Architettura e componenti di AppLocker
Questo argomento, destinato ai professionisti IT, descrive l'architettura di base di AppLocker e i relativi componenti principali.
AppLocker si basa sul servizio Identità applicazione per fornire gli attributi per un file e valutare i relativi criteri di AppLocker. I criteri di AppLocker sono voci di controllo di accesso condizionale e vengono valutati mediante le funzioni di controllo di accesso basato su attributi SeAccessCheckWithSecurityAttributes o AuthzAccessCheck.
AppLocker offre tre modi per rilevare e verificare se l'esecuzione di un file è consentita in base ai criteri di AppLocker.
Creazione di un nuovo processo
Quando viene creato un nuovo processo, ad esempio quando viene eseguito un file eseguibile o un'app di Windows universale, AppLocker richiama il componente Identità applicazione per calcolare gli attributi del file eseguibile principale usato per creare un nuovo processo. Aggiorna quindi il token del nuovo processo in base a questi attributi e controlla i criteri di AppLocker per verificare che l'esecuzione del file eseguibile sia consentita.
Caricamento di un file DLL
Quando viene caricato un nuovo file DLL, ad AppLocker viene inviata una notifica volta a verificare che il caricamento del file DLL sai consentito. AppLocker richiama il componente Identità applicazione per calcolare gli attributi del file. Duplica il token del processo esistente e sostituisce gli attributi di identità dell'applicazione nel token duplicato con gli attributi del file DLL caricato. AppLocker valuta quindi i criteri del file DLL ed elimina il token duplicato. A seconda del risultato di questo controllo, il sistema continua a caricare il file DLL o interrompe il processo.
Esecuzione di uno script
Prima dell'esecuzione di uno script file viene eseguito, l'host di script (ad esempio, per l'host di script di file PS1 è PowerShell) richiama AppLocker per verificare lo script. AppLocker richiama il componente identità applicazione in modalità utente con il nome o l'handle di file per calcolare le proprietà del file. Il file di script viene quindi valutato in base ai criteri di AppLocker per verificare se è consentita l'esecuzione. In ogni caso, le azioni eseguite da AppLocker vengono scritte nel registro eventi.