Panoramica di Controllo app per le aziende e AppLocker
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Windows 10 e Windows 11 includono due tecnologie che possono essere usate per il controllo delle applicazioni, a seconda degli scenari e dei requisiti specifici dell'organizzazione: Controllo app per le aziende e AppLocker.
Controllo app per le aziende
Controllo app è stato introdotto con Windows 10 e consente alle organizzazioni di controllare quali driver e applicazioni possono essere eseguiti nei client Windows. È stato progettato come funzionalità di sicurezza in base ai criteri di manutenzione, definiti dal Microsoft Security Response Center (MSRC).
I criteri di Controllo app si applicano all'intero computer gestito e interessano tutti gli utenti del dispositivo. Le regole di Controllo app possono essere definite in base a:
- Attributi dei certificati di progettazione condivisa usati per firmare un'app e i relativi file binari
- Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file
- La reputazione dell'app determinata da Intelligent Security Graph di Microsoft
- Identità del processo che ha avviato l'installazione dell'app e dei relativi file binari (programma di installazione gestito)
- Percorso da cui viene avviata l'app o il file (a partire da Windows 10 versione 1903)
- Processo che ha avviato l'app o il file binario
Nota
Il controllo app è stato rilasciato originariamente come parte di Device Guard e denominato integrità del codice configurabile. Device Guard e l'integrità del codice configurabile non vengono più usati se non per trovare dove distribuire i criteri di controllo delle app tramite Criteri di gruppo.
Requisiti di sistema per il controllo delle app
I criteri di Controllo app possono essere creati e applicati in qualsiasi edizione client di Windows 10 o Windows 11 o in Windows Server 2016 e versioni successive. I criteri di Controllo app possono essere distribuiti tramite una soluzione MDM (Mobile Gestione dispositivi), ad esempio Intune, un'interfaccia di gestione come Configuration Manager o un host di script come PowerShell. Criteri di gruppo può essere usato anche per distribuire i criteri di controllo delle app, ma è limitato ai criteri di formato a singolo criterio che funzionano su Windows Server 2016 e 2019.
Per altre informazioni sulle singole funzionalità di Controllo app disponibili in compilazioni specifiche di Controllo app, vedere Disponibilità delle funzionalità di Controllo app.
AppLocker
AppLocker è stato introdotto con Windows 7 e consente alle organizzazioni di controllare quali applicazioni possono essere eseguite nei client Windows. AppLocker consente di impedire agli utenti finali di eseguire software non approvato nei computer, ma non soddisfa i criteri di manutenzione per essere una funzionalità di sicurezza.
I criteri di AppLocker possono essere applicati a tutti gli utenti di un computer o a singoli utenti e gruppi. Le regole di AppLocker possono essere definite in base a:
- Attributi dei certificati di progettazione condivisa usati per firmare un'app e i relativi file binari.
- Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file.
- Percorso da cui viene avviata l'app o il file.
AppLocker viene usato anche da alcune funzionalità di Controllo app, tra cui il programma di installazione gestito e Intelligent Security Graph.
Requisiti di sistema di AppLocker
I criteri di AppLocker possono essere configurati e applicati solo ai dispositivi in esecuzione nelle versioni e nelle edizioni supportate del sistema operativo Windows. Per altre info, vedi Requisiti per l'uso di AppLocker. I criteri di AppLocker possono essere distribuiti usando Criteri di gruppo o MDM.
Scegliere quando usare Il controllo app o AppLocker
In genere, i clienti che sono in grado di implementare il controllo dell'applicazione usando Controllo app, anziché AppLocker, devono farlo. Controllo app sta subendo continui miglioramenti e viene aggiunto il supporto dalle piattaforme di gestione Microsoft. Anche se AppLocker continua a ricevere correzioni di sicurezza, non sta ottenendo nuovi miglioramenti delle funzionalità.
In alcuni casi, tuttavia, AppLocker potrebbe essere la tecnologia più appropriata per l'organizzazione. AppLocker è ideale quando:
- Si dispone di un ambiente del sistema operativo Windows misto ed è necessario applicare gli stessi controlli dei criteri a Windows 10 e versioni precedenti del sistema operativo.
- È necessario applicare criteri diversi per utenti o gruppi diversi nei computer condivisi.
- Non si vuole applicare il controllo dell'applicazione ai file dell'applicazione, ad esempio DLL o driver.
AppLocker può anche essere distribuito come complemento a Controllo app per aggiungere regole specifiche dell'utente o del gruppo per gli scenari di dispositivi condivisi, in cui è importante impedire ad alcuni utenti di eseguire app specifiche. Come procedura consigliata, è consigliabile applicare il controllo app al livello più restrittivo possibile per l'organizzazione e quindi usare AppLocker per ottimizzare ulteriormente le restrizioni.