Windows Defender Gestão do Controlo de Aplicações com Gestor de Configuração

  • Artigo

Aplica-se a: Configuration Manager (ramo atual)

Introdução

Windows Defender O Controlo de Aplicações foi concebido para proteger computadores contra malware e outros softwares não fided os casos. Impede que o código malicioso seja executado garantindo que apenas o código aprovado, que sabe, pode ser executado.

Windows Defender O Application Control é uma camada de segurança baseada em software que aplica uma lista explícita de software que é permitido ser executado num PC. Por si só, o Application Control não possui nenhum hardware ou pré-requisitos de firmware. As políticas de Controlo de Aplicações implementadas com o Gestor de Configuração permitem uma política de Computadores em coleções direcionadas que satisfaçam a versão de Windows mínima e os requisitos SKU descritos neste artigo. Opcionalmente, a proteção baseada no hipervisor das políticas de Controlo de Aplicações implementadas através do Gestor de Configurações pode ser ativada através da Política de Grupo em hardware capaz.

Para saber mais sobre Windows Defender Controlo de Aplicações, leia o guia de implementação do Controlo de Aplicações Windows Defender.

Nota

  • Começando com Windows 10, versão 1709, as políticas de integridade do código configuráveis são conhecidas como Windows Defender Controlo de Aplicações.
  • A partir da versão 1710 do Gestor de Configuração, as políticas da Proteção de Dispositivos foram renomeadas para Windows Defender políticas de Controlo de Aplicações.

Utilizando o controlo de aplicações Windows Defender com o gestor de configuração

Pode utilizar o Gestor de Configuração para implementar uma política de controlo de aplicações Windows Defender. Esta política permite-lhe configurar o modo em que Windows Defender Controlo de Aplicações funciona em PCs numa coleção.

Pode configurar um dos seguintes modos:

  1. Execução habilitada - Apenas executáveis fidedignos são permitidos executar.
  2. Apenas auditoria - Permita que todos os executáveis sejam executados, mas regista executáveis não fidedquibáveis que funcionam no registo de eventos do cliente local.

Dica

Esta funcionalidade foi introduzida pela primeira vez na versão 1702 como uma funcionalidade pré-lançamento. Começando pela versão 1906, já não é uma funcionalidade pré-lançamento.

O que pode funcionar quando implementa uma política de controlo de aplicações Windows Defender?

Windows Defender O Controlo de Aplicações permite-lhe controlar fortemente o que pode funcionar em PCs que gere. Esta funcionalidade pode ser útil para computadores em departamentos de alta segurança, onde é vital que o software indesejado não possa ser executado.

Quando implementa uma apólice, normalmente, os seguintes executáveis podem ser executados:

  • Windows componentes do sistema operativo
  • Hardware Dev Center motoristas (que têm Windows assinaturas de Laboratórios de Qualidade de Hardware)
  • Windows Armazenar aplicativos
  • O cliente gestor de configuração
  • Todo o software implementado através do Gestor de Configuração que os PCs instalam após o processo da política de Controlo de Aplicações Windows Defender.
  • Atualizações para componentes do Windows a partir de:
    • Windows Update
    • Windows Update para Empresas
    • Windows Server Update Services
    • Configuration Manager
    • Opcionalmente, software com uma boa reputação determinada pelo Microsoft Intelligent Security Graph (ISG). O ISG inclui Windows Defender SmartScreen e outros serviços Microsoft. O dispositivo deve estar a funcionar Windows Defender SmartScreen e Windows 10 versão 1709 ou posterior para que este software seja confiável.

Importante

Estes itens não incluem qualquer software que não esteja incorporado em Windows que atualiza automaticamente a partir da internet ou atualizações de software de terceiros, quer sejam instalados através de algum dos mecanismos de atualização mencionados anteriormente, ou a partir da internet. Apenas alterações de software que são implementadas embora o cliente Do Gestor de Configuração possa executar.

Sistemas operativos suportados

Para utilizar Windows Defender Controlo de Aplicações com o Gestor de Configurações, os dispositivos que gere devem estar a funcionar:

  • Windows 10 Enterprise versão 1703, ou mais tarde.
  • Windows Servidor 2019, ou posteriormente (Introduzido na versão 2010)

Dica

Crie novas políticas para direcionar Windows sistemas operativos do Servidor após a instalação do Gestor de Configuração 2010 e instalar o cliente atualizado. As polícias existentes Windows Defender Application Control criadas antes da instalação de 2010 não funcionarão com sistemas operativos Windows Server.

Antes de começar

Antes de configurar ou implementar Windows Defender políticas de Controlo de Aplicações, leia as seguintes informações:

  • Uma vez que uma política é processada com sucesso num PC cliente, o Gestor de Configuração é configurado como um Instalador Gerido nesse cliente. O software implementado através dele, após os processos de política, é automaticamente confiável. O software instalado pelo Gestor de Configuração antes do Windows Defender processos de política de controlo de aplicações não é automaticamente confiável.
  • O calendário de avaliação de conformidade padrão para as políticas de Controlo de Aplicações, configurável durante a implementação, é todos os dias. Se forem observadas questões no processamento de políticas, pode ser benéfico configurar o calendário de avaliação de conformidade para ser mais curto, por exemplo, a cada hora. Este calendário dita a frequência com que os clientes se recandidam para processar uma política de controlo de aplicações Windows Defender se ocorrer uma falha.
  • Independentemente do modo de execução selecionado, quando implementa uma política de controlo de aplicações Windows Defender, os Computadores do cliente não podem executar aplicações HTML com a extensão .hta.
  • Crie novas políticas para direcionar Windows sistemas operativos do Servidor após a instalação do Gestor de Configuração 2010 e instalar o cliente atualizado. As polícias existentes Windows Defender Application Control criadas antes da instalação de 2010 não funcionarão com sistemas operativos Windows Server.

Como criar uma política de controlo de aplicações Windows Defender

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.
  2. No espaço de trabalho ativos e de conformidade, expanda a Proteção de Pontos Finais e, em seguida, clique em Windows Defender Controlo de Aplicações.
  3. No separador 'Casa', no grupo Criar, clique em Criar a política de Controlo de Aplicações.
  4. Na página geral do Assistente de Política de Controlo de Aplicações Create , especifique as seguintes definições:
    • Nome - Introduza um nome único para esta política de Controlo de Aplicações Windows Defender.
    • Descrição - Opcionalmente, introduza uma descrição para a política que o ajuda a identificá-la na consola Do Gestor de Configuração.
    • Impor um reinício de dispositivos para que esta política possa ser executada para todos os processos - Depois de a apólice ser processada num PC cliente, é agendado um reinício no cliente de acordo com o Definições cliente para o Recomeço de Computadores.
      • Os dispositivos que Windows 10 versão 1703 ou anterior serão sempre reiniciados automaticamente.
      • A partir da versão 1709 Windows 10, as aplicações atualmente em execução no dispositivo só terão a nova política de Controlo de Aplicações aplicada a eles depois de um reinício. No entanto, as aplicações lançadas após a aplicação da política irão honrar a nova política de Controlo de Aplicações.
    • Modo de Execução - Escolha um dos seguintes métodos de execução para Windows Defender Controlo de Aplicações no PC cliente.
      • Execução Ativada - Só permite executar executáveis fidedignos.
      • Apenas auditoria - Permita que todos os executáveis sejam executados, mas regista executáveis não fidedquibáveis que funcionam no registo de eventos do cliente local.
  5. No separador Inclusão do Assistente de Política de Controlo de Aplicações Create , escolha se pretende autorizar um software de confiança do Graph de Segurança Inteligente.
  6. Clique em Adicionar se quiser adicionar confiança para ficheiros ou pastas específicas em Computadores. Na caixa de diálogo 'Adicionar Ficheiro Fidedigdo' ou "Pasta", pode especificar um ficheiro local ou um caminho de pasta para confiar. Também pode especificar um ficheiro ou caminho de pasta num dispositivo remoto no qual tem permissão para se ligar. Quando adiciona confiança para ficheiros ou pastas específicos numa política de controlo de aplicações Windows Defender, pode:
    • Superar problemas com comportamentos de instalação geridos
    • Aplicações de linha de negócios fidedindo que não podem ser implementadas com Gestor de Configuração
    • Aplicações fidediárias que estão incluídas numa imagem de implementação do sistema operativo.
  7. Clique em seguida, para completar o assistente.

Importante

A inclusão de ficheiros ou pastas fidedignos só é suportada nos Computadores do cliente que executam a versão 1706 ou posterior do cliente Gestor de Configuração. Se quaisquer regras de inclusão forem incluídas numa política de controlo de aplicações Windows Defender e a política for então implementada para um computador cliente que executa uma versão anterior no cliente Do Gestor de Configuração, a política deixará de ser aplicada. A atualização destes clientes mais velhos resolverá este problema. As políticas que não incluem quaisquer regras de inclusão podem ainda ser aplicadas em versões mais antigas do cliente Gestor de Configuração.

Como implementar uma política de controlo de aplicações Windows Defender

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.
  2. No espaço de trabalho ativos e de conformidade, expanda a Proteção de Pontos Finais e, em seguida, clique em Windows Defender Controlo de Aplicações.
  3. Na lista de políticas, selecione a que pretende implementar e, em seguida, no separador 'Casa', no grupo 'Implementação', clique em Implementar a Política de Controlo de Aplicações.
  4. Na caixa de diálogo de política de controlo de aplicações de implementação, selecione a recolha para a qual pretende implementar a política. Em seguida, configurar um horário para quando os clientes avaliarem a apólice. Por fim, selecione se o cliente pode avaliar a política fora de quaisquer janelas de manutenção configuradas.
  5. Quando terminar, clique em OK para implementar a política.

Como monitorizar uma política de controlo de aplicações Windows Defender

Utilize as informações no artigo de definição de conformidade do Monitor para o ajudar a monitorizar que a política implementada foi aplicada corretamente a todos os Computadores.

Para monitorizar o processamento de uma política de controlo de Windows Defender de aplicações, utilize o seguinte ficheiro de registo nos computadores do cliente:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Para verificar se o software específico está a ser bloqueado ou auditado, consulte os seguintes registos de eventos de cliente local:

  1. Para bloquear e auditar ficheiros executáveis, utilize aplicações e registos de serviços > Microsoft > Windows > Code Integrity > Operational.
  2. Para bloquear e auditar ficheiros de instalação e script de Windows, utilize aplicações e registos de serviços > microsoft > Windows > AppLocker > MSI e Script.

Informações de segurança e privacidade para Windows Defender Controlo de Aplicações

  • Os dispositivos que têm uma política que lhes seja implementada apenas em Modo de Auditoria ou Aplicação Ativada que não tenham sido reiniciados para fazer cumprir a política, são vulneráveis à instalação de software não fidedquirido. Nesta situação, o software pode continuar a ser autorizado a funcionar mesmo que o dispositivo reinicie ou receba uma política no modo Enforcement Enabled.
  • Para garantir que a política de controlo de aplicações Windows Defender seja eficaz, prepare o dispositivo num ambiente de laboratório. Em seguida, implemente a política Ativada por execução e, finalmente, reinicie o dispositivo antes de entregar o dispositivo a um utilizador final.
  • Não implemente uma política com o Enforcement Enabled, e depois implemente uma política com auditoria apenas para o mesmo dispositivo. Esta configuração pode resultar na permissão de software não fidedquiríssquio.
  • Quando utiliza o Gestor de Configuração para permitir Windows Defender Controlo de Aplicações em Computadores de clientes, a política não impede que os utilizadores com direitos de administrador local contornem as políticas de Controlo de Aplicações ou executem software não fidedquitro.
  • A única forma de impedir que os utilizadores com direitos de administrador local desativem o Controlo de Aplicações é implementar uma política binária assinada. Esta implementação é possível através da Política de Grupo, mas não suportada atualmente no Gestor de Configuração.
  • Configurar o Gestor de Configuração como um Instalador Gerido em PCs de cliente utiliza a política appLocker. O AppLocker é utilizado apenas para identificar Instaladores Geridos e toda a aplicação acontece com Windows Defender Controlo de Aplicações.

Passos seguintes

Gerir políticas antimalware e definições de firewall