Condividi tramite

Controllo delle applicazioni per Windows

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

I dati dell'organizzazione sono uno dei suoi asset più preziosi... e avversari lo vogliono. Indipendentemente dai controlli di sicurezza applicati sui dati, non sono disponibili controlli per proteggere completamente la destinazione più vulnerabile: l'utente attendibile seduto sulla tastiera. Quando un utente esegue un processo, tale processo condivide lo stesso accesso ai dati dell'utente. Le informazioni sensibili vengono quindi trasmesse, modificate, eliminate o crittografate facilmente quando un utente, intenzionalmente o meno, esegue software dannoso. E con migliaia di nuovi file dannosi creati ogni giorno, affidarsi esclusivamente a metodi tradizionali come le soluzioni antivirus (AV) offre una difesa inadeguata contro i nuovi attacchi.

Il controllo dell'applicazione cambia Windows da una posizione in cui viene eseguito tutto il codice, a meno che la soluzione AV non lo preveda in modo sicuro, a uno in cui il codice viene eseguito solo se i criteri lo specificano. Le minacce informatiche che affronti cambiano rapidamente e anche le tue difese devono cambiare. Le organizzazioni governative e di sicurezza, come l'Australian Signals Directorate, spesso citano il controllo delle applicazioni come uno dei modi più efficaci per affrontare la minaccia del malware eseguibile basato su file (.exe, .dll e così via). Funziona insieme alla soluzione AV per attenuare le minacce alla sicurezza limitando le app che gli utenti possono eseguire e anche il codice eseguito nel core di sistema (kernel).

Importante

Anche se il controllo delle applicazioni può rafforzare in modo significativo i computer contro il codice dannoso, non è un sostituto per l'antivirus. È consigliabile continuare a mantenere una soluzione antivirus attiva insieme a Controllo app per un portfolio di sicurezza aziendale a tutto tondo.

Anche se viene chiamato controllo applicazione, il codice in esecuzione nel sistema non è sempre un'app. Il controllo delle applicazioni si estende oltre le app per coprire anche script e programmi di installazione Microsoft (MSI), file batch da riga di comando e persino sessioni interattive di Windows PowerShell, eseguite in modalità linguaggio vincolato.

Windows include due tecnologie di controllo delle applicazioni che è possibile usare a seconda degli scenari e dei requisiti specifici dell'organizzazione:

  • Controllo app per le aziende (controllo app); e
  • AppLocker

Controllo app e controllo app intelligenti

A partire da Windows 11 versione 22H2, Il controllo delle app intelligenti offre un solido controllo delle applicazioni ai consumer e ad alcune piccole aziende con portfolio di app più semplici. Il controllo delle app intelligenti garantisce che solo le esecuzioni di codice firmato o il codice stimato siano sicuri dal servizio di sicurezza intelligente basato sul cloud. Quando il codice non è firmato e il servizio non è in grado di prevedere con certezza che l'esecuzione è sicura, viene bloccato. Nel corso del tempo, la reputazione del codice potrebbe cambiare man mano che il servizio elabora nuovi segnali ricevuti. Nel frattempo, il codice determinato come non sicuro è sempre bloccato.

Anche se Il controllo app intelligente è progettato per i consumer, riteniamo che sia il punto di partenza ideale per la maggior parte delle organizzazioni. Poiché è basato interamente sul controllo delle app per le aziende, è possibile creare un criterio con la stessa sicurezza e compatibilità di Smart App Control che considera attendibili anche le app line-of-business (LOB) necessarie all'organizzazione. Il servizio Smart App Control usa per stimare quale codice è sicuro da eseguire è disponibile anche in Controllo app per le aziende e denominato Intelligent Security Graph (ISG).

Controllo app intelligente viene avviato in modalità di valutazione e disattivato entro 48 ore per i dispositivi gestiti dall'organizzazione, a meno che l'utente non lo attivi per primo. Se si vuole disattivare in modo proattivo Il controllo delle app intelligenti negli endpoint dell'organizzazione, impostare il valore del Registro di sistema VerifiedAndReputablePolicyState (DWORD) in HKLM\SYSTEM\CurrentControlSet\Control\CI\Policy come illustrato nella tabella seguente. Dopo aver modificato il valore del Registro di sistema, è necessario eseguire CiTool.exe -r per rendere effettiva la modifica.

Value Descrizione
0 Inattivo
1 Rinforzare
2 Valutazione

Importante

Dopo aver disattivato Smart App Control, non può essere attivato senza reimpostare o reinstallare Windows.

I criteri di controllo delle app usati per il controllo app intelligente sono inclusi nello strumento di creazione dei criteri della Creazione guidata controllo app e sono disponibili anche come criteri di esempio in %windir%/schemas/CodeIntegrity/ExamplePolicies/SmartAppControl.xml. Per usare questo criterio di esempio come punto di partenza per i criteri personalizzati, vedere Usare i criteri di controllo delle app intelligenti per creare criteri di base personalizzati. Quando si usano i criteri di esempio di Controllo app intelligente come base per i criteri personalizzati, è necessario rimuovere l'opzione Enabled:Conditional Windows Lockdown Policy (Criteri di blocco condizionali di Windows ) in modo che sia pronta per l'uso come criterio di controllo app per le aziende.

Requisiti di licenza ed edizione di Windows

Nella tabella seguente sono elencate le edizioni di Windows che supportano Il controllo app per le aziende:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

I diritti di licenza di Controllo app sono concessi dalle licenze seguenti:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.