Entender Windows Defender decisões de design de política de Controle de Aplicativo
Observação
Alguns recursos do WDAC (Controle de Aplicativo) Windows Defender estão disponíveis apenas em versões específicas do Windows. Saiba mais sobre a disponibilidade do recurso Windows Defender Controle de Aplicativo.
Este artigo é para o profissional de TI. Ele lista as perguntas de design, possíveis respostas e ramificações para decisões tomadas ao planejar a implantação de políticas de controle de aplicativo usando Windows Defender WDAC (Controle de Aplicativo), em um ambiente do sistema operacional Windows.
Ao iniciar o processo de design e planejamento, você deve considerar as ramificações de suas escolhas de design. As decisões resultantes afetarão seu esquema de implantação de política e a manutenção subsequente da política de controle de aplicativo.
Considere usar Windows Defender Controle de Aplicativo como parte das políticas de controle de aplicativo da sua organização se o seguinte for verdadeiro:
- Você implantou ou planeja implantar as versões com suporte do Windows em sua organização.
- Você precisa de um controle aprimorado sobre o acesso aos aplicativos da sua organização e aos dados que seus usuários acessam.
- Sua organização tem um processo bem definido para gerenciamento e implantação de aplicativos.
- Você tem recursos para testar políticas em relação aos requisitos da organização.
- Você tem recursos para envolver o Help Desk ou criar um processo de autoajuda para problemas de acesso de aplicativo do usuário final.
- Os requisitos do grupo para produtividade, gerenciabilidade e segurança podem ser controlados por políticas restritivas.
Decidir quais políticas criar
Começando com Windows 10, versão 1903, Windows Defender Controle de Aplicativo permite que várias políticas simultâneas sejam aplicadas a cada dispositivo. Esse aplicativo simultâneo abre muitos novos casos de uso para organizações, mas seu gerenciamento de políticas pode facilmente se tornar incontrolavelmente sem um plano bem pensado para o número e tipos de políticas a serem criadas.
A primeira etapa é definir o "círculo de confiança" desejado para suas políticas do WDAC. Por "círculo de confiança", queremos dizer uma descrição da intenção comercial da política expressa em linguagem natural. Essa definição de "círculo de confiança" guiará você ao criar as regras de política reais para sua política XML.
Por exemplo, a política DefaultWindows, que pode ser encontrada em %OSDrive%\Windows\schemas\CodeIntegrity\ExamplePolicies, estabelece um "círculo de confiança" que permite drivers windows, hardware e software de terceiros e aplicativos da Microsoft Store.
Configuration Manager usa a política DefaultWindows como base para sua política, mas modifica as regras de política para permitir Configuration Manager e suas dependências, define a regra de política do instalador gerenciado e, além disso, configura Configuration Manager como um instalador gerenciado. Ele também pode, opcionalmente, autorizar aplicativos com reputação positiva e executar uma verificação única de caminhos de pasta especificados pelo administrador do Configuration Manager, que adiciona regras para todos os aplicativos encontrados nos caminhos especificados no ponto de extremidade gerenciado. Esse processo estabelece o "círculo de confiança" para a integração do WDAC nativo do Configuration Manager.
As perguntas a seguir podem ajudá-lo a planejar sua implantação Windows Defender Controle de Aplicativo e determinar o "círculo de confiança" certo para suas políticas. Eles não estão em ordem prioritária ou sequencial e não devem ser um conjunto exaustivo de considerações de design.
Considerações de design do WDAC
Como os aplicativos são gerenciados e implantados em sua organização?
Organizações com processos de implantação e gerenciamento de aplicativos bem definidos e gerenciados centralmente podem criar políticas mais restritivas e seguras. Outras organizações podem ser capazes de implantar Windows Defender Controle de Aplicativos com regras mais relaxadas ou podem optar por implantar o WDAC no modo de auditoria para obter melhor visibilidade para os aplicativos que estão sendo usados em sua organização.
| Possíveis respostas | Considerações de design |
|---|---|
| Todos os aplicativos são gerenciados centralmente e implantados usando ferramentas de gerenciamento de ponto de extremidade, como Microsoft Intune. | As organizações que gerenciam centralmente todos os aplicativos são mais adequadas para o controle de aplicativos. Windows Defender opções de Controle de Aplicativo, como o instalador gerenciado, podem facilitar a autorização de aplicativos implantados pela solução de gerenciamento de distribuição de aplicativos da organização. |
| Alguns aplicativos são gerenciados e implantados centralmente, mas as equipes podem instalar outros aplicativos para seus membros. | Políticas complementares podem ser usadas para permitir exceções específicas da equipe à política de controle de aplicativo Windows Defender em toda a organização. Como alternativa, as equipes podem usar instaladores gerenciados para instalar seus aplicativos específicos da equipe ou regras de caminho de arquivo somente administrador podem ser usadas para permitir aplicativos instalados por usuários administradores. |
| Usuários e equipes são gratuitos para baixar e instalar aplicativos, mas a organização quer restringir esse direito apenas a aplicativos predominantes e respeitáveis. | Windows Defender Controle de Aplicativo pode se integrar ao Smart Security Graph da Microsoft (a mesma fonte de inteligência que alimenta Microsoft Defender Antivírus e Windows Defender SmartScreen) para permitir apenas aplicativos e binários com reputação positiva. |
| Usuários e equipes são gratuitos para baixar e instalar aplicativos sem restrições. | Windows Defender políticas de Controle de Aplicativo podem ser implantadas no modo de auditoria para obter informações sobre os aplicativos e binários em execução em sua organização sem afetar a produtividade do usuário e da equipe. |
Os aplicativos lob (linha de negócios) desenvolvidos internamente são desenvolvidos por empresas terceirizadas por meio digital?
Aplicativos Win32 tradicionais no Windows podem ser executados sem serem assinados digitalmente. Essa prática pode expor dispositivos Windows a códigos mal-intencionados ou adulterados e apresenta uma vulnerabilidade de segurança aos dispositivos Windows. Adotar a assinatura de código como parte das práticas de desenvolvimento de aplicativos da sua organização ou aumentar aplicativos com arquivos de catálogo assinados como parte da ingestão e distribuição do aplicativo pode melhorar consideravelmente a integridade e a segurança dos aplicativos usados.
| Possíveis respostas | Considerações de design |
|---|---|
| Todos os aplicativos usados em sua organização devem ser assinados. | As organizações que impõem a atribuição de códigos para todos os códigos executáveis estão melhor posicionadas para proteger seus computadores Windows contra a execução de código mal-intencionado. Windows Defender regras de Controle de Aplicativo podem ser criadas para autorizar aplicativos e binários das equipes de desenvolvimento interno da organização e de fornecedores de software independentes confiáveis (ISV). |
| Os aplicativos usados em sua organização não precisam atender a nenhum requisito de codificação. | As organizações podem usar ferramentas internas do Windows para adicionar assinaturas do Catálogo de Aplicativos específicas da organização aos aplicativos existentes como parte do processo de implantação do aplicativo, que pode ser usado para autorizar a execução de código. Soluções como Microsoft Intune oferecem várias maneiras de distribuir catálogos de aplicativos assinados. |
Há grupos específicos em sua organização que precisam de políticas de controle de aplicativo personalizadas?
A maioria das equipes de negócios ou departamentos tem requisitos de segurança específicos que dizem respeito ao acesso a dados e aos aplicativos usados para acessar esses dados. Considere o escopo do projeto para cada grupo e as prioridades do grupo antes de implantar políticas de controle de aplicativo para toda a organização. Há sobrecarga no gerenciamento de políticas que podem levá-lo a escolher entre políticas amplas em toda a organização e várias políticas específicas da equipe.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | As políticas WDAC podem ser criadas exclusivas por equipe ou políticas complementares específicas da equipe podem ser usadas para expandir o que é permitido por uma política base comum e definida centralmente. |
| Não | As políticas WDAC podem ser aplicadas globalmente a aplicativos instalados em PCs que executam Windows 10 e Windows 11. Dependendo do número de aplicativos que você precisa controlar, gerenciar todas as regras e exceções pode ser um desafio. |
Seu departamento de TI tem recursos para analisar o uso do aplicativo e para projetar e gerenciar as políticas?
O tempo e os recursos disponíveis para você executar a pesquisa e a análise podem afetar os detalhes de seu plano e processos para o gerenciamento e manutenção de políticas contínuas.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | Invista o tempo para analisar os requisitos de controle de aplicativo da sua organização e planeje uma implantação completa que use regras que são construídas da forma mais possível. |
| Não | Considere uma implantação focada e em fases para grupos específicos usando poucas regras. À medida que você aplica controles a aplicativos em um grupo específico, aprenda com essa implantação para planejar sua próxima implantação. Como alternativa, você pode criar uma política com um amplo perfil de confiança para autorizar o maior número possível de aplicativos. |
Sua organização tem suporte ao Help Desk?
Impedir que seus usuários acessem aplicativos conhecidos, implantados ou pessoais causará inicialmente um aumento no suporte do usuário final. Será necessário resolver os vários problemas de suporte em sua organização para que as políticas de segurança sejam seguidas e o fluxo de trabalho de negócios não seja prejudicado.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | Envolva o departamento de suporte no início da fase de planejamento porque seus usuários podem inadvertidamente ser impedidos de usar seus aplicativos ou podem buscar exceções para usar aplicativos específicos. |
| Não | Invista tempo no desenvolvimento de processos de suporte online e documentação antes da implantação. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de