Pianificare per la gestione dei criteri di AppLocker
Questo argomento descrive le decisioni che devi prendere per definire i processi per gestire e amministrare i criteri di AppLocker.
Gestione dei criteri
Prima di iniziare il processo di distribuzione, valuta come verranno gestite le regole di AppLocker. Lo sviluppo di un processo per la gestione delle regole di AppLocker ti permette di garantire che AppLocker continui a controllare in modo efficiente come l'esecuzione delle applicazioni viene autorizzata all'interno dell'organizzazione.
Criteri per il supporto di applicazioni e utenti
Lo sviluppo di un processo per la gestione delle regole di AppLocker ti permette di garantire che AppLocker continui a controllare in modo efficiente come l'esecuzione delle applicazioni viene autorizzata all'interno dell'organizzazione. Ecco alcune considerazioni:
Che tipo di supporto per l'utente finale viene fornito per le applicazioni bloccate?
Come vengono aggiunte le nuove regole ai criteri?
Come vengono aggiornate le regole esistenti?
Gli eventi vengono inoltrati per la revisione?
Supporto tecnico
Se nell'organizzazione è disponibile un reparto per il supporto tecnico, considera gli aspetti seguenti durante la distribuzione dei criteri di AppLocker:
Di quale documentazione necessita il reparto del supporto tecnico per le distribuzioni di nuovi criteri?
A livello di flusso di lavoro e tempistica, quali sono i processi critici in ogni gruppo aziendale che saranno interessati dai criteri di controllo delle applicazioni e in che modo tali processi ne influenzano il carico di lavoro?
Chi sono i contatti nel reparto del supporto tecnico?
In che modo il reparto del supporto tecnico risolverà i problemi relativi al controllo delle applicazioni tra l'utente finale e il personale che gestisce le regole di AppLocker?
Supporto per l'utente finale
Poiché AppLocker impedisce l'esecuzione delle app non approvate, è importante che l'organizzazione pianifichi attentamente come verrà fornito il supporto per l'utente finale. Ecco alcune considerazioni:
Vuoi usare un sito Intranet come supporto di livello 1 per gli utenti che hanno tentato di eseguire un'app bloccata?
In che modo vuoi supportare le eccezioni dei criteri? Autorizzerai gli utenti a eseguire uno script per consentire l'accesso temporaneo a un'app bloccata?
Uso di un sito Intranet
AppLocker può essere configurato per visualizzare un messaggio predefinito, ma contenente un URL personalizzato. Puoi usare questo URL per reindirizzare gli utenti a un sito di supporto contenente informazioni sul motivo per cui l'utente ha ricevuto l'errore e le applicazioni consentite. Se non imposti la visualizzazione di un URL personalizzato nel messaggio quando un'app viene bloccata, viene usato l'URL predefinito.
L'immagine seguente mostra un esempio di messaggio di errore per un'app bloccata. Puoi usare l'impostazione dei criteri Imposta collegamento a pagina Web del supporto tecnico per personalizzare il collegamento Altre informazioni.
.gif "Messaggio di errore di AppLocker per un'applicazione bloccata")
Per la procedura necessaria per visualizzare un URL personalizzato per il messaggio, vedi Visualizzare un messaggio URL personalizzato quando gli utenti tentano di eseguire un'applicazione bloccata
Gestione degli eventi di AppLocker
Ogni volta che un processo richiede l'autorizzazione per l'esecuzione, AppLocker crea un evento nel proprio registro eventi. Nell'evento sono inclusi i dettagli relativi al file di cui è stato eseguito un tentativo di esecuzione, gli attributi di tale file, l'utente che ha avviato la richiesta e il GUID della regola di AppLocker usata per la decisione di esecuzione. Il registro eventi di AppLocker si trova nel percorso seguente: Registri applicazioni e servizi\Microsoft\Windows\AppLocker. Il log di AppLocker include tre log:
EXE e DLL: contiene gli eventi per tutti i file interessati dalla raccolta regole Exe e DLL (EXE, COM, DLL e OCX).
MSI e Script: Contiene gli eventi per tutti i file interessati dalle raccolte regole per i file di Windows Installer e i file di script (MSI, MSP, PS1, BAT, CMD, VBS e JS).
Distribuzione app in pacchetto o Esecuzione app in pacchetto: contiene gli eventi per tutte le app di Windows universali interessate dalla raccolta regole per app in pacchetto e per i relativi programmi di installazione (APPX).
La raccolta di questi eventi in una posizione centralizzata consente di gestire i criteri di AppLocker e risolvere i problemi di configurazione delle regole. Le tecnologie di raccolta degli eventi, ad esempio quelle disponibili in Windows, consentono agli amministratori di sottoscrivere canali di eventi specifici e aggregare gli eventi dai computer di origine in un registro eventi inoltrato a un agente di raccolta del sistema operativo Windows Server. Per altre info sull'impostazione di una sottoscrizione agli eventi, vedi Configurare i computer per raccogliere e inoltrare gli eventi.
Manutenzione dei criteri
A mano a mano che le nuove app vengono distribuite o le app esistenti vengono aggiornate dall'autore del software, dovrai modificare le raccolte regole per garantire l'aggiornamento dei criteri.
Puoi modificare i criteri di AppLocker aggiungendo, modificando o rimuovendo le regole. Tuttavia, non puoi specificare una versione dei criteri importando regole aggiuntive. Per garantire il controllo delle versioni durante la modifica dei criteri di AppLocker, usa il software di gestione di Criteri di gruppo che consente di creare versioni degli oggetti Criteri di gruppo. Un esempio di questo tipo di software è la funzionalità Gestione avanzata Criteri di gruppo disponibile in Microsoft Desktop Optimization Pack. Per altre info sulla funzionalità Gestione avanzata Criteri di gruppo, vedi Panoramica di Gestione avanzata Criteri di gruppo (https://go.microsoft.com/fwlink/?LinkId=145013).
Attenzione
Ti sconsigliamo di modificare una raccolta regole di AppLocker quando questa è imposta in Criteri di gruppo. Poiché AppLocker controlla i file per i quali è consentita l'esecuzione, la modifica dei criteri attualmente imposti può creare un comportamento imprevisto.
Nuova versione di un'app supportata
Quando nell'organizzazione viene distribuita una nuova versione di un'app, devi decidere se continuare a supportare la versione precedente di tale app. Per aggiungere la nuova versione, ti basta creare una nuova regola per ogni file associato all'app. Se usi condizioni Autore e la versione non è specificata, la regola o le regole esistenti o le regole potrebbero essere sufficienti per consentire l'esecuzione del file aggiornato. Assicurati, tuttavia, che l'app aggiornata non includa nomi di file modificati oppure che non siano stati aggiunti file per il supporto di nuove funzionalità. In questo caso, dovrai modificare le regole esistenti o creare nuove regole. Per continuare a usare una regola basate sull'autore senza una versione di file specifica, devi inoltre assicurarti che la firma digitale del file sia identica a quella della versione, ovvero l'autore, il nome del prodotto e il nome del file (se configurati nella regola) devono essere identici affinché la regola venga applicata correttamente.
Per determinare se un file è stato modificato durante un aggiornamento dell'app, esamina i dettagli relativi alla versione dell'autore forniti con il pacchetto di aggiornamento. Puoi anche controllare la pagina Web dell'autore per recuperare queste informazioni. Per determinarne la versione, puoi anche esaminare il file.
Per i file per i quali l'esecuzione è consentita o negata tramite condizioni Hash file, devi recuperare il nuovo hash di file. Per aggiungere il supporto per una nuova versione e gestire il supporto per la versione precedente, puoi creare una nuova regola Hash file per la nuova versione o modificare la regola esistente e aggiungere il nuovo hash di file nell'elenco delle condizioni.
Per i file con condizioni Percorso, devi verificare che il percorso di installazione non sia cambiato rispetto a quello indicato nella regola. Se il percorso è cambiato, devi aggiornare la regola prima di installare la nuova versione dell'app.
App distribuita di recente
Per supportare una nuova app, devi aggiungere una o più regole ai criteri di AppLocker esistente.
L'app non è più supportata
Se l'organizzazione ha deciso che un'applicazione associata a regole di AppLocker non verrà più supportata, il modo più semplice per impedire agli utenti di eseguire tale app è eliminare tali regole.
L'app è bloccata ma dovrebbe essere consentita
Un file potrebbe essere bloccato per tre motivi:
Non esiste alcuna regola che consenta l'esecuzione dell'app (motivo più frequente).
È possibile che sia stata creata una regola eccessivamente restrittiva per il file.
Una regola di negazione che non può essere ignorata blocca in modo esplicito il file.
Prima di modificare la raccolta regole, individua innanzitutto la regola che impedisce l'esecuzione del file. Puoi risolvere il problema usando il cmdlet di Windows PowerShell Test-AppLockerPolicy. Per altre info sulla risoluzione dei problemi relativi ai criteri di AppLocker, vedi Test e aggiornamento dei criteri di AppLocker (https://go.microsoft.com/fwlink/?LinkId=160269).
Passaggi successivi
Dopo avere deciso la modalità di gestione dei criteri di AppLocker da parte dell'organizzazione, annota i risultati.
Criteri di supporto per l'utente finale: documenta il processo che userai per gestire le chiamate dagli utenti che tentano di eseguire un'app bloccata e assicurati che personale del supporto disponga di una chiara in modo tale che l'amministratore sia in grado di aggiornare i criteri di AppLocker, se necessario.
Elaborazione degli eventi: documenta se gli eventi verranno raccolti in una posizione centralizzata (archivio), la modalità di archiviazione di tale archivio e se gli eventi verranno elaborati per essere ulteriormente analizzati.
Manutenzione dei criteri: documenta in dettaglio come le regole verranno aggiunte ai criteri e gli oggetti Criteri di gruppo in cui verranno definite tali regole.
Per informazioni e procedure su come documentare i processi, vedi Documentare i processi di gestione del controllo delle applicazioni.