Controllo app

  • Articolo

Nota

La funzionalità di controllo dell'app è facoltativa. È necessario inviare una richiesta per attivare il controllo app.

Il controllo app è una procedura di sicurezza facoltativa di Microsoft Managed Desktop che limita l'esecuzione del codice nei dispositivi client.

Questo controllo riduce il rischio di malware o script dannosi. Il controllo richiede che possano essere eseguiti solo i codici firmati da un elenco di server di pubblicazione approvati dal cliente. Questo controllo offre molti vantaggi per la sicurezza, ma mira principalmente a proteggere i dati e l'identità dagli exploit basati sul client.

Microsoft Managed Desktop semplifica la gestione dei criteri di controllo delle app creando un criterio di base che consente scenari di produttività di base. È possibile estendere l'attendibilità ad altri firmatari specifici delle app e degli script nell'ambiente.

Qualsiasi tecnologia di sicurezza richiede un equilibrio tra esperienza utente, sicurezza e costi. Il controllo delle app riduce la minaccia di software dannoso nell'ambiente, ma esistono conseguenze per l'utente e ulteriori azioni per l'amministratore IT.

Sicurezza e responsabilità aggiuntive Descrizione
Altre opzioni di sicurezza Alle app o agli script non considerati attendibili dai criteri di controllo delle app viene impedita l'esecuzione nei dispositivi.
Le responsabilità aggiuntive dell’utente
  • L'utente è responsabile del test delle app per identificare se verranno bloccate dai criteri di controllo dell'applicazione.
  • Se un'app viene (o potrebbe venire) bloccata, l'utente è responsabile dell'identificazione dei dettagli del firmatario necessari. È necessario richiedere una modifica tramite l'interfaccia di amministrazione.
Ruoli e responsabilità di Microsoft Managed Desktop
  • Microsoft Managed Desktop mantiene i criteri di base che consentono l’uso dei prodotti Microsoft di base come Microsoft 365 Apps, Windows, Teams, OneDrive e così via.
  • Microsoft Managed Desktop inserisce i firmatari attendibili e distribuisce i criteri aggiornati ai dispositivi.

Gestione dell'attendibilità nelle applicazioni

Microsoft Managed Desktop cura un criterio di base che considera attendibili i componenti principali delle tecnologie Microsoft. A questo punto, l’utente aggiunge l'attendibilità per le proprie applicazioni e i propri script informando Microsoft Managed Desktop di quali app e script sono già attendibili.

Criteri di base

Microsoft Managed Desktop, in collaborazione con gli esperti di cybersicurezza di Microsoft, crea e mantiene un criterio standard. Questo criterio standard:

  • Abilita la maggior parte delle app distribuite tramite Microsoft Intune.
  • Blocca attività pericolose, ad esempio la compilazione del codice o l'esecuzione di file non attendibili.

Il criterio di base adotta l'approccio seguente per limitare l'esecuzione del software:

  • I file eseguiti dagli amministratori potranno essere eseguiti.
  • I file in posizioni che non si trovano nelle directory scrivibili dall'utente potranno essere eseguiti.
  • I file sono firmati da un firmatario attendibile.
  • La maggior parte dei file firmati da Microsoft verrà eseguita, tuttavia alcuni verranno bloccati per impedire azioni ad alto rischio come la compilazione del codice.

Se un utente, diverso da un amministratore, può aver aggiunto un'app o uno script a un dispositivo, ovvero si trova in una directory scrivibile dall'utente, non gli sarà consentita l'esecuzione. L'esecuzione verrà consentita se l'app o lo script è già stata consentita da un amministratore.

I criteri interromperanno l'esecuzione delle app negli scenari seguenti:

  • Se un utente è indotto a provare a installare malware.
  • Se una vulnerabilità in un'app eseguita dall'utente tenta di installare malware.
  • Se un utente tenta intenzionalmente di eseguire un'app o uno script non autorizzati.

Richieste del firmatario

L'utente ci informa di quali app vengono fornite dagli editori di software che si considera attendibili inviando una richiesta del firmatario. In questo modo:

  • Aggiungiamo tali informazioni di attendibilità ai criteri di controllo dell'applicazione di base.
  • Consentiamo l'esecuzione nei dispositivi di qualsiasi software firmato con il certificato dell'editore.

Criteri di controllo e applicazione

Microsoft Managed Desktop usa criteri Microsoft Intune per fornire il controllo delle app:

Criteri di controllo

Questo criterio crea log in cui registrare se un'app o uno script vengono bloccati dai criteri applicati.

I criteri di controllo non applicano le regole di controllo delle app. Sono pensati per scopi di test, al fine di identificare se un'applicazione richiederà un'esenzione dall'editore. Registra gli avvisi (eventi 8003 o 8006) nel Visualizzatore eventi invece di bloccare l'esecuzione o l'installazione di app o script specificati.

Criteri imposti

Questi criteri impediscono l'esecuzione di app e script non attendibili e creano un log ogni volta che un'app o uno script vengono bloccati. I criteri imposti impediscono agli utenti standard di eseguire app o script archiviati in directory scrivibili dall'utente.

Per i dispositivi inclusi nel gruppo Test viene applicato un criterio di controllo per verificare se eventuali applicazioni causeranno problemi. Tutti gli altri gruppi (First, Fast e Broad) usano un criterio imposto. Gli utenti di tali gruppi non saranno in grado di eseguire app o script non attendibili.