Processi e interazioni di AppLocker

Questo argomento, destinato ai professionisti IT, descrive le dipendenze e le interazioni tra processi quando AppLocker valuta e impone le regole.

Modalità di implementazione dei criteri da parte di AppLocker

I criteri di AppLocker sono raccolte regole di AppLocker che possono contenere una o più impostazioni di imposizione configurate. Quando viene applicata, ogni regola è valutata all'interno dei criteri e la raccolta regole viene applicata in base all'impostazione di imposizione e alla struttura di Criteri di gruppo.

I criteri di AppLocker vengono imposti in un computer tramite il servizio Identità applicazione, che rappresenta il motore che valuta i criteri. Se il servizio non è in esecuzione, i criteri non verranno imposti. Il servizio Identità applicazione restituisce le informazioni dal file binario, anche se il nome del prodotto e quello del file binario sono vuoti, nel riquadro dei risultati dello snap-in Criteri di sicurezza locali.

I criteri di AppLocker vengono archiviati in formato di descrittore di sicurezza in base ai requisiti del servizio Identità applicazione. Usa gli attributi relativi a percorso di file, hash o FQBN per generare le azioni di autorizzazione o negazione in una regola. Ogni regola è archiviata come voce di controllo di accesso (ACE) nel descrittore di sicurezza e contiene le informazioni seguenti:

• Una voce di controllo di accesso di autorizzazione o negazione ("XA" o "XD" nel formato Security Descriptor Definition Language (SDDL)).

• L'ID di sicurezza utente (SID) a cui questa regola può essere applicata. (Il valore predefinito è il SID dell'utente autenticato o "AU" in formato SDDL).

• La condizione della regola contenente gli attributi appid.

Ad esempio, la sintassi SDDL per una regola che autorizza l'esecuzione di tutti i file nella directory % windir % usa il formato seguente: XA;;FX;;;AU;(APPID://PATH == "%windir%\*").

I criteri di AppLocker per i file eseguibili e DLL vengono letti e archiviati dal codice in modalità kernel, che fa parte di appid.sys. Ogni volta che vengono applicati nuovi criteri, un'attività di conversione dei criteri invia una notifica ad appid.sys. Per gli altri tipi di file, i criteri di AppLocker vengono letto ogni volta che viene eseguita una chiamata SaferIdentifyLevel.

Informazioni sulle regole di AppLocker

Una regola di AppLocker è un controllo inserito in un file per gestire se autorizzare o meno l'esecuzione del file stesso da parte di un utente o un gruppo specifico. Le regole vengono applicate ai cinque diversi tipi, o raccolte, di file:

• Una regola eseguibile controlla se un utente o un gruppo può eseguire un file eseguibile. L'estensione dei file eseguibili molto spesso è EXE o COM e in genere tali file sono applicazioni.

• Una regola script controlla se un utente o un gruppo può eseguire script con estensione PS1, BAT, CMD, VBS e JS.

• Una regola Windows Installer controlla se un utente o un gruppo può eseguire file con estensione MSI, MST e MSP (patch di Windows Installer).

• Una regola DLL controlla se un utente o un gruppo può eseguire file con estensione DLL e OCX.

• Una regola app in pacchetto e programma di installazione di app in pacchetto controlla se un utente o un gruppo può eseguire o installare un'app in pacchetto. L'estensione di un programma di installazione di un'app in pacchetto è APPX.

Esistono tre diversi tipi di condizioni che possono essere applicate alle regole:

• Una condizione Autore applicata a una regola controlla se un utente o un gruppo può eseguire file di un autore di software specifico. Il file deve essere firmato.

• Una condizione Percorso applicata a una regola controlla se un utente o un gruppo può eseguire file da una directory specifica o dalle relative sottodirectory.

• Una condizione Hash file applicata a una regola controlla se un utente o un gruppo può eseguire file con i corrispondenti hash crittografati.

• Informazioni sulle raccolte di regole di AppLocker

  Una raccolta regole di AppLocker è un set di regole valide per uno dei seguenti tipi: file eseguibili, file di Windows Installer, script, file DLL e app in pacchetto.

• Informazioni sui tipi di condizioni per le regole di AppLocker

  Le condizioni delle regole sono i criteri su cui si basa la regola di AppLocker. Le condizioni principali sono obbligatorie per creare una regola di AppLocker. Le tre condizioni principali delle regole sono Autore, Percorso e Hash file.

  • Informazioni sulla condizione della regola Autore in AppLocker

  • Informazioni sulla condizione della regola Percorso in AppLocker

  • Informazioni sulla condizione della regola Hash file in AppLocker

• Informazioni sulle regole predefinite di AppLocker

  AppLocker include regole predefinite per ciascuna raccolta regole. Queste regole consentono di garantire che i file richiesti per il corretto funzionamento di Windows siano autorizzati in una raccolta regole di AppLocker.

  • Regole per eseguibili in AppLocker

  • Regole per Windows Installer in AppLocker

  • Regole per script in AppLocker

  • Regole per DLL in AppLocker

  • Regole per le app in pacchetto e il programma di installazione di app in pacchetto in AppLocker

• Informazioni sulle eccezioni per le regole di AppLocker

  Puoi applicare le regole di AppLocker a singoli utenti o a un gruppo di utenti. Se applichi una regola a un gruppo di utenti, tutti gli utenti di tale gruppo sono interessati da tale regola. Se devi consentire l'uso di un'applicazione solo a un sottoinsieme di un gruppo di utenti, puoi creare una regola speciale per questo sottoinsieme.

• Informazioni sul comportamento delle regole di AppLocker e Informazioni sulle azioni di autorizzazione e di negazione di AppLocker per le regole

  Ogni raccolta regole di AppLocker funziona come un elenco di file autorizzati.

Informazioni sui criteri di AppLocker

I criteri di AppLocker sono un set di raccolte regole e delle relative impostazioni di imposizione configurate applicate a uno o più computer.

• Informazioni sulle impostazioni di imposizione di AppLocker

  L'imposizione delle regole è valida solo per le raccolte regole e non per le singole regole. AppLocker suddivide le regole in quattro raccolte: file eseguibili, file di Windows Installer, script e file DLL. Le opzioni per l'imposizione delle regole sono Non configurata, Imponi regole o Controlla soltanto. Congiuntamente tutte le raccolte regole di AppLocker compongono i criteri di controllo delle applicazioni, definiti anche criteri di AppLocker. Per impostazione predefinita, se l'imposizione non è configurata e se sono presenti regole in una raccolta regole, verranno imposte tali regole.

Informazioni su AppLocker e Criteri di gruppo

I Criteri di gruppo possono essere usati per creare, modificare e distribuire i criteri di AppLocker in altri oggetti oppure in combinazione con altri criteri.

• Informazioni sull'ereditarietà delle regole di AppLocker e delle impostazioni di imposizione in Criteri di gruppo

  Quando si usa Criteri di gruppo per distribuire i criteri di AppLocker, verranno imposte le raccolte regole non configurate. I Criteri di gruppo non sovrascrivono o sostituiscono le regole già presenti in un oggetto Criteri di gruppo collegato e applicano le regole di AppLocker assieme alle regole esistenti. AppLocker elabora la configurazione esplicita delle regole di negazione prima della configurazione delle regole di autorizzazione e, per l'imposizione della regola, viene applicata l'ultima scrittura nell'oggetto Criteri di gruppo.

Argomenti correlati

Documentazione tecnica su AppLocker