Panoramica di Controllo app per le aziende e AppLocker

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Windows 10 e Windows 11 includono due tecnologie che possono essere usate per il controllo delle applicazioni, a seconda degli scenari e dei requisiti specifici dell'organizzazione: Controllo app per le aziende e AppLocker.

Controllo delle applicazioni per le aziende

Controllo app è stato introdotto con Windows 10 e consente alle organizzazioni di controllare quali driver e applicazioni possono essere eseguiti nei client Windows. È stato progettato come funzionalità di sicurezza in base ai criteri di manutenzione, definiti dal Microsoft Security Response Center (MSRC).

I criteri di Controllo app si applicano all'intero computer gestito e interessano tutti gli utenti del dispositivo. Le regole di Controllo app possono essere definite in base a:

• Attributi del certificato di progettazione condivisa usato per firmare un'app e i relativi file binari
• Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file
• La reputazione dell'app determinata da Intelligent Security Graph di Microsoft
• Identità del processo che ha avviato l'installazione dell'app e dei relativi file binari (programma di installazione gestito)
• Percorso in cui l'app o il file esiste su disco (a partire da Windows 10 versione 1903)
• Processo che ha avviato l'app o il file binario

Nota

Controllo app per le aziende è stato rilasciato originariamente come parte di Device Guard e denominato integrità del codice configurabile. I termini "Device Guard" e "integrità del codice configurabile" non vengono più usati con Controllo app tranne quando si distribuiscono criteri tramite Criteri di gruppo.

Requisiti di sistema per il controllo delle app

I criteri di Controllo app possono essere creati e applicati in qualsiasi edizione client di Windows 10 o Windows 11 o in Windows Server 2016 e versioni successive. I criteri di Controllo app possono essere distribuiti tramite una soluzione MDM (Mobile Gestione dispositivi), ad esempio Intune, un'interfaccia di gestione come Configuration Manager o un host di script come PowerShell. Criteri di gruppo può essere usato anche per distribuire i criteri di controllo delle app, ma è limitato ai criteri di formato a singolo criterio che funzionano su Windows Server 2016 e 2019.

Per altre informazioni sulle singole funzionalità di Controllo app disponibili nella versione di Windows, vedi Disponibilità delle funzionalità di Controllo app.

AppLocker

AppLocker è stato introdotto con Windows 7 e consente alle organizzazioni di controllare quali applicazioni possono essere eseguite nei client Windows. AppLocker consente di impedire agli utenti finali di eseguire software non approvato nei computer, ma non soddisfa i criteri di manutenzione per essere una funzionalità di sicurezza.

I criteri di AppLocker possono essere applicati a tutti gli utenti di un computer o a singoli utenti e gruppi. Le regole di AppLocker possono essere definite in base a:

• Attributi del certificato di progettazione condivisa usato per firmare un'app e i relativi file binari.
• Attributi dei file binari dell'app che provengono dai metadati firmati per i file, ad esempio nome file originale e versione, o hash del file.
• Percorso in cui l'app o il file esiste su disco.

AppLocker viene usato anche da alcune funzionalità di Controllo app, tra cui il programma di installazione gestito e Intelligent Security Graph.

Requisiti di sistema di AppLocker

I criteri di AppLocker possono essere configurati e applicati solo ai dispositivi in esecuzione nelle versioni e nelle edizioni supportate del sistema operativo Windows. Per altre info, vedi Requisiti per l'uso di AppLocker. I criteri di AppLocker possono essere distribuiti usando Criteri di gruppo o MDM.

Scegliere quando usare Il controllo app o AppLocker

In genere, i clienti che sono in grado di implementare il controllo dell'applicazione usando Controllo app, anziché AppLocker, devono farlo. Controllo app sta subendo continui miglioramenti e viene aggiunto il supporto dalle piattaforme di gestione Microsoft. Anche se AppLocker continua a ricevere correzioni di sicurezza, non sta ottenendo nuovi miglioramenti delle funzionalità.

In alcuni casi, tuttavia, AppLocker potrebbe essere la tecnologia più appropriata per l'organizzazione. AppLocker è ideale quando:

• Si dispone di un ambiente del sistema operativo Windows misto ed è necessario applicare gli stessi controlli dei criteri a Windows 10 e versioni precedenti del sistema operativo.
• È necessario applicare criteri diversi per utenti o gruppi diversi nei computer condivisi.

AppLocker può anche essere distribuito come complemento a Controllo app per aggiungere regole specifiche dell'utente o del gruppo per gli scenari di dispositivi condivisi, in cui è importante impedire ad alcuni utenti di eseguire app specifiche. Come procedura consigliata, è consigliabile applicare il controllo app al livello più restrittivo possibile per l'organizzazione e quindi usare AppLocker per ottimizzare ulteriormente le restrizioni.

Cosa si dovrebbe leggere dopo

• Se si vuole usare il controllo app, una delle funzionalità di sicurezza più potenti di Windows, è necessario pianificare e preparare se si vuole avere esito positivo. Per iniziare, esplorare la Guida alla progettazione di Controllo app per le aziende.

• Se si è pronti per iniziare a creare criteri, rivedere Controllo app intelligenti e Usare i criteri di controllo delle app intelligenti per creare criteri di avvio personalizzati.