
2 Valutazione

Importante

Dopo aver disattivato Smart App Control, non può essere attivato senza reimpostare o reinstallare Windows.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano Il controllo app per le aziende:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza di Controllo app sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.