Gestire app in pacchetto con AppLocker
Questo argomento, rivolto ai professionisti IT, descrive i concetti ed elenca le procedure che consentono di gestire le app in pacchetto con AppLocker nell'ambito di una strategia globale di controllo delle applicazioni.
Informazioni sulle app in pacchetto e sui programmi di installazione di app in pacchetto per AppLocker
Le app in pacchetto, conosciute anche come app di Windows universali, sono basate su un modello che garantisce la stessa identità di tutti i file all'interno di una condivisione di pacchetti di app. Nelle app di Windows classiche ogni file all'interno dell'app può avere un'identità univoca. Nelle app in pacchetto è possibile controllare l'intera app usando un'unica regola di AppLocker.
Nota
AppLocker supporta solo le regole Autore per le app in pacchetto. Tutte le app in pacchetto devono essere firmate dall'autore del software perché Windows non supporta app in pacchetto non firmate.
In genere, un'app è costituita da più componenti: il programma di installazione che viene usato per installare l'app e uno o più file EXE, file DLL o file di script. Nelle app di Windows classiche, non tutti i componenti condividono sempre gli attributi comuni, ad esempio il nome dell'autore del software, il nome del prodotto e la versione del prodotto. Pertanto, AppLocker controlla ciascuno di questi componenti separatamente tramite raccolte regole distinte, ad esempio regole EXE, DLL, script e Windows Installer. Tutti i componenti di un'app in pacchetto condividono invece lo stesso nome di autore, lo stesso nome del pacchetto e gli stessi attributi di versione del pacchetto. Puoi pertanto controllare un'intera app con una singola regola.
Confronto tra app di Windows classiche e app in pacchetto
I criteri di AppLocker per le app in pacchetto possono essere applicati solo alle app installate in computer che eseguono almeno Windows Server 2012 o Windows 8, mentre le app di Windows classiche possono essere controllate in dispositivi che eseguono almeno Windows Server 2008 R2 o Windows 7. Le regole per le app di Windows classiche e le app in pacchetto possono essere imposte contemporaneamente. Di seguito sono riportate alcune considerazioni sulle differenze tra le app in pacchetto e le app di Windows classiche:
Installazione di app Tutte le app in pacchetto possono essere installate da un utente standard, mentre l'installazione di numerose app di Windows classiche richiede privilegi amministrativi. In un ambiente in cui gli utenti standard sono la maggioranza, potresti non disporre di un numero sufficiente di regole Exe dal momento che l'installazione delle app di Windows classiche richiede privilegi amministrativi, ma potresti voler disporre di un maggior numero di criteri espliciti per le app in pacchetto.
Modifica dello stato del sistema Le app di Windows classiche possono essere scritte in modo da modificare lo stato del sistema se vengono eseguite con privilegi amministrativi. La maggior parte delle app in pacchetto non possono modificare lo stato del sistema perché vengono eseguite con privilegi limitati. Quando progetti i criteri di AppLocker, è importante capire se un'app che stai autorizzando può apportare modifiche a livello di sistema.
Acquisizione delle app Le app in pacchetto possono essere acquisite tramite lo Store oppure mediante il caricamento usando i cmdlet di Windows PowerShell (in questo caso è richiesta una licenza Enterprise speciale). Le app di Windows classiche possono essere acquisite mediante i canali tradizionali.
AppLocker usa raccolte regole diverse per controllare le app in pacchetto e le app di Windows classiche. Hai la possibilità di controllare l'uno o l'altro tipo di app oppure entrambi.
Per informazioni sul controllo delle app di Windows classiche, vedi Amministrare AppLocker.
Per altre informazioni sulle app in pacchetto, vedi Regole per le app in pacchetto e il programma di installazione di app in pacchetto in AppLocker.
Decisioni di progettazione e distribuzione
Puoi usare due metodi per creare un inventario di app in pacchetto in un computer, ovvero usando la console di AppLocker o il cmdlet di Windows PowerShell Get-AppxPackage.
Nota
Non tutte le app in pacchetto sono elencate nella procedura guidata relativa all'inventario delle applicazioni di AppLocker. Alcuni pacchetti di app sono pacchetti di framework che vengono usati da altre app. Questi pacchetti in sé non eseguono alcuna operazione, ma il loro blocco può inavvertitamente generare errori per le app che vuoi autorizzare. Puoi invece creare regole di autorizzazione o negazione per le app in pacchetto che usano questi pacchetti di framework. L'interfaccia utente di AppLocker esclude in modo esplicito tutti i pacchetti registrati come pacchetti di framework. Per info su come creare un elenco di inventario, vedi Creare l'elenco di app distribuite in ogni gruppo aziendale.
Per info su come usare il cmdlet di Windows PowerShell Get-AppxPackage, vedi la Guida comandi PowerShell per AppLocker.
Per info sulla creazione di regole per le app in pacchetto, vedi Creare una regola per le app in pacchetto.
Durante la fase di progettazione e distribuzione delle app, considera le informazioni seguenti:
Poiché AppLocker supporta solo le regole Autore per le app in pacchetto, la raccolta delle informazioni sul percorso di installazione per le app in pacchetto non è necessaria.
Non puoi creare regole basate su hash o percorso per le app in pacchetto perché tutte le app in pacchetto e i relativi programmi di installazione sono firmati dall'autore di software del pacchetto. Le app di Windows classiche non sono sempre firmate in modo coerente. Pertanto, AppLocker deve supportare regole basate su hash o percorso.
Per impostazione predefinita, se non esistono regole in una raccolta regole specifica, AppLocker autorizza tutti i file inclusi in tale raccolta. Ad esempio, se non esistono regole Windows Installer, AppLocker autorizza l'esecuzione di tutti i file MSI, MSP e MST. I criteri di AppLocker esistenti applicati ai computer che eseguono Windows Server 2008 R2 e Windows 7 non contengono regole per le app in pacchetto. Pertanto, quando un computer che esegue almeno Windows Server 2012 o Windows 8 viene aggiunto a un dominio in cui i criteri di AppLocker sono già configurati, gli utenti saranno in grado di eseguire tutte le app in pacchetto. Ciò potrebbe essere in linea con la tua progettazione.
Per impedire l'esecuzione di tutte le app in pacchetto in un computer appena aggiunto a un dominio, per impostazione predefinita AppLocker blocca tutte le app in pacchetto in un computer che esegue almeno Windows Server 2012 o Windows 8 se i criteri di dominio esistenti includono regole configurate nella raccolta regole Exe. Devi eseguire in modo esplicito un'azione per autorizzare le app in pacchetto nell'organizzazione. Puoi autorizzare solo un insieme definito di app in pacchetto. Se vuoi autorizzare tutte le app in pacchetto, puoi invece creare una regola predefinita per la raccolta di app in pacchetto.
Uso di AppLocker per gestire le app in pacchetto
Partendo dal fatto che esistono differenze nella gestione delle singole raccolte regole, devi gestire le app in pacchetto in base alla seguente strategia:
Raccogliere le informazioni sulle app in pacchetto in esecuzione nell'ambiente in uso. Per info su come eseguire questa operazione, vedi Creare l'elenco di app distribuite in ogni gruppo aziendale.
Creare regole di AppLocker per app in pacchetto specifiche in base alle strategie dei criteri precedentemente definite. Per altre informazioni, vedi Creare una regola per le app in pacchetto e Regole predefinite per app in pacchetto in AppLocker.
Continuare ad aggiornare i criteri di AppLocker a mano a mano che vengono aggiunte nuove app in pacchetto all'ambiente. Per info su come fare, vedi Aggiungere regole per le app in pacchetto a un set di regole di AppLocker esistente.
Continuare a monitorare l'ambiente per verificare l'efficacia delle regole distribuiti nei criteri di AppLocker. Per info su come fare, vedi Monitorare l'uso delle app con AppLocker.