Partilhar via


Controle de aplicativo

Observação

A funcionalidade de controlo de aplicações é opcional. Tem de submeter um pedido para ativar o controlo de aplicações.

O controle de aplicativos é uma prática de segurança opcional no Microsoft Managed Desktop que restringe a execução de código em dispositivos cliente.

Esse controle reduz o risco de malware ou scripts maliciosos. O controle exige que apenas códigos assinados por uma lista de editores aprovados pelo cliente possam ser executados. Há muitos benefícios de segurança desse controle, mas ele visa principalmente proteger dados e identidade de explorações baseadas em cliente.

O Microsoft Managed Desktop simplifica o gerenciamento de políticas de controle de aplicativos criando uma política básica que permite cenários de produtividade principais. Você pode estender a confiança a outros signatários específicos dos aplicativos e scripts em seu ambiente.

Qualquer tecnologia de segurança requer um equilíbrio entre experiência do usuário, segurança e custo. O controle de aplicativos reduz a ameaça de software mal-intencionado em seu ambiente, mas há consequências para o usuário e outras ações para o administrador de TI.

Segurança e responsabilidades adicionais Descrição
Segurança adicional Aplicativos ou scripts que não são confiáveis ​​pela política de controle de aplicativos são impedidos de serem executados nos dispositivos.
Suas responsabilidades adicionais
  • Você é responsável por testar seus aplicativos para identificar se eles seriam bloqueados pela política de controle de aplicativos.
  • Se um aplicativo for (ou for) bloqueado, você será responsável por identificar os detalhes necessários do signatário. Tem de pedir uma alteração através do centro de administração.
Responsabilidades do Microsoft Managed Desktop
  • O Microsoft Managed Desktop mantém a política básica que habilita os principais produtos da Microsoft, como Aplicativos do Microsoft 365, Windows, Teams, OneDrive e assim por diante.
  • O Microsoft Managed Desktop insere seus assinantes confiáveis ​​e implanta a política atualizada em seus dispositivos.

Gerenciando a confiança nos aplicativos

O Microsoft Managed Desktop organiza uma política básica que confia nos principais componentes das tecnologias da Microsoft. Em seguida, você adiciona confiança para seus próprios aplicativos e scripts informando ao Microsoft Managed Desktop em quais aplicativos e scripts você já confia.

Política básica

O Microsoft Managed Desktop, em colaboração com especialistas em segurança cibernética da Microsoft, cria e mantém uma política padrão. Esta política padrão:

  • Habilita a maioria dos aplicativos implantados por meio do Microsoft Intune.
  • Bloqueia atividades perigosas como compilação de código ou execução de arquivos não confiáveis.

A política base adota a seguinte abordagem para restringir a execução do software:

  • Arquivos executados por administradores terão permissão para serem executados.
  • Arquivos em locais que não estão em diretórios graváveis ​​pelo usuário poderão ser executados.
  • Os arquivos são assinados por um signatário confiável.
  • A maioria dos arquivos assinados pela Microsoft serão executados, mas alguns são bloqueados para evitar ações de alto risco, como a compilação de código.

Se um usuário, que não seja um administrador, pode ter adicionado um aplicativo ou script a um dispositivo (ou seja, está em um diretório gravável pelo usuário), não permitiremos que ele seja executado. Permitiremos a execução se o aplicativo ou script já tiver sido permitido por um administrador.

Nossa política interromperá a execução de aplicativos nos seguintes cenários:

  • Se um usuário for induzido a tentar instalar malware.
  • Se houver uma vulnerabilidade em um aplicativo, o usuário executará tentativas de instalação de malware.
  • Se um usuário tentar executar intencionalmente um aplicativo ou script não autorizado.

Solicitações do signatário

Você nos informa quais aplicativos são fornecidos por editores de software nos quais você confia preenchendo uma solicitação de signatário. Ao fazer isso, nós:

  • Adicione essas informações de confiança à política de controle de aplicativos de linha de base.
  • Permita que qualquer software assinado com o certificado desse editor seja executado em seus dispositivos.

Políticas auditadas e Impostas

O Microsoft Managed Desktop usa as políticas do Microsoft Intune para fornecer controle de aplicativos:

Política de Auditoria

Essa política cria logs para registrar se um aplicativo ou script seria bloqueado pela política imposta.

As políticas de Auditoria não impõem regras de controle de aplicativos. Eles são destinados a fins de teste para identificar se um aplicativo exigirá uma isenção de editor. Ele registra avisos (eventos 8003 ou 8006) no Visualizador de Eventos em vez de bloquear a execução ou instalação de aplicativos ou scripts especificados.

Política aplicada

Essa política bloqueia a execução de aplicativos e scripts não confiáveis ​​e cria logs sempre que um aplicativo ou script é bloqueado. As políticas impostas impedem que usuários padrão executem aplicativos ou scripts armazenados em diretórios graváveis ​​pelo usuário.

Os dispositivos do grupo de teste têm uma política de Auditoria aplicada para validar se algum aplicativo causará problemas. Todos os outros grupos (Primeiro, Rápido e Amplo) usam uma política imposta. Os usuários desses grupos não poderão executar aplicativos ou scripts não confiáveis.