Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
Sempre que possível, o Controlo de Aplicações para Empresas (controlo de aplicações) deve ser ativado ao configurar um dispositivo pela primeira vez e antes de instalar quaisquer aplicações. Isto garante que o sistema está num estado "limpo" quando o Controlo de Aplicações é iniciado e é especialmente importante para as aplicações permitidas porque foram instaladas por um instalador gerido ou porque o Graph de Segurança Inteligente (ISG) determinou que a aplicação era segura para ser executada.
Normalmente, a implementação do Controlo de Aplicações para Empresas ocorre melhor por fases, em vez de ser uma funcionalidade que simplesmente "ativa". A escolha e sequência de fases depende da forma como vários computadores e outros dispositivos são utilizados na sua organização e até que ponto as TI gerem esses dispositivos. A tabela seguinte pode ajudá-lo a começar a desenvolver um plano para implementar o Controlo de Aplicações na sua organização. É comum as organizações terem casos de utilização de dispositivos em cada uma das categorias descritas.
Casos de utilização comuns
| Caso de utilização | Como o Controlo de Aplicações está relacionado com este caso de utilização |
|---|---|
|
Bloquear aplicações indesejáveis: poucas empresas gerem todas as aplicações centralmente, precisando de um longo período de deteção antes mesmo de poderem começar a decidir o que permitir. Em vez disso, o foco do departamento de TI muda para bloquear um conjunto de aplicações que consideram problemas, enquanto criam o inventário das aplicações. |
Com o Controlo de Aplicações, implemente uma política apenas de lista de bloqueios juntamente com uma política de lista de permissões de auditoria para recolher informações sobre as aplicações e os processos em execução nos seus dispositivos. |
|
Dispositivos levemente gerenciados: de propriedade da empresa, embora os usuários estejam livres para instalar o software. Os dispositivos são necessários para executar aplicações específicas, como a solução antivírus da organização ou as respetivas ferramentas de gestão de cliente de suporte técnico. |
O Controlo de Aplicações para Empresas pode ser utilizado para ajudar a proteger o kernel e para permitir que os utilizadores executem aplicações assinadas, são instalados pela solução de implementação de aplicações da empresa, como Intune, foram instalados em localizações onde apenas um administrador pode escrever ficheiros e qualquer aplicação com boa reputação. |
|
Dispositivos totalmente geridos: o software permitido é restringido pelo seu departamento de TI. Os utilizadores podem pedir mais software ou instalar a partir de uma lista de aplicações fornecidas pelo departamento de TI. Exemplos: desktops e notebooks bloqueados e de propriedade de empresas. |
Uma política inicial do Controlo de Aplicações para Empresas de linha de base pode ser estabelecida e imposta. Sempre que o departamento de TI aprovar mais aplicações, poderá atualizar a política de Controlo de Aplicações como parte dos processos de empacotamento e implementação de aplicações. Em alternativa, podem criar e assinar ficheiros de catálogo de aplicações que, em seguida, são distribuídos como uma dependência da aplicação. |
|
Dispositivos de carga de trabalho fixa: realizam as mesmas tarefas diariamente. Listas de aplicativos aprovados raramente mudam. Exemplos: quiosques, sistemas de ponto de venda, computadores de call center. |
O Controlo de Aplicações para Empresas pode ser totalmente implementado e a implementação e a administração contínua são relativamente simples. Após a implementação do Controlo de Aplicações para Empresas, apenas as aplicações aprovadas podem ser executadas. Esta regra deve-se às proteções oferecidas pelo Controlo de Aplicações. |
| Traga seu próprio dispositivo: os funcionários têm permissão para trazer seus próprios dispositivos, além de usá-los fora do trabalho. | Na maioria dos casos, o Controlo de Aplicações para Empresas não se aplica. Em vez disso, você pode explorar outros recursos de proteção e segurança com soluções de acesso condicional baseadas no MDM, como o Microsoft Intune. No entanto, pode optar por implementar uma política de modo de auditoria nestes dispositivos ou utilizar uma política apenas de lista de bloqueios para impedir aplicações ou binários específicos considerados maliciosos ou vulneráveis pela sua organização. |
| Sistemas "sujos": a introdução de uma solução de controlo de aplicações em sistemas que já estão a ser utilizados é muito mais desafiante do que quando a aplica a um novo dispositivo que ainda não instalou nenhuma aplicação. Por vezes, têm de ser feitas trocas para manter a produtividade, mesmo que algumas aplicações possam ser indesejadas pela organização. | Ao utilizar um script para aplicar políticas de Controlo de Aplicações, as organizações podem criar uma política ao analisar cada dispositivo e criar regras para cada ficheiro binário ou de script observado. Este conjunto de regras é utilizado para complementar a política base mais restritiva aplicada a dispositivos recentemente configurados. Desta forma, qualquer aplicação instalada anteriormente continua a funcionar, mas todas as instalações futuras têm de passar nas regras de controlo de aplicações recentemente impostas pelas organizações. |
Uma introdução à Lamna Healthcare Company
No próximo conjunto de artigos, vamos explorar políticas para lidar com cenários como os da tabela com uma empresa fictícia chamada Lamna Healthcare Company.
A Lamna Healthcare Company (Lamna) é uma grande prestadora de cuidados de saúde que opera no Estados Unidos. Lamna emprega milhares de pessoas, desde médicos e enfermeiros a contabilistas, advogados internos e técnicos de TI. Os seus casos de utilização de dispositivos são variados e incluem estações de trabalho de utilizador único para os seus funcionários profissionais, quiosques partilhados utilizados por médicos e enfermeiros para aceder aos registos dos pacientes, dispositivos médicos dedicados, como scanners de RESSONÂNCIA Magnética, entre muitos outros. Além disso, a Lamna tem uma política descontraída e bring-your-own-device para muitos dos seus funcionários profissionais.
A Lamna utiliza Microsoft Intune no modo híbrido com Configuration Manager e Intune. Embora utilizem Microsoft Intune para implementar muitas aplicações, a Lamna sempre teve práticas de utilização de aplicações flexíveis: as equipas individuais e os funcionários conseguiram instalar e utilizar quaisquer aplicações que considerem necessárias para a sua função nas suas próprias estações de trabalho. A Lamna também começou recentemente a utilizar Microsoft Defender para Ponto de Extremidade para uma melhor deteção e resposta de pontos finais.
Recentemente, a Lamna experimentou um evento de ransomware que exigia um processo de recuperação dispendioso e pode ter incluído a transferência de dados por parte do atacante desconhecido. Parte do ataque incluía a instalação e execução de binários maliciosos que impediam a deteção pela solução antivírus da Lamna, mas que teriam sido bloqueados por uma política de Controlo de Aplicações. Em resposta, o conselho executivo da Lamna autorizou muitas novas respostas de TI de segurança, incluindo políticas mais apertadas para utilização de aplicações e introdução do Controlo de Aplicações.
A seguir
Agora, vamos criar a nossa política inicial com o "círculo de confiança" do Controlo de Aplicações Inteligentes como ponto de partida.
- Utilize a política de Controlo de Aplicações Inteligentes para criar a sua política base de arranque.
Ou, se preferir: