Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
Quando possibile, il controllo app per le aziende (controllo app) deve essere abilitato quando si configura un dispositivo per la prima volta e prima di installare qualsiasi app. Ciò garantisce che il sistema sia in uno stato "pulito" all'avvio di Controllo app ed è particolarmente importante per le app consentite perché sono state installate da un programma di installazione gestito o perché Intelligent Security Graph (ISG) ha determinato che l'app era sicura per l'esecuzione.
In genere, la distribuzione di Controllo app per le aziende avviene meglio in fasi, anziché essere una funzionalità che si "attiva". La scelta e la sequenza di fasi dipendono dal modo in cui vengono usati i vari computer e altri dispositivi nell'organizzazione e in quale misura l'IT gestisce tali dispositivi. La tabella seguente consente di iniziare a sviluppare un piano per la distribuzione di Controllo app nell'organizzazione. È comune per le organizzazioni avere casi d'uso dei dispositivi in ognuna delle categorie descritte.
Casi d'uso comuni
| Caso d'uso | Relazione tra Controllo app e questo caso d'uso |
|---|---|
|
Blocca le app indesiderate: poche aziende gestiscono tutte le app centralmente, richiedendo un lungo periodo di individuazione prima ancora di poter iniziare a decidere cosa consentire. Al contrario, l'attenzione del reparto IT cambia per bloccare un set di app che considerano problemi, mentre compilano l'inventario delle app. |
Usando Controllo app, distribuire un criterio solo blocklist insieme a un criterio di controllo allowlist per raccogliere informazioni sulle app e sui processi in esecuzione nei dispositivi. |
|
Dispositivi poco gestiti: di proprietà dell'azienda, ma gli utenti sono liberi di installare software. I dispositivi sono necessari per eseguire app specifiche, ad esempio la soluzione antivirus dell'organizzazione o gli strumenti di gestione client del supporto tecnico. |
Controllo app per le aziende può essere usato per proteggere il kernel e per consentire agli utenti di eseguire app firmate, vengono installate dalla soluzione di distribuzione delle app dell'azienda, ad esempio Intune, in posizioni in cui solo un amministratore può scrivere file e qualsiasi app con buona reputazione. |
|
Dispositivi completamente gestiti: il software consentito è limitato dal reparto IT. Gli utenti possono richiedere più software o eseguire l'installazione da un elenco di applicazioni fornite dal reparto IT. Esempi: computer desktop e portatili bloccati di proprietà dell'azienda. |
È possibile stabilire e applicare un criterio iniziale di controllo delle app per le aziende. Ogni volta che il reparto IT approva altre applicazioni, può aggiornare i criteri di controllo delle app nell'ambito dei processi di creazione e distribuzione delle app. In alternativa, possono creare e firmare file di catalogo delle app che vengono quindi distribuiti come dipendenza dell'app. |
|
Dispositivi con carico di lavoro fisso: eseguono ogni giorno le stesse attività. Gli elenchi di applicazioni approvate cambiano raramente. Esempi: chioschi multimediali, sistemi POS, computer di call center. |
Il controllo delle app per le aziende può essere distribuito completamente e la distribuzione e l'amministrazione in corso sono relativamente semplici. Dopo la distribuzione di Controllo app per le aziende, è possibile eseguire solo le applicazioni approvate. Questa regola è dovuta alle protezioni offerte da Controllo app. |
| Bring Your Own Device (BYOD): i dipendenti sono autorizzati a usare dispositivi personali, anche lontano dal lavoro. | Nella maggior parte dei casi, controllo app per le aziende non si applica. È possibile invece valutare altre funzionalità di sicurezza e protezione avanzata con soluzioni di accesso condizionale basato su MDM, ad esempio Microsoft Intune. Tuttavia, è possibile scegliere di distribuire criteri in modalità di controllo in questi dispositivi o usare solo criteri di tipo blocklist per impedire app o file binari specifici considerati dannosi o vulnerabili dall'organizzazione. |
| Sistemi "dirty": l'introduzione di una soluzione di controllo delle app nei sistemi già in uso è molto più complessa rispetto a quando la si applica a un nuovo dispositivo che non ha ancora installato alcuna app. A volte, è necessario effettuare compromessi per mantenere la produttività anche se alcune app potrebbero essere indesiderate dall'organizzazione. | Usando uno script per applicare i criteri di controllo delle app, le organizzazioni possono creare un criterio analizzando ogni dispositivo e creando regole per ogni file binario o script osservato. Questo set di regole viene usato per integrare i criteri di base più restrittivi applicati ai dispositivi nuovi, appena configurati. In questo modo, qualsiasi app installata in precedenza continua a funzionare, ma tutte le installazioni future devono superare le regole di controllo delle app appena applicate dalle organizzazioni. |
Introduzione a Lamna Healthcare Company
Nel set di articoli successivo verranno esaminati i criteri per gestire scenari come quelli nella tabella usando una società fittizia denominata Lamna Healthcare Company.
Lamna Healthcare Company (Lamna) è un grande operatore sanitario che opera nel Stati Uniti. Lamna impiega migliaia di persone, da medici e infermieri a contabili, avvocati interni e tecnici IT. I casi d'uso dei dispositivi sono diversi e includono workstation monoutente per il personale professionale, chioschi condivisi usati da medici e infermieri per accedere alle cartelle cliniche dei pazienti, dispositivi medici dedicati come scanner MRI e molti altri. Inoltre, Lamna ha una politica rilassata e bring-your-own-device per molti dei loro professionisti.
Lamna usa Microsoft Intune in modalità ibrida con Configuration Manager e Intune. Anche se usano Microsoft Intune per distribuire molte applicazioni, Lamna ha sempre avuto procedure di utilizzo delle applicazioni meno rigide: i singoli team e dipendenti sono stati in grado di installare e usare tutte le applicazioni che ritengono necessarie per il proprio ruolo nelle proprie workstation. Lamna ha anche recentemente iniziato a usare Microsoft Defender per endpoint per migliorare il rilevamento e la risposta degli endpoint.
Di recente, Lamna ha riscontrato un evento ransomware che ha richiesto un processo di recupero costoso e potrebbe aver incluso l'esfiltrazione dei dati da parte dell'utente malintenzionato sconosciuto. Parte dell'attacco includeva l'installazione e l'esecuzione di file binari dannosi che evitavano il rilevamento da parte della soluzione antivirus di Lamna, ma che sarebbero stati bloccati da un criterio di controllo delle app. In risposta, il consiglio esecutivo di Lamna ha autorizzato molte nuove risposte IT di sicurezza, tra cui l'inasprimento dei criteri per l'uso delle applicazioni e l'introduzione del controllo delle app.
Il prossimo
A questo punto, creare i criteri iniziali usando il "cerchio di attendibilità" di Controllo app intelligente come punto di partenza.
In alternativa, se si preferisce: