Windows Defender gerenciamento do Controle de Aplicativos com Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Windows Defender Controle de Aplicativo foi projetado para proteger dispositivos contra malware e outros softwares não confiáveis. Ele impede que o código mal-intencionado seja executado, garantindo que apenas o código aprovado, que você sabe, possa ser executado.
O Controle de Aplicativo é uma camada de segurança baseada em software que impõe uma lista explícita de software que pode ser executada em um computador. Por conta própria, o Controle de Aplicativo não tem pré-requisitos de hardware ou firmware. As políticas de Controle de Aplicativo implantadas com Configuration Manager habilitar uma política em dispositivos em coleções direcionadas que atendam aos requisitos mínimos de SKU e versão do Windows descritos neste artigo. Opcionalmente, a proteção baseada em hipervisor das políticas de Controle de Aplicativo implantadas por meio de Configuration Manager pode ser habilitada por meio da política de grupo em hardware capaz.
Para obter mais informações, consulte o guia de implantação Windows Defender Controle de Aplicativo.
Observação
Esse recurso era conhecido anteriormente como integridade de código configurável e Device Guard.
Usando o Controle de Aplicativo com Configuration Manager
Você pode usar Configuration Manager para implantar uma política de Controle de Aplicativo. Essa política permite configurar o modo no qual o Controle de Aplicativo é executado em dispositivos em uma coleção.
Você pode configurar um dos seguintes modos:
- Imposição habilitada – somente executáveis confiáveis podem ser executados.
- Somente auditoria – permitir que todos os executáveis sejam executados, mas registre executáveis não confiáveis que são executados no log de eventos do cliente local.
O que pode ser executado quando você implanta uma política de Controle de Aplicativo?
O Controle de Aplicativo permite controlar fortemente o que pode ser executado em dispositivos que você gerencia. Esse recurso pode ser útil para dispositivos em departamentos de alta segurança, onde é vital que o software indesejado não possa ser executado.
Quando você implanta uma política, normalmente, os seguintes executáveis podem ser executados:
- Componentes do sistema operacional Windows
- Drivers do Centro de Desenvolvimento de Hardware com assinaturas do Windows Hardware Quality Labs
- Aplicativos da Microsoft Store
- O cliente Configuration Manager
- Todos os softwares implantados por meio de Configuration Manager que os dispositivos instalem após processarem a política de Controle de Aplicativo
- Atualizações para componentes internos do Windows de:
- Windows Update
- Windows Update para Empresas
- Windows Server Update Services
- Configuration Manager
- Opcionalmente, software com uma boa reputação conforme determinado pelo ISG (Intelligent Security Graph) do Microsoft. O ISG inclui Windows Defender SmartScreen e outros serviços de Microsoft. O dispositivo deve estar executando Windows Defender SmartScreen e Windows 10 versão 1709 ou posterior para que esse software seja confiável.
Importante
Esses itens não incluem nenhum software que não seja integrado ao Windows que seja atualizado automaticamente da Internet ou de atualizações de software de terceiros. Essa limitação se aplica se eles estão instalados por qualquer um dos mecanismos de atualização listados ou da Internet. O Controle de Aplicativo só permite alterações de software implantadas por meio do cliente Configuration Manager.
Sistemas operacionais com suporte
Para usar o Controle de Aplicativo com Configuration Manager, os dispositivos devem estar executando versões com suporte de:
- Windows 11 ou posterior, edição enterprise
- Windows 10 ou posterior, edição enterprise
- Windows Server 2019 ou posterior
Dica
As polícias de Controle de Aplicativo existentes criadas com Configuration Manager versão 2006 ou anterior não funcionarão com o Windows Server. Para dar suporte ao Windows Server, crie novas políticas de Controle de Aplicativo.
Antes de começar
Depois que uma política é processada com êxito em um dispositivo, Configuration Manager é configurada como um instalador gerenciado nesse cliente. Após os processos de política, o software implantado por Configuration Manager é automaticamente confiável. Antes que o dispositivo processe a política de Controle de Aplicativo, o software instalado pelo Configuration Manager não é automaticamente confiável.
Observação
Por exemplo, você não pode usar a etapa Instalar Aplicativo em uma sequência de tarefas para instalar aplicativos durante uma implantação do sistema operacional. Para obter mais informações, confira Etapas da sequência de tarefas – Instalar Aplicativo.
O cronograma padrão de avaliação de conformidade para políticas de Controle de Aplicativo é todos os dias. Essa agenda é configurável durante a implantação da política. Se você notar problemas no processamento de políticas, configure a agenda de avaliação de conformidade para ser mais frequente. Por exemplo, a cada hora. Essa agenda determina a frequência com que os clientes se reattemptam para processar uma política de Controle de Aplicativo se ocorrer uma falha.
Independentemente do modo de aplicação selecionado, ao implantar uma política de Controle de Aplicativo, os dispositivos não podem executar aplicativos HTML com a extensão de
.htaarquivo.
Criar uma política de Controle de Aplicativo
No console do Configuration Manager, vá até o workspace Ativos e Conformidade.
Expanda Proteção de Ponto de Extremidade e selecione o nó Windows Defender Controle de Aplicativo.
Na guia Página Inicial da faixa de opções, no grupo Criar , selecione Criar política de Controle de Aplicativo.
Na página Geral do Assistente de política Criar Controle de Aplicativo, especifique as seguintes configurações:
Nome: insira um nome exclusivo para esta política de Controle de Aplicativo.
Descrição: opcionalmente, insira uma descrição para a política que ajuda você a identificá-la no console Configuration Manager.
Imponha uma reinicialização de dispositivos para que essa política possa ser imposta para todos os processos: depois que o dispositivo processa a política, uma reinicialização é agendada no cliente de acordo com as Configurações do Cliente para Reinicialização do Computador. Atualmente, os aplicativos em execução no dispositivo não aplicarão a nova política de Controle de Aplicativo até depois de uma reinicialização. No entanto, os aplicativos iniciados após a aplicação da política honrarão a nova política.
Modo de Execução: escolha um dos seguintes métodos de aplicação:
Imposição Habilitada: somente aplicativos confiáveis podem ser executados.
Somente auditoria: permitir que todos os aplicativos sejam executados, mas registre programas não confiáveis que são executados. As mensagens de auditoria estão no log de eventos do cliente local.
Na guia Inclusões do Assistente de política Criar Controle de Aplicativo, escolha se deseja autorizar o software confiável pelo Intelligent Security Graph.
Se você quiser adicionar confiança para arquivos ou pastas específicos em dispositivos, selecione Adicionar. Na caixa de diálogo Adicionar Arquivo Confiável ou Pasta , você pode especificar um arquivo local ou um caminho de pasta para confiar. Você também pode especificar um caminho de arquivo ou pasta em um dispositivo remoto no qual você tem permissão para se conectar. Quando você adiciona confiança para arquivos ou pastas específicos em uma política de Controle de Aplicativo, você pode:
Superar problemas com comportamentos do instalador gerenciado.
Confiar em aplicativos de linha de negócios que você não pode implantar com Configuration Manager.
Confiar em aplicativos incluídos em uma imagem de implantação do sistema operacional.
Conclua o assistente.
Implantar uma política de Controle de Aplicativo
No console do Configuration Manager, vá até o workspace Ativos e Conformidade.
Expanda Proteção de Ponto de Extremidade e selecione o nó Windows Defender Controle de Aplicativo.
Na lista de políticas, selecione aquele que você deseja implantar. Na guia Página Inicial da faixa de opções, no grupo Implantação , selecione Implantar Política de Controle de Aplicativo.
Na caixa de diálogo Implantar Política de Controle de Aplicativo , selecione a coleção na qual você deseja implantar a política. Em seguida, configure uma agenda para quando os clientes avaliarem a política. Por fim, selecione se o cliente pode avaliar a política fora de qualquer janela de manutenção configurada.
Quando terminar, selecione OK para implantar a política.
Monitorar uma política de Controle de Aplicativo
Em geral, use as informações no artigo Monitorar configurações de conformidade . Essas informações podem ajudá-lo a monitorar se a política implantada foi aplicada corretamente a todos os dispositivos.
Para monitorar o processamento de uma política de Controle de Aplicativo, use o seguinte arquivo de log em dispositivos:
%WINDIR%\CCM\Logs\DeviceGuardHandler.log
Para verificar se o software específico está sendo bloqueado ou auditado, confira os seguintes logs de eventos do cliente local:
Para bloquear e auditar arquivos executáveis, use Logs de Aplicativos e Serviços>Microsoft>Windows>Code Integrity>Operational.
Para bloquear e auditar arquivos do Windows Installer e script, use Logs de Aplicativos e Serviços>Microsoft>Windows>AppLocker>MSI e Script.
Informações de segurança e privacidade
Os dispositivos que têm uma política implantada para eles no modo Somente auditoria ou habilitado para execução , mas não foram reiniciados para impor a política, são vulneráveis à instalação de software não confiável. Nessa situação, o software pode continuar a ser executado mesmo se o dispositivo for reiniciado ou receber uma política no modo Habilitado para Execução .
Para ajudar a eficácia da política de Controle de Aplicativo, primeiro prepare o dispositivo em um ambiente de laboratório. Implante uma política habilitada para a imposição e reinicie o dispositivo. Depois de verificar se os aplicativos funcionam, dê o dispositivo ao usuário.
Não implante uma política com o Enforcement Enableed e, posteriormente, implante uma política com Audit Only no mesmo dispositivo. Essa configuração pode resultar na permissão de execução de software não confiável.
Quando você usa Configuration Manager para habilitar o Controle de Aplicativos em dispositivos, a política não impede que usuários com direitos de administrador local contornem as políticas de Controle de Aplicativo ou executem software não confiável.
A única maneira de impedir que usuários com direitos de administrador local desabilitem o Controle de Aplicativos é implantar uma política binária assinada. Essa implantação é possível por meio da política de grupo, mas atualmente não tem suporte em Configuration Manager.
Configurar Configuration Manager como um instalador gerenciado em dispositivos usa uma política do Windows AppLocker. O AppLocker é usado apenas para identificar instaladores gerenciados. Toda a imposição acontece com o Controle de Aplicativo.
Próximas etapas
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de