Gestão de proteção de dispositivos com o Configuration ManagerDevice Guard management with Configuration Manager

Aplica-se a: O System Center Configuration Manager (ramo atual)Applies to: System Center Configuration Manager (Current Branch)

IntroduçãoIntroduction

A proteção de dispositivos é um grupo de funcionalidades do Windows 10 que foram concebidas para proteger os PCs contra malware e outro software não fidedigno.Device Guard is a group of Windows 10 features that are designed to protect PCs against malware and other untrusted software. Impede que código malicioso em execução, garantindo que apenas aprovado código, o que souber, pode ser executado.It prevents malicious code from running by ensuring that only approved code, that you know, can be run.

Device Guard abrange o software e a funcionalidade de segurança baseada em hardware.Device Guard encompasses both software and hardware-based security functionality. Controlo de aplicação do Windows Defender é uma camada de segurança baseada em software, que impõe uma lista explícita de software que pode ser executada em PCs.Windows Defender Application Control is a software-based security layer that enforces an explicit list of software that is allowed to run on a PC. No seu próprio, o controlo de aplicação não tem quaisquer pré-requisitos de hardware e firmware.On its own, Application Control does not have any hardware or firmware prerequisites. Políticas de controlo de aplicação implementadas com o Configuration Manager ativar uma política em computadores em coleções de destino que cumprem os requisitos de SKU descritos neste artigo e a versão mínima do Windows.Application Control policies deployed with Configuration Manager enable a policy on PCs in targeted collections that meet the minimum Windows version and SKU requirements outlined in this article. Opcionalmente, proteção baseada em hipervisor de políticas de controlo de aplicação implementado através do Configuration Manager pode ser ativada através da política de grupo com capacidade de hardware.Optionally, hypervisor-based protection of Application Control policies deployed through Configuration Manager can be enabled through Group Policy on capable hardware.

Para saber mais sobre Device Guard, leia o guia de implementação do Device Guard.To learn more about Device Guard, read the Device Guard deployment guide.

Nota

Começando com o Windows 10, versão 1709, políticas de integridade do código configuráveis são conhecidas como controlo de aplicação do Windows Defender.Beginning with Windows 10, version 1709, configurable code integrity policies are known as Windows Defender Application Control.

Utilizar a proteção de dispositivos com o Configuration ManagerUsing Device Guard with Configuration Manager

Pode utilizar o Configuration Manager para implementar uma política de controlo de aplicação do Windows Defender.You can use Configuration Manager to deploy a Windows Defender Application Control policy. Esta política permite-lhe configurar o modo no qual Device Guard é executado em computadores numa coleção.This policy lets you configure the mode in which Device Guard runs on PCs in a collection.

Pode configurar um dos seguintes modos de:You can configure one of the following modes:

  1. Imposição ativada - só permitidos a execução de executáveis de confiança.Enforcement enabled - Only trusted executables are allowed to run.
  2. Só de auditoria - permitir a execução de todos os executáveis, mas não considerada como fidedigna registo executáveis que são executados no registo de eventos de cliente local.Audit only - Allow all executables to run, but log untrusted executables that run in the local client event log.

Dica

Nesta versão do Configuration Manager, Device Guard é uma funcionalidade de pré-lançamento.In this version of Configuration Manager, Device Guard is a pre-release feature. Para ativá-la, consulte o artigo no System Center Configuration Manager de funcionalidades de pré-lançamento.To enable it, see Pre-release features in System Center Configuration Manager.

O que pode ser executado quando implementar uma política de controlo de aplicação do Windows Defender?What can run when you deploy a Windows Defender Application Control policy?

Windows Device Guard permite-lhe controlar vivamente que pode ser executada em PCs que gere.Windows Device Guard lets you strongly control what can run on PCs you manage. Esta funcionalidade pode ser útil para PCs departamentos de alta segurança, onde é vital que não é possível executar o software indesejável.This feature can be useful for PCs in high-security departments, where it's vital that unwanted software cannot run.

Ao implementar uma política, normalmente, podem executar o executáveis seguintes:When you deploy a policy, typically, the following executables can run:

  • Componentes do sistema operativo WindowsWindows operating system components
  • Controladores de hardware Dev Center (que têm as assinaturas de Windows Hardware Quality Labs)Hardware Dev Center drivers (that have Windows Hardware Quality Labs signatures)
  • Aplicações da loja WindowsWindows Store apps
  • O cliente do Configuration ManagerThe Configuration Manager client
  • Todo o software implementado através do Configuration Manager que instalar PCs depois da política de controlo de aplicação do Windows Defender está a ser processada.All software deployed through Configuration Manager that PCs install after the Windows Defender Application Control policy is processed.
  • Atualizações de componentes do windows de:Updates to windows components from:
    • Atualização do WindowsWindows Update
    • Atualização do Windows para empresasWindows Update for Business
    • Windows Server Update ServicesWindows Server Update Services
    • Configuration ManagerConfiguration Manager
    • Opcionalmente, software com uma boa reputação conforme determinado pela gráfico segurança inteligente Microsoft (ISG).Optionally, software with a good reputation as determined by the Microsoft Intelligent Security Graph (ISG). O ISG inclui o Windows Defender SmartScreen e outros serviços Microsoft.The ISG includes Windows Defender SmartScreen and other Microsoft services. O dispositivo deve executar o Windows Defender SmartScreen e Windows 10 versão 1709 ou posterior para este software ser considerado confiável.The device must be running Windows Defender SmartScreen and Windows 10 version 1709 or later for this software to be trusted.

Importante

Estes itens não incluam qualquer software que é não incorporado no Windows que atualiza automaticamente o software da internet ou por terceiros atualizações se estiverem instalados através de qualquer um dos mecanismos de atualização mencionados anteriormente, ou a partir da internet.These items do not include any software that is not built-into Windows that automatically updates from the internet or third-party software updates whether they are installed via any of the update mechanisms mentioned previously, or from the internet. Apenas as alterações ao software que são implementadas através do cliente do Configuration Manager pode ser executado.Only software changes that are deployed though the Configuration Manager client can run.

Antes de começarBefore you start

Antes de configurar ou implementar políticas de controlo de aplicação do Windows Defender, leia as seguintes informações:Before you configure or deploy Windows Defender Application Control policies, read the following information:

  • Gestão de proteção de dispositivos é uma funcionalidade de pré-lançamento para o Configuration Manager e está sujeita a alterações.Device Guard management is a pre-release feature for Configuration Manager, and is subject to change.
  • Para utilizar a proteção de dispositivos com o Configuration Manager, os PCs que gere tem de executar a versão do Windows 10 Enterprise 1703 ou posterior.To use Device Guard with Configuration Manager, PCs you manage must be running the Windows 10 Enterprise version 1703, or later.
  • Assim que uma política é processada com êxito num cliente PC, o Configuration Manager é configurado como um instalador geridos em que o cliente.Once a policy is successfully processed on a client PC, Configuration Manager is configured as a Managed Installer on that client. Software implementado através do mesmo, depois dos processos de política, é automaticamente fidedigno.Software deployed through it, after the policy processes, is automatically trusted. Software instalado pelo Configuration Manager antes dos processos de política de controlo de aplicação do Windows Defender não é fidedigno automaticamente.Software installed by Configuration Manager before the Windows Defender Application Control policy processes is not automatically trusted.
  • Os computadores cliente têm de ter conectividade ao respetivo controlador de domínio para uma política de controlo de aplicação do Windows Defender para ser processado com êxito.Client PCs must have connectivity to their Domain Controller in order for a Windows Defender Application Control policy to be processed successfully.
  • O agendamento de avaliação de compatibilidade predefinido para políticas de controlo de aplicação, configuráveis durante a implementação, é cada dia.The default compliance evaluation schedule for Application Control policies, configurable during deployment, is every one day. Se os problemas no processamento da política são observados, pode ser vantajoso configurar a agenda de avaliação de compatibilidade para ser mais curto, por exemplo, cada hora.If issues in policy processing are observed, it may be beneficial to configure the compliance evaluation schedule to be shorter, for example every hour. Esta agenda dita com que frequência os clientes questão processar uma política de controlo de aplicação do Windows Defender, se ocorrer uma falha.This schedule dictates how often clients reattempt to process a Windows Defender Application Control policy if a failure occurs.
  • Independentemente do modo de imposição que selecionar, ao implementar uma política de controlo de aplicação do Windows Defender, o cliente PCs não é possível executar aplicações de HTML com a extensão .hta.Regardless of the enforcement mode you select, when you deploy a Windows Defender Application Control policy, client PCs cannot run HTML applications with the extension .hta.

Como criar uma política de controlo de aplicação do Windows DefenderHow to create a Windows Defender Application Control policy

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.
  2. No ativos e compatibilidade área de trabalho, expanda Endpoint Protectione, em seguida, clique em controlo de aplicação do Windows Defender.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. No home page separador o criar , clique em política de controlo de aplicação criar.On the Home tab, in the Create group, click Create Application Control policy.
  4. No geral página do política de controlo de aplicação criar assistente, especifique as seguintes definições:On the General page of the Create Application Control policy Wizard, specify the following settings:
    • Nome -introduza um nome exclusivo para esta política de controlo de aplicação do Windows Defender.Name - Enter a unique name for this Windows Defender Application Control policy.
    • Descrição - como opção, introduza uma descrição para a política que o ajuda a identificá-la na consola do Configuration Manager.Description - Optionally, enter a description for the policy that helps you identify it in the Configuration Manager console.
    • Impor um reinício de dispositivos para que esta política pode ser imposta para todos os processos -depois da política é processada num cliente PC, um reinício está agendado no cliente, de acordo com o as definições de cliente para Reinício do computador.Enforce a restart of devices so that this policy can be enforced for all processes - After the policy is processed on a client PC, a restart is scheduled on the client according to the Client Settings for Computer Restart.
      • Dispositivos Windows 10 versão 1703 ou anterior em execução sempre serão reiniciados automaticamente.Devices running Windows 10 version 1703 or earlier will always be automatically restarted.
      • A partir do Windows 10 versão 1709, aplicações em execução no dispositivo não terão a nova política de controlo de aplicação aplicada às mesmas até após um reinício.Starting with Windows 10 version 1709, applications currently running on the device will not have the new Application Control policy applied to them until after a restart. No entanto, a aplicações iniciadas depois da política se aplica respeitará a política de controlo de aplicação nova.However, applications launched after the policy applies will honor the new Application Control policy.
    • Modo de imposição -escolher um dos seguintes métodos de imposição para Device Guard no PC cliente.Enforcement Mode - Choose one of the following enforcement methods for Device Guard on the client PC.
      • Imposição ativado - apenas permitir permitidas a execução de executáveis fidedignas.Enforcement Enabled - Only allow trusted executables are allowed to run.
      • Só de auditoria - permitir a execução de todos os executáveis, mas não considerada como fidedigna registo executáveis que são executados no registo de eventos de cliente local.Audit Only - Allow all executables to run, but log untrusted executables that run in the local client event log.
  5. No as inclusões separador do política de controlo de aplicação criar assistente, escolha se pretende autorizar software que é considerado fidedigno pelo gráfico de segurança inteligente.On the Inclusions tab of the Create Application Control policy Wizard, chose if you want to Authorize software that is trusted by the Intelligent Security Graph.
  6. Clique em adicionar se pretender adicionar confiança para ficheiros ou pastas específicos nos PCs.Click Add if you want to add trust for specific files or folders on PCs. No adicionar confiança de ficheiro ou pasta caixa de diálogo, pode especificar um ficheiro local ou um caminho de pasta para confiar.In the Add Trusted File or Folder dialog box, you can specify a local file or a folder path to trust. Também pode especificar um caminho de ficheiro ou pasta num dispositivo remoto no qual tem permissão para ligar.You can also specify a file or folder path on a remote device on which you have permission to connect. Quando adicionar confiança para ficheiros ou pastas específicos numa política de controlo de aplicação do Windows Defender, pode:When you add trust for specific files or folders in a Windows Defender Application Control policy, you can:
    • Ultrapassar problemas com os comportamentos de instalador geridoOvercome issues with managed installer behaviors
    • Aplicações de linha de negócio de confiança que não não possível implementar com o Configuration ManagerTrust line-of-business apps that cannot be deployed with Configuration Manager
    • As aplicações que estão incluídas numa imagem de implementação do sistema operativo de confiança.Trust apps that are included in an operating system deployment image.
  7. Clique em seguinte, para concluir o assistente.Click Next, to complete the wizard.

Importante

A inclusão de pastas ou ficheiros fidedignos só é suportada em computadores cliente com a versão 1706 ou posterior do cliente do Configuration Manager.The inclusion of trusted files or folders is only supported on client PCs running version 1706 or later of the Configuration Manager client. Se quaisquer regras de inclusão estão incluídas na política de controlo de aplicação do Windows Defender e a política, em seguida, for implementada para um PC com uma versão anterior no cliente do Configuration Manager de cliente, a política irá falhar sejam aplicadas.If any inclusion rules are included in a Windows Defender Application Control policy and the policy is then deployed to a client PC running an earlier version on the Configuration Manager client, the policy will fail to be applied. Atualizar destes clientes mais antigos serão resolver este problema.Upgrading these older clients will resolve this issue. Políticas que não incluam quaisquer regras de inclusão ainda podem ser aplicadas em versões anteriores do cliente do Configuration Manager.Policies that do not include any inclusion rules may still be applied on older versions of the Configuration Manager client.

Como implementar uma política de controlo de aplicação do Windows DefenderHow to deploy a Windows Defender Application Control policy

  1. Na consola do Configuration Manager, clique em Ativos e Compatibilidade.In the Configuration Manager console, click Assets and Compliance.
  2. No ativos e compatibilidade área de trabalho, expanda Endpoint Protectione, em seguida, clique em controlo de aplicação do Windows Defender.In the Assets and Compliance workspace, expand Endpoint Protection, and then click Windows Defender Application Control.
  3. Na lista de políticas, selecione aquela que pretende implementar, e, em seguida, no home page separador o implementação , clique em implementar política de controlo de aplicação.From the list of policies, select the one you want to deploy, and then, on the Home tab, in the Deployment group, click Deploy Application Control Policy.
  4. No política de controlo de aplicação implementar diálogo caixa, selecione a coleção à qual pretende implementar a política.In the Deploy Application Control policy dialog box, select the collection to which you want to deploy the policy. Em seguida, configure uma agenda para quando os clientes avaliar a política.Then, configure a schedule for when clients evaluate the policy. Por fim, selecione se o cliente pode avaliar a política fora de quaisquer janelas de manutenção configurada.Finally, select whether the client can evaluate the policy outside of any configured maintenance windows.
  5. Quando tiver terminado, clique em OK para implementar a política.When you are finished, click OK to deploy the policy.

Como monitorizar uma política de controlo de aplicação do Windows DefenderHow to monitor a Windows Defender Application Control policy

Utilize as informações de monitorizar as definições de compatibilidade artigo para o ajudar a monitorizar a que a política implementada foi aplicada a todos os PCs corretamente.Use the information in the Monitor compliance settings article to help you monitor that the deployed policy has been applied to all PCs correctly.

Para monitorizar o processamento de uma política de controlo de aplicação do Windows Defender, utilize o seguinte ficheiro de registo no cliente PCs:To monitor the processing of a Windows Defender Application Control policy, use the following log file on client PCs:

%WINDIR%\CCM\Logs\DeviceGuardHandler.log%WINDIR%\CCM\Logs\DeviceGuardHandler.log

Para verificar o software específico que está a ser bloqueado ou auditada, consulte os seguintes registos de eventos do cliente local:To verify the specific software being blocked or audited, see the following local client event logs:

  1. Para bloquear e auditoria de ficheiros executáveis, utilize registos de serviços e aplicações > Microsoft > Windows > integridade do código > operacional.For blocking and auditing of executable files, use Applications and Services Logs > Microsoft > Windows > Code Integrity > Operational.
  2. Para bloquear e auditoria do Windows Installer e os ficheiros de script, utilize registos de serviços e aplicações > Microsoft > Windows > AppLocker > MSI e o Script.For blocking and auditing of Windows Installer and script files, use Applications and Services Logs > Microsoft > Windows > AppLocker > MSI and Script.

Informações de segurança e privacidade para a proteção de dispositivosSecurity and privacy information for Device Guard

  • Nesta versão de pré-lançamento, não implementa políticas de controlo de aplicação do Windows Defender com o modo de imposição só de auditoria num ambiente de produção.In this pre-release version, do not deploy Windows Defender Application Control policies with the enforcement mode Audit Only in a production environment. Este modo destina-se para o ajudar a testar a capacidade de um laboratório apenas a definição.This mode is intended to help you test the capability in a lab setting only.
  • Dispositivos que tenham uma política implementada para os mesmos em só de auditoria ou imposição ativada modo que não foram reiniciados para impor a política e são vulneráveis ao software não fidedigno que está a ser instalado.Devices that have a policy deployed to them in Audit Only or Enforcement Enabled mode that have not been restarted to enforce the policy, are vulnerable to untrusted software being installed. Nesta situação, o software poderá continuar a permissão para ser executada mesmo que o reinício do dispositivo, ou recebe uma política no imposição ativada modo.In this situation, the software might continue to be allowed to run even if the device restarts, or receives a policy in Enforcement Enabled mode.
  • Para garantir que a política de controlo de aplicação do Windows Defender está eficaz, prepare o dispositivo num ambiente de laboratório.To ensure that the Windows Defender Application Control policy is effective, prepare the device in a lab environment. Em seguida, implemente o imposição ativada política e por fim, reiniciar o dispositivo antes de dar o dispositivo a um utilizador final.Then, deploy the Enforcement Enabled policy, and finally, restart the device before you give the device to an end user.
  • Não implemente uma política com imposição ativadae, em seguida, posteriormente, implementar uma política com só de auditoria ao mesmo dispositivo.Do not deploy a policy with Enforcement Enabled, and then later deploy a policy with Audit Only to the same device. Esta configuração poderá resultar em software não fidedigno que está a ser permitida a execução.This configuration might result in untrusted software being allowed to run.
  • Quando utilizar o Configuration Manager para ativar o controlo de aplicação do Windows Defender em PCs de cliente, a política não impedirá que utilizadores com direitos de administrador local do circumventing as políticas de controlo de aplicação ou caso contrário, executar software não fidedigno.When you use Configuration Manager to enable Windows Defender Application Control on client PCs, the policy does not prevent users with local administrator rights from circumventing the Application Control policies or otherwise executing untrusted software.
  • É a única forma de impedir que os utilizadores com direitos de administrador local da desativação de controlo de aplicação para implementar uma política de binária assinada.The only way to prevent users with local administrator rights from disabling Application Control is to deploy a signed binary policy. Esta implementação é possível através da política de grupo, mas não suportado atualmente no Configuration Manager.This deployment is possible through Group Policy but not currently supported in Configuration Manager.
  • A definição de cópia de segurança do Configuration Manager como um instalador geridos em computadores de cliente utiliza a política de AppLocker.Setting up Configuration Manager as a Managed Installer on client PCs uses AppLocker policy. O AppLocker só é utilizado para identificar geridos programas de instalação e imposição todos os acontece com a aplicação.AppLocker is only used to identify Managed Installers and all enforcement happens with Application.