Gestione di Controllo di applicazioni di Windows Defender con Configuration ManagerWindows Defender Application Control management with Configuration Manager

Si applica a: Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

IntroduzioneIntroduction

Controllo di applicazioni di Windows Defender è progettato per proteggere i PC da malware e altro software non attendibile.Windows Defender Application Control is designed to protect PCs against malware and other untrusted software. Impedisce l'esecuzione di codice dannoso, garantendo che solo il codice approvato e conosciuto possa essere eseguito.It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

Controllo di applicazioni di Windows Defender è un livello di protezione basato su software che applica un elenco esplicito di programmi software che possono essere eseguiti in un PC.Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. Autonomamente, Controllo di applicazioni non ha alcun prerequisito hardware o firmware.On its own, Application Control does not have any hardware or firmware prerequisites. I criteri di Controllo di applicazioni distribuiti con Configuration Manager abilitano un criterio nei PC inclusi in raccolte di destinazione che soddisfano i requisiti minimi relativi a SKU e versione di Windows descritti in questo articolo.Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. Facoltativamente, è possibile abilitare la protezione basata su hypervisor di Controllo di applicazioni distribuiti con Configuration Manager usando Criteri di gruppo su hardware idoneo.Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Per altre informazioni su Controllo di applicazioni di Windows Defender, vedere la Guida alla distribuzione di Controllo di applicazioni di Windows Defender.To learn more about Windows Defender Application Control, read the Windows Defender Application Control deployment guide.

Nota

  • A partire da Windows 10, versione 1709, i criteri di integrità del codice configurabili sono noti come Controllo di applicazioni di Windows Defender.Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.
  • A partire da Configuration Manager versione 1710, i criteri di Device Guard sono stati rinominati in criteri di Controllo di applicazioni di Windows Defender.Beginning in Configuration Manager version 1710, Device Guard policies have been renamed to Windows Defender Application Control policies.

Uso di Controllo di applicazioni di Windows Defender con Configuration ManagerUsing Windows Defender Application Control with Configuration Manager

È possibile usare Configuration Manager per distribuire criteri di Controllo di applicazioni di Windows Defender.You can use Configuration Manager to deploy a Windows Defender Application Control policy. Questi criteri consentono di configurare la modalità in cui eseguire Controllo di applicazioni di Windows Defender nei PC di una raccolta.This policy lets you configure the mode in which Windows Defender Application Control runs on PCs in a collection.

È possibile configurare una delle modalità seguenti:You can configure one of the following modes:

  1. Imposizione abilitata: è possibile eseguire solo file eseguibili attendibili.Enforcement enabled - Only trusted executables are allowed to run.
  2. Solo controllo: è possibile eseguire tutti i file eseguibili, ma quelli non attendibili vengono registrati nel Registro eventi del client locale.Audit only - Allow all executables to run, but log untrusted executables that run in the local client event log.

Suggerimento

Questa funzionalità è stata introdotta per la prima volta nella versione 1702 come funzionalità in versione non definitiva.This feature was first introduced in version 1702 as a pre-release feature. A partire dalla versione 1906, questa funzionalità non è più in versione non definitiva.Beginning with version 1906, it's no longer a pre-release feature.

Che cosa viene eseguito quando si distribuisce un criterio di controllo delle applicazioni di Windows Defender?What can run when you deploy a Windows Defender Application Control policy?

Controllo di applicazioni di Windows Defender consente di controllare rigorosamente cosa può essere eseguito sui PC gestiti dall'utente.Windows Defender Application Control lets you strongly control what can run on PCs you manage. Questa funzione può essere utile per i PC nei reparti ad alta sicurezza, in cui è fondamentale che impedire l'esecuzione di software indesiderato.This feature can be useful for PCs in high-security departments, where it's vital that unwanted software cannot run.

Quando si distribuisce un criterio, in genere, è possibile eseguire i file eseguibili seguenti:When you deploy a policy, typically, the following executables can run:

  • Componenti del sistema operativo WindowsWindows operating system components
  • Driver di Hardware Dev Center (con firme Windows Hardware Quality Labs)Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
  • App di Windows StoreWindows Store apps
  • Client di Configuration ManagerThe Configuration Manager client
  • Tutto il software distribuito tramite Configuration Manager e installato nei PC dopo l'elaborazione del criterio di controllo delle applicazioni di Windows Defender.All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
  • Aggiornamenti ai componenti di Windows da:Updates to windows components from:
    • Windows UpdateWindows Update
    • Windows Update for BusinessWindows Update for Business
    • Windows Server Update ServicesWindows Server Update Services
    • Configuration ManagerConfiguration Manager
    • Facoltativamente, il software considerato attendibile in base a quanto determinato da Microsoft Intelligent Security Graph.Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). Intelligent Security Graph include Windows Defender SmartScreen e altri servizi Microsoft.The ISG includes Windows Defender SmartScreen and other Microsoft services. Perché il software possa essere considerato attendibile, il dispositivo deve eseguire Windows Defender SmartScreen e Windows 10 versione 1709 o successiva.The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

Importante

Questi elementi non includono software non incorporato in Windows che venga aggiornato automaticamente da Internet o da aggiornamenti software di terze parti e che sia stato installato usando uno qualsiasi dei meccanismi di aggiornamento indicati in precedenza o da Internet.These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. Possono essere eseguite solo modifiche software distribuite tramite il client di Configuration Manager.Only software changes that are deployed though the Configuration Manager client can run.

Sistemi operativi supportatiSupported operating systems

Per usare Controllo di applicazioni di Windows Defender con Configuration Manager, i dispositivi gestiti devono eseguire:To use Windows Defender Application Control with Configuration Manager, devices you manage must be running:

  • Windows 10 Enterprise versione 1703 o successiva.Windows 10 Enterprise version 1703, or later.
  • Windows Server 2019 o versioni successive (introdotto nella versione 2010)Windows Server 2019, or later (Introduced in version 2010)

Suggerimento

Creare nuovi criteri destinati ai sistemi operativi Windows Server dopo l'installazione di Configuration Manager 2010 e l'installazione del client aggiornato.Create new policies to target Windows Server operating systems after installation of Configuration Manager 2010 and installing the updated client. I criteri di controllo delle applicazioni di Windows Defender esistenti creati prima dell'installazione della versione 2010 non funzionano con i sistemi operativi Windows Server.Existing Windows Defender Application Control polices created prior to installing 2010 won't work with Windows Server operating systems.

Prima di iniziareBefore you start

Prima di configurare o distribuire criteri di controllo delle applicazioni di Windows Defender, leggere le informazioni seguenti:Before you configure or deploy Windows Defender Application Control policies, read the following information:

  • Dopo che il criterio è stato elaborato correttamente in un computer client, Configuration Manager viene configurato come programma di installazione gestito in tale client.Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. Il software distribuito tramite quest'ultimo, dopo l'elaborazione del criterio, viene automaticamente considerato attendibile.Software deployed through it, after the policy processes, is automatically trusted. Il software installato da Configuration Manager prima dell'elaborazione del criterio di Controllo di applicazioni di Windows Defender non è considerato automaticamente attendibile.Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
  • In base alla pianificazione, configurabile durante la distribuzione, la valutazione della conformità predefinita per i criteri di Controllo di applicazioni avviene ogni giorno.The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Se si rilevano problemi nell'elaborazione dei criteri, può essere utile configurare una pianificazione di valutazione di conformità più breve, ad esempio ogni ora.If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Questa pianificazione determina la frequenza con cui i client riprovano a elaborare un criterio di Controllo di applicazioni di Windows Defender in caso di errore.This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
  • Indipendentemente dalla modalità di applicazione selezionata, quando si distribuisce un criterio di controllo delle applicazioni di Windows Defender, i PC client non possono eseguire applicazioni HTML con estensione hta.Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.
  • Creare nuovi criteri destinati ai sistemi operativi Windows Server dopo l'installazione di Configuration Manager 2010 e l'installazione del client aggiornato.Create new policies to target Windows Server operating systems after installation of Configuration Manager 2010 and installing the updated client. I criteri di controllo delle applicazioni di Windows Defender esistenti creati prima dell'installazione della versione 2010 non funzionano con i sistemi operativi Windows Server.Existing Windows Defender Application Control polices created prior to installing 2010 won't work with Windows Server operating systems.

Come creare criteri di controllo delle applicazioni di Windows DefenderHow to create a Windows Defender Application Control policy

  1. Nella console di Configuration Manager fare clic su Asset e conformità.In the Configuration Manager console, click Assets and Compliance.
  2. Nell'area di lavoro Asset e conformità espandere Endpoint Protection e quindi fare clic su Controllo delle applicazioni di Windows Defender.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. Nella scheda Home, nel gruppo Crea fare clic su Crea un criterio di controllo delle applicazioni.On the Home tab, in the Create group, click Create Application Control policy.
  4. Nella pagina Generale della Create Application Control policy Wizard (Creazione guidata criteri di Controllo di applicazioni) specificare le informazioni seguenti:On the General page of the Create Application Control policy Wizard, specify the following settings:
    • Nome: immettere un nome univoco per il criterio di controllo delle applicazioni di Windows Defender.Name - Enter a unique name for this Windows Defender Application Control policy.
    • Descrizione: facoltativamente, immettere una descrizione per il criterio che consenta di identificarlo nella console di Configuration Manager.Description - Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
    • Imponi un riavvio dei dispositivi in modo che questo criterio possa essere applicato per tutti i processi: dopo l'elaborazione del criterio in un PC client, viene pianificato un riavvio nel client in base a quanto specificato in Impostazioni client per Riavvio del computer.Enforce a restart of devices so that this policy can be enforced for all processes - After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
      • I dispositivi che eseguono Windows 10 versione 1703 o precedente verranno sempre riavviati automaticamente.Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
      • A partire da Windows 10 versione 1709, il nuovo criterio di Controllo di applicazioni verrà applicato alle applicazioni attualmente in esecuzione nel dispositivo solo dopo il riavvio.Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. Le applicazioni avviate dopo l'applicazione del criterio rispetteranno tuttavia il nuovo criterio di Controllo di applicazioni.However, applications launched after the policy applies will honor the new Application Control policy.
    • Modalità di imposizione: scegliere uno dei metodi di imposizione di Controllo di applicazioni di Windows Defender seguenti sul PC client.Enforcement Mode - Choose one of the following enforcement methods for Windows Defender Application Control on the client PC.
      • Imposizione abilitata: è possibile eseguire solo file eseguibili attendibili.Enforcement Enabled - Only allow trusted executables are allowed to run.
      • Solo controllo: è possibile eseguire tutti i file eseguibili, ma quelli non attendibili vengono registrati nel Registro eventi del client locale.Audit Only - Allow all executables to run, but log untrusted executables that run in the local client event log.
  5. Nella scheda Inclusioni della procedura guidata Crea un criterio di controllo delle applicazioni scegliere se si vuole autorizzare il software ritenuto attendibile da Intelligent Security Graph.On the Inclusions tab of the Create Application Control policy Wizard, choose if you want to Authorize software that is trusted by the Intelligent Security Graph.
  6. Fare clic su Aggiungi per aggiungere il trust per file o cartelle specifiche sui PC.Click Add if you want to add trust for specific files or folders on PCs. Nella finestra di dialogo Aggiungi file o cartella attendibile è possibile specificare un percorso di file o cartella locale da considerare attendibile.In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. È anche possibile specificare un percorso di file o cartella su un dispositivo remoto a cui si è autorizzati a connettersi.You can also specify a file or folder path on a remote device on which you have permission to connect. Se si configura il trust per cartelle o file specifici in un criterio di Controllo di applicazioni di Windows Defender, è possibile:When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
    • Risolvere i problemi relativi ai comportamenti del programma di installazione gestitoOvercome issues with managed installer behaviors
    • Rendere attendibili le app line-of-business che non possono essere distribuite con Configuration ManagerTrust line-of-business apps that cannot be deployed with Configuration Manager
    • Rendere attendibili le app incluse in un'immagine di distribuzione del sistema operativo.Trust apps that are included in an operating system deployment image.
  7. Fare clic su Avanti per completare la procedura guidata.Click Next, to complete the wizard.

Importante

L'inclusione di file o cartelle attendibili è supportata solo nei PC client che eseguono la versione 1706 o versioni successive del client di Configuration Manager.The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Se si aggiungono regole di inclusione in un criterio di controllo delle applicazioni di Windows Defender e il criterio viene quindi distribuito in un PC client che esegue una versione precedente del client di Configuration Manager, il criterio non verrà applicato.If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Per risolvere il problema, aggiornare questi client precedenti.Upgrading these older clients will resolve this issue. I criteri che non comprendono regole di inclusione possono comunque essere applicati alle versioni precedenti del client di Configuration Manager.Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

Come distribuire criteri di controllo delle applicazioni di Windows DefenderHow to deploy a Windows Defender Application Control policy

  1. Nella console di Configuration Manager fare clic su Asset e conformità.In the Configuration Manager console, click Assets and Compliance.
  2. Nell'area di lavoro Asset e conformità espandere Endpoint Protection e quindi fare clic su Controllo delle applicazioni di Windows Defender.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. Nell'elenco dei profili selezionare il profilo da distribuire e fare clic su Distribuisci un criterio di controllo delle applicazioni nel gruppo Distribuzione della scheda Home.From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
  4. Nella finestra di dialogo Distribuisci un criterio di controllo delle applicazioni selezionare la raccolta in cui si vuole distribuire il criterio,In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. quindi configurare una pianificazione per la valutazione del criterio da parte dei client.Then, configure a schedule for when clients evaluate the policy. Selezionare infine se i client possono valutare i criteri al di fuori delle finestre di manutenzione configurate.Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
  5. Al termine, fare clic su OK per distribuire il criterio.When you are finished, click OK to deploy the policy.

Come monitorare i criteri di controllo delle applicazioni di Windows DefenderHow to monitor a Windows Defender Application Control policy

Usare le informazioni contenute nell'argomento Monitorare le impostazioni di conformità per controllare che il criterio distribuito sia stato applicato correttamente a tutti i PC.Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

Per monitorare l'elaborazione di un criterio di controllo delle applicazioni di Windows Defender, usare il file di log seguente nei PC client:To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Per verificare che il software specifico sia bloccato o controllato, vedere i registri eventi seguenti del client locale:To verify the specific software being blocked or audited, see the following local client event logs:

  1. Per il blocco e controllo di file eseguibili, usare Registri applicazioni e servizi > Microsoft > Windows > Integrità del codice > Operativo.For blocking and auditing of executable files, use Applications and Services Logs > Microsoft > Windows > Code Integrity > Operational.
  2. Per il blocco e il controllo di Windows Installer e dei file di script, usare Registri applicazioni e servizi > Microsoft > Windows > AppLocker > MSI e Script.For blocking and auditing of Windows Installer and script files, use Applications and Services Logs > Microsoft > Windows > AppLocker > MSI and Script.

Informazioni sulla sicurezza e la privacy per Controllo di applicazioni di Windows DefenderSecurity and privacy information for Windows Defender Application Control

  • I dispositivi in cui è stato distribuito un criterio in modalità Solo controllo o Imposizione abilitata, ma che non sono ancora stati riavviati per rendere effettivo il criterio sono vulnerabili nei confronti di eventuale software non attendibile installato.Devices that have a policy deployed to them in Audit Only or Enforcement Enabled mode that have not been restarted to enforce the policy, are vulnerable to untrusted software being installed. In questo caso, l'esecuzione del software potrebbe ancora essere consentita anche se il dispositivo si riavvia o riceve un criterio in modalità Imposizione abilitata.In this situation, the software might continue to be allowed to run even if the device restarts, or receives a policy in Enforcement Enabled mode.
  • Per assicurarsi che il criterio di controllo delle applicazioni di Windows Defender sia valido, preparare il dispositivo in un ambiente lab.To ensure that the Windows Defender Application Control policy is effective, prepare the device in a lab environment. Distribuire quindi il criterio con Imposizione abilitata e infine riavviare il dispositivo prima di consegnarlo a un utente finale.Then, deploy the Enforcement Enabled policy, and finally, restart the device before you give the device to an end user.
  • Non distribuire un criterio in modalità Imposizione abilitata per poi distribuire in un secondo momento un criterio in modalità Solo controllo nello stesso dispositivo.Do not deploy a policy with Enforcement Enabled, and then later deploy a policy with Audit Only to the same device. Questa configurazione potrebbe consentire l'esecuzione di software non attendibile.This configuration might result in untrusted software being allowed to run.
  • Quando si usa Configuration Manager per abilitare Controllo di applicazioni di Windows Defender sui PC client, il sistema non impedisce agli utenti con diritti di amministratore locale di eludere i criteri di Controllo di applicazioni o di eseguire in altro modo software non attendibile.When you use Configuration Manager to enable Windows Defender Application Control on client PCs, the policy does not prevent users with local administrator rights from circumventing the Application Control policies or otherwise executing untrusted software.
  • L'unico modo per impedire agli utenti con diritti di amministratore locale di disabilitare Controllo di applicazioni consiste nel distribuire un criterio binario firmato,The only way to prevent users with local administrator rights from disabling Application Control is to deploy a signed binary policy. operazione possibile con Criteri di gruppo, ma non attualmente supportata in Configuration Manager.This deployment is possible through Group Policy but not currently supported in Configuration Manager.
  • La configurazione di Configuration Manager come programma di installazione gestito nei PC client usa criteri di AppLocker.Setting up Configuration Manager as a Managed Installer on client PCs uses AppLocker policy. AppLocker è usato solo per identificare i programmi di installazione gestiti e qualsiasi imposizione avviene con Controllo delle applicazioni di Windows Defender.AppLocker is only used to identify Managed Installers and all enforcement happens with Windows Defender Application Control.

Passaggi successiviNext steps

Gestire i criteri antimalware e le impostazioni del firewallManage antimalware policies and firewall settings