Monitorare l'uso delle app con AppLocker
Questo argomento, destinato ai professionisti IT, descrive come monitorare l'uso delle app quando vengono applicati i criteri di AppLocker.
Dopo aver impostato le regole e distribuito i criteri di AppLocker, è consigliabile verificare se l'implementazione dei criteri ottiene i risultati previsti.
Individuare l'effetto di singoli criteri di AppLocker
Puoi valutare la modalità di implementazione dei criteri di AppLocker per scopi di documentazione o controllo oppure prima di modificare i criteri. L'aggiornamento del documento relativo alla pianificazione della distribuzione dei criteri di AppLocker ti aiuteranno a tenere traccia dei risultati. Per informazioni sulla creazione d questo documento, vedi Creare il documento di pianificazione di AppLocker. Puoi eseguire uno o più dei seguenti passi per capire quali controlli dell'applicazione sono attualmente imposti tramite le regole di AppLocker.
Analizzare i log di AppLocker nel Visualizzatore eventi
Quando l'imposizione dei criteri di AppLocker è impostata su Imponi regole, vengono imposte le regole incluse nella raccolta regole e vengono controllati tutti gli eventi. Quando l'imposizione dei criteri di AppLocker è impostata su Controlla soltanto, le regole non vengono applicate ma sono comunque valutate per generare dati dell'evento di controllo che viene scritto nei log di AppLocker.
Per la procedura di accesso al log, vedere Visualizzare il log di AppLocker nel Visualizzatore eventi.
Abilitare l'impostazione di imposizione Controlla soltanto di AppLocker
Se usi l'impostazione di imposizione Controlla soltanto, puoi verificare che le regole di AppLocker siano state configurate correttamente per la tua organizzazione. Quando l'imposizione dei criteri di AppLocker è impostata su Controlla soltanto, le regole vengono solo valutate, mentre tutti gli eventi generati da tale valutazione vengono scritti nel log di AppLocker.
Per informazioni su questa procedura, vedi Configurare criteri di AppLocker solo per il controllo.
Rivedere gli eventi di AppLocker mediante Get-AppLockerFileInformation
Per le sottoscrizioni di eventi e gli eventi locali, puoi usare il cmdlet di Windows PowerShell Get-AppLockerFileInformation per determinare i file bloccati o presumibilmente bloccati (se usi la modalità di imposizione Controlla soltanto) e il numero di occorrenze dell'evento per ogni file.
Per informazioni su questa procedura, vedi Rivedere gli eventi di AppLocker mediante Get-AppLockerFileInformation.
Rivedere gli eventi di AppLocker tramite Test-AppLockerPolicy
Puoi usare il cmdlet di Windows PowerShell Test-AppLockerPolicy per determinare se una delle regole nelle raccolte regole verrà bloccata sul dispositivo di riferimento o sul dispositivo in cui i criteri vengono gestiti.
Per informazioni su questa procedura, vedi Testare i criteri di AppLocker tramite Test-AppLockerPolicy.
Rivedere gli eventi di AppLocker mediante Get-AppLockerFileInformation
Per le sottoscrizioni di eventi e gli eventi locali, puoi usare il cmdlet di Windows PowerShell Get-AppLockerFileInformation per determinare i file bloccati o presumibilmente bloccati (se è applicata la modalità di imposizione Controlla soltanto) e il numero di occorrenze dell'evento per ogni file.
Per completare questa procedura, il requisito minimo è l'appartenenza al gruppo Administrators locale o equivalente.
Nota
Se i log di AppLocker non sono presenti nel dispositivo locale, ti servirà l'autorizzazione per visualizzarli. Se l'output viene salvato in un file, ti servirà l'autorizzazione per leggere tale file.
.gif "Mt431800.wedge(it-it,VS.85).gif")
Per rivedere gli eventi di AppLocker mediante Get-AppLockerFileInformation
Nel prompt dei comandi digita PowerShell e quindi premi INVIO.
Esegui il comando seguente per esaminare quante volte l'esecuzione di un file viene bloccata se le regole vengono imposte:
Get-AppLockerFileInformation –EventLog –EventType Audited –StatisticsEsegui il comando seguente per rivedere quante volte l'esecuzione di un file è autorizzata o negata:
Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics
Visualizzare il log di AppLocker nel Visualizzatore eventi
Quando l'imposizione dei criteri di AppLocker è impostata su Imponi regole, vengono imposte le regole incluse nella raccolta regole e vengono controllati tutti gli eventi. Quando l'imposizione dei criteri di AppLocker è impostata su Controlla soltanto, le regole vengono solo valutate, mentre tutti gli eventi generati da tale valutazione vengono scritti nel log di AppLocker.
Per completare questa procedura, il requisito minimo è l'appartenenza al gruppo Administrators locale o equivalente.
Per visualizzare gli eventi nel log di AppLocker usando il Visualizzatore eventi
Apri il Visualizzatore eventi. A tale scopo, fai clic su Start, digita eventvwr.msc e quindi premi INVIO.
Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows fai doppio clic su AppLocker.
Gli eventi di AppLocker sono elencati nel log EXE e DLL, nel log MSI e Script, nel log Distribuzione app in pacchetto o nel log Esecuzione app in pacchetto. Le informazioni sugli eventi includono l'impostazione dell'imposizione, il nome del file, la data e ora e il nome dell'utente. I log possono essere esportati in altri formati di file per un'ulteriore analisi.