Descrição Geral do Controlo de Aplicações para Empresas e do AppLocker

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Windows 10 e Windows 11 incluem duas tecnologias que podem ser utilizadas para o controlo de aplicações, consoante os cenários e requisitos específicos da sua organização: Controlo de Aplicações para Empresas e AppLocker.

Controlo de Aplicações para Empresas

O Controlo de Aplicações foi introduzido com Windows 10 e permite que as organizações controlem que controladores e aplicações podem ser executados nos seus clientes Windows. Foi concebido como uma funcionalidade de segurança nos critérios de manutenção, definidos pelo Centro de Resposta de Segurança da Microsoft (MSRC).

As políticas de Controlo de Aplicações aplicam-se ao computador gerido como um todo e afetam todos os utilizadores do dispositivo. As regras de Controlo de Aplicações podem ser definidas com base em:

  • Atributos dos certificados de atribuição de código utilizados para assinar uma aplicação e os respetivos binários
  • Atributos dos binários da aplicação provenientes dos metadados assinados para os ficheiros, como Nome de Ficheiro Original e versão, ou o hash do ficheiro
  • A reputação da aplicação, conforme determinado pelo Gráfico de Segurança Inteligente da Microsoft
  • A identidade do processo que iniciou a instalação da aplicação e dos respetivos binários (instalador gerido)
  • O caminho a partir do qual a aplicação ou o ficheiro é iniciado (a partir do Windows 10 versão 1903)
  • O processo que iniciou a aplicação ou o binário

Observação

O Controlo de Aplicações foi originalmente lançado como parte do Device Guard e denominado integridade de código configurável. O Device Guard e a integridade do código configurável já não são utilizados, exceto para saber onde implementar a política de Controlo de Aplicações através de Política de Grupo.

Requisitos do Sistema de Controlo de Aplicações

As políticas de Controlo de Aplicações podem ser criadas e aplicadas em qualquer edição de cliente de Windows 10 ou Windows 11, ou em Windows Server 2016 e superiores. As políticas de Controlo de Aplicações podem ser implementadas através de uma solução de Gerenciamento de Dispositivos Móvel (MDM), por exemplo, Intune; uma interface de gestão como Configuration Manager; ou um anfitrião de scripts como o PowerShell. Política de Grupo também podem ser utilizadas para implementar políticas de Controlo de Aplicações, mas está limitada a políticas de formato de política única que funcionam no Windows Server 2016 e 2019.

Para obter mais informações sobre as funcionalidades individuais do Controlo de Aplicações que estão disponíveis em compilações específicas do Controlo de Aplicações, veja Disponibilidade de funcionalidades do Controlo de Aplicações.

AppLocker

O AppLocker foi introduzido com o Windows 7 e permite que as organizações controlem as aplicações que podem ser executadas nos seus clientes Windows. O AppLocker ajuda a impedir que os utilizadores finais executem software não aprovado nos respetivos computadores, mas não cumpre os critérios de manutenção para serem uma funcionalidade de segurança.

As políticas do AppLocker podem ser aplicadas a todos os utilizadores num computador ou a utilizadores e grupos individuais. As regras do AppLocker podem ser definidas com base em:

  • Atributos dos certificados de atribuição de código utilizados para assinar uma aplicação e os respetivos binários.
  • Atributos dos binários da aplicação provenientes dos metadados assinados para os ficheiros, como Nome de Ficheiro Original e versão, ou o hash do ficheiro.
  • O caminho a partir do qual a aplicação ou ficheiro é iniciado.

O AppLocker também é utilizado por algumas funcionalidades do Controlo de Aplicações, incluindo o instalador gerido e o Gráfico de Segurança Inteligente.

Requisitos de Sistema do AppLocker

As políticas do AppLocker só podem ser configuradas e aplicadas a dispositivos em execução nas versões e edições suportadas do sistema operativo Windows. Para obter mais informações, consulte Requisitos para usar o AppLocker. As políticas do AppLocker podem ser implementadas com Política de Grupo ou MDM.

Escolher quando utilizar o Controlo de Aplicações ou o AppLocker

Geralmente, os clientes que são capazes de implementar o controlo de aplicações com o Controlo de Aplicações, em vez do AppLocker, devem fazê-lo. O Controlo de Aplicações está a sofrer melhorias contínuas e está a receber suporte adicional das plataformas de gestão da Microsoft. Embora o AppLocker continue a receber correções de segurança, não está a receber novas melhorias de funcionalidades.

No entanto, em alguns casos, o AppLocker pode ser a tecnologia mais adequada para a sua organização. O AppLocker é o melhor quando:

  • Tem um ambiente de sistema operativo Windows (SO) misto e tem de aplicar os mesmos controlos de política a Windows 10 e versões anteriores do SO.
  • Tem de aplicar políticas diferentes para diferentes utilizadores ou grupos em computadores partilhados.
  • Não quer impor o controlo da aplicação em ficheiros de aplicação, como DLLs ou controladores.

O AppLocker também pode ser implementado como um complemento do Controlo de Aplicações para adicionar regras específicas de utilizadores ou grupos para cenários de dispositivos partilhados, onde é importante impedir que alguns utilizadores executem aplicações específicas. Como melhor prática, deve impor o Controlo de Aplicações ao nível mais restritivo possível para a sua organização e, em seguida, pode utilizar o AppLocker para ajustar ainda mais as restrições.