Windows Defender Controllo applicazione e Panoramica di AppLocker
Nota
Alcune funzionalità di Windows Defender controllo delle applicazioni (WDAC) sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità WDAC.
Windows 10 e Windows 11 includono due tecnologie che possono essere usate per il controllo delle applicazioni, a seconda degli scenari e dei requisiti specifici dell'organizzazione: Windows Defender Application Control (WDAC) e AppLocker.
Controllo di applicazioni di Windows Defender
WDAC è stato introdotto con Windows 10 e consente alle organizzazioni di controllare quali driver e applicazioni possono essere eseguiti nei client Windows. È stato progettato come funzionalità di sicurezza in base ai criteri di manutenzione, definiti dal Microsoft Security Response Center (MSRC).
I criteri WDAC si applicano al computer gestito nel suo complesso e interessano tutti gli utenti del dispositivo. Le regole WDAC possono essere definite in base a:
- Attributi dei certificati di progettazione condivisa usati per firmare un'app e i relativi file binari
- Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file
- La reputazione dell'app determinata da Intelligent Security Graph di Microsoft
- Identità del processo che ha avviato l'installazione dell'app e dei relativi file binari (programma di installazione gestito)
- Percorso da cui viene avviata l'app o il file (a partire da Windows 10 versione 1903)
- Processo che ha avviato l'app o il file binario
Nota
WDAC è stato originariamente rilasciato come parte di Device Guard e chiamato integrità del codice configurabile. Device Guard e l'integrità del codice configurabile non vengono più usati se non per trovare dove distribuire i criteri WDAC tramite Criteri di gruppo.
Requisiti di sistema WDAC
I criteri WDAC possono essere creati e applicati a qualsiasi edizione client di Windows 10 o Windows 11 o in Windows Server 2016 e versioni successive. I criteri WDAC possono essere distribuiti tramite una soluzione MDM (Mobile Gestione dispositivi), ad esempio Intune, un'interfaccia di gestione come Configuration Manager o un host di script come PowerShell. Criteri di gruppo può essere usato anche per distribuire i criteri WDAC, ma è limitato ai criteri di formato a singolo criterio che funzionano su Windows Server 2016 e 2019.
Per altre informazioni sulle singole funzionalità di WDAC disponibili in compilazioni WDAC specifiche, vedere Disponibilità delle funzionalità WDAC.
AppLocker
AppLocker è stato introdotto con Windows 7 e consente alle organizzazioni di controllare quali applicazioni possono essere eseguite nei client Windows. AppLocker consente di impedire agli utenti finali di eseguire software non approvato nei computer, ma non soddisfa i criteri di manutenzione per essere una funzionalità di sicurezza.
I criteri di AppLocker possono essere applicati a tutti gli utenti di un computer o a singoli utenti e gruppi. Le regole di AppLocker possono essere definite in base a:
- Attributi dei certificati di progettazione condivisa usati per firmare un'app e i relativi file binari.
- Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file.
- Percorso da cui viene avviata l'app o il file.
AppLocker viene usato anche da alcune funzionalità di WDAC, tra cui il programma di installazione gestito e Intelligent Security Graph.
Requisiti di sistema di AppLocker
I criteri di AppLocker possono essere configurati e applicati solo ai dispositivi in esecuzione nelle versioni e nelle edizioni supportate del sistema operativo Windows. Per altre info, vedi Requisiti per l'uso di AppLocker. I criteri di AppLocker possono essere distribuiti usando Criteri di gruppo o MDM.
Scegliere quando usare WDAC o AppLocker
In genere, i clienti che sono in grado di implementare il controllo dell'applicazione usando WDAC, anziché AppLocker, devono farlo. WDAC sta subendo continui miglioramenti e sta ricevendo supporto aggiuntivo dalle piattaforme di gestione Microsoft. Anche se AppLocker continua a ricevere correzioni di sicurezza, non sta ottenendo nuovi miglioramenti delle funzionalità.
In alcuni casi, tuttavia, AppLocker potrebbe essere la tecnologia più appropriata per l'organizzazione. AppLocker è ideale quando:
- Si dispone di un ambiente del sistema operativo Windows misto ed è necessario applicare gli stessi controlli dei criteri a Windows 10 e versioni precedenti del sistema operativo.
- È necessario applicare criteri diversi per utenti o gruppi diversi nei computer condivisi.
- Non si vuole applicare il controllo dell'applicazione ai file dell'applicazione, ad esempio DLL o driver.
AppLocker può anche essere distribuito come complemento a WDAC per aggiungere regole specifiche dell'utente o del gruppo per gli scenari di dispositivi condivisi, in cui è importante impedire ad alcuni utenti di eseguire app specifiche. Come procedura consigliata, è consigliabile applicare WDAC al livello più restrittivo possibile per l'organizzazione e quindi usare AppLocker per ottimizzare ulteriormente le restrizioni.
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per