Compreender as decisões de conceção da política do Controlo de Aplicações do Windows Defender
Observação
Algumas capacidades do Controlo de Aplicações do Windows Defender (WDAC) só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade da funcionalidade Controlo de Aplicações do Windows Defender.
Este artigo destina-se ao profissional de TI. Lista as perguntas de conceção, possíveis respostas e ramificações para decisões tomadas, ao planear a implementação de políticas de controlo de aplicações com o Controlo de Aplicações do Windows Defender (WDAC), num ambiente de sistema operativo Windows.
Quando iniciar o processo de conceção e planeamento, deve considerar as ramificações das suas escolhas de design. As decisões resultantes afetarão o esquema de implementação de políticas e a manutenção subsequente da política de controlo de aplicações.
Deve considerar a utilização do Controlo de Aplicações do Windows Defender como parte das políticas de controlo de aplicações da sua organização se o seguinte for verdadeiro:
- Implementou ou planeou implementar as versões suportadas do Windows na sua organização.
- Precisa de um controlo melhorado sobre o acesso às aplicações da sua organização e aos dados aos quais os utilizadores acedem.
- A sua organização tem um processo bem definido para a gestão e implementação de aplicações.
- Tem recursos para testar políticas em relação aos requisitos da organização.
- Tem recursos para envolver o Suporte Técnico ou criar um processo de ajuda autónoma para problemas de acesso à aplicação do utilizador final.
- Os requisitos do grupo para produtividade, capacidade de gestão e segurança podem ser controlados por políticas restritivas.
Decidir que políticas criar
A partir do Windows 10, versão 1903, o Controlo de Aplicações do Windows Defender permite que sejam aplicadas várias políticas simultâneas a cada dispositivo. Esta aplicação simultânea abre muitos novos casos de utilização para as organizações, mas a sua gestão de políticas pode facilmente tornar-se difícil sem um plano bem pensado para o número e tipos de políticas a criar.
O primeiro passo é definir o "círculo de confiança" pretendido para as suas políticas WDAC. Por "círculo de confiança", queremos dizer uma descrição da intenção empresarial da política expressa em linguagem natural. Esta definição de "círculo de confiança" irá guiá-lo à medida que cria as regras de política reais para o seu XML de política.
Por exemplo, a política DefaultWindows, que pode ser encontrada em %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, estabelece um "círculo de confiança" que permite o Windows, controladores de kernel de hardware e software de terceiros e aplicações da Microsoft Store.
O Configuration Manager utiliza a política DefaultWindows como base para a respetiva política, mas, em seguida, modifica as regras de política para permitir o Configuration Manager e as respetivas dependências, define a regra de política do instalador gerido e, além disso, configura o Configuration Manager como um instalador gerido. Opcionalmente, também pode autorizar aplicações com uma reputação positiva e efetuar uma análise única dos caminhos de pasta especificados pelo administrador do Configuration Manager, que adiciona regras para todas as aplicações encontradas nos caminhos especificados no ponto final gerido. Este processo estabelece o "circle-of-trust" para a integração WDAC nativa do Configuration Manager.
As perguntas seguintes podem ajudá-lo a planear a implementação do Controlo de Aplicações do Windows Defender e a determinar o "círculo de confiança" certo para as suas políticas. Não estão por ordem prioritária ou sequencial e não se destinam a ser um conjunto exaustivo de considerações de design.
Considerações de design do WDAC
Como é que as aplicações são geridas e implementadas na sua organização?
As organizações com processos de implementação e gestão de aplicações bem definidos e geridos centralmente podem criar políticas mais restritivas e mais seguras. Outras organizações podem ser capazes de implementar o Controlo de Aplicações do Windows Defender com regras mais flexíveis ou podem optar por implementar o WDAC no modo de auditoria para obter uma melhor visibilidade das aplicações que estão a ser utilizadas na organização.
| Respostas possíveis | Considerações de design |
|---|---|
| Todas as aplicações são geridas e implementadas centralmente através de ferramentas de gestão de pontos finais, como o Microsoft Intune. | As organizações que gerem centralmente todas as aplicações são as mais adequadas para o controlo de aplicações. As opções de Controlo de Aplicações do Windows Defender, como o instalador gerido , podem facilitar a autorização de aplicações implementadas pela solução de gestão de distribuição de aplicações da organização. |
| Algumas aplicações são geridas e implementadas centralmente, mas as equipas podem instalar outras aplicações para os respetivos membros. | As políticas suplementares podem ser utilizadas para permitir exceções específicas da equipa à sua principal política de Controlo de Aplicações do Windows Defender em toda a organização. Em alternativa, as equipas podem utilizar instaladores geridos para instalar as respetivas aplicações específicas da equipa ou podem ser utilizadas regras de caminho de ficheiro apenas para administradores para permitir aplicações instaladas por utilizadores administradores. |
| Os utilizadores e as equipas são gratuitos para transferir e instalar aplicações, mas a organização quer restringir esse direito apenas a aplicações predominantes e de renome. | O Controlo de Aplicações do Windows Defender pode ser integrado com o Graph de Segurança Inteligente da Microsoft (a mesma fonte de informações que alimenta o Antivírus do Microsoft Defender e o Windows Defender SmartScreen) para permitir apenas aplicações e binários com uma reputação positiva. |
| Os utilizadores e as equipas são gratuitos para transferir e instalar aplicações sem restrições. | As políticas de Controlo de Aplicações do Windows Defender podem ser implementadas no modo de auditoria para obter informações sobre as aplicações e binários em execução na sua organização sem afetar a produtividade do utilizador e da equipa. |
As aplicações e aplicações de linha de negócio (LOB) desenvolvidas internamente são desenvolvidas por empresas de terceiros assinadas digitalmente?
As aplicações Win32 tradicionais no Windows podem ser executadas sem serem assinadas digitalmente. Esta prática pode expor dispositivos Windows a código malicioso ou adulterado e apresenta uma vulnerabilidade de segurança aos seus dispositivos Windows. A adoção da assinatura de código como parte das práticas de desenvolvimento de aplicações da sua organização ou o aumento de aplicações com ficheiros de catálogo assinados como parte da ingestão e distribuição de aplicações pode melhorar consideravelmente a integridade e a segurança das aplicações utilizadas.
| Respostas possíveis | Considerações de design |
|---|---|
| Todas as aplicações utilizadas na sua organização têm de estar assinadas. | As organizações que impõem a atribuição de códigos para todos os códigos executáveis estão mais bem posicionadas para proteger os respetivos computadores Windows contra a execução de código malicioso. As regras de Controlo de Aplicações do Windows Defender podem ser criadas para autorizar aplicações e binários das equipas de desenvolvimento interno da organização e de fornecedores de software independentes de confiança (ISV). |
| As aplicações utilizadas na sua organização não precisam de cumprir os requisitos de atribuição de código. | As organizações podem utilizar ferramentas incorporadas do Windows para adicionar assinaturas do Catálogo de Aplicações específicas da organização a aplicações existentes como parte do processo de implementação de aplicações, que podem ser utilizadas para autorizar a execução de código. Soluções como o Microsoft Intune oferecem várias formas de distribuir Catálogos de Aplicações assinados. |
Existem grupos específicos na sua organização que precisam de políticas de controlo de aplicações personalizadas?
A maioria das equipas empresariais ou departamentos tem requisitos de segurança específicos relativos ao acesso aos dados e às aplicações utilizadas para aceder a esses dados. Considere o âmbito do projeto para cada grupo e as prioridades do grupo antes de implementar políticas de controlo de aplicações para toda a organização. Existem sobrecargas na gestão de políticas que podem levá-lo a escolher entre políticas abrangentes e de toda a organização e várias políticas específicas da equipa.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | As políticas WDAC podem ser criadas exclusivas por equipa ou as políticas suplementares específicas da equipa podem ser utilizadas para expandir o que é permitido por uma política de base comum e definida centralmente. |
| Não | As políticas WDAC podem ser aplicadas globalmente a aplicações instaladas em PCs com o Windows 10 e o Windows 11. Dependendo do número de aplicações que precisa de controlar, gerir todas as regras e exceções pode ser um desafio. |
O seu departamento de TI tem recursos para analisar a utilização de aplicações e para estruturar e gerir as políticas?
O tempo e os recursos que estão disponíveis para realizar a pesquisa e a análise podem afetar os detalhes do seu plano e processos para continuar a gestão e manutenção de políticas.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | Invista o tempo necessário para analisar os requisitos de controlo de aplicações da sua organização e planeie uma implementação completa que utilize regras que são construídas o mais possível. |
| Não | Considere uma implementação focada e faseada para grupos específicos com poucas regras. À medida que aplica controlos a aplicações num grupo específico, aprenda com essa implementação para planear a sua próxima implementação. Em alternativa, pode criar uma política com um perfil de confiança abrangente para autorizar o maior número possível de aplicações. |
A sua organização tem suporte para o Suporte Técnico?
Impedir que os seus utilizadores acedam a aplicações conhecidas, implementadas ou pessoais causará inicialmente um aumento no suporte do utilizador final. Será necessário resolver os vários problemas de suporte na sua organização para que as políticas de segurança sejam seguidas e o fluxo de trabalho empresarial não seja dificultado.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | Envolva o departamento de suporte no início da fase de planeamento porque os seus utilizadores podem inadvertidamente ser impedidos de utilizar as respetivas aplicações ou podem procurar exceções para utilizar aplicações específicas. |
| Não | Invista tempo no desenvolvimento de processos de suporte online e documentação antes da implementação. |