Informazioni sulle azioni di assenso e di negazione di AppLocker per le regole
Questo argomento spiega le differenze tra azioni di autorizzazione e di negazione nelle regole di AppLocker.
Azione di autorizzazione e azione di negazione nelle regole
A differenza dei criteri di restrizione software, ogni raccolta regole di AppLocker funziona come un elenco di file autorizzati. Solo i file inclusi nella raccolta regole potranno essere eseguiti. Questa configurazione rende più facile determinare l'esito dell'applicazione di una regola di AppLocker.
Puoi anche creare regole che usano l'azione di negazione. Quando si applicano le regole, AppLocker controlla prima di tutto se nell'elenco di regole sono state specificate azioni di negazione esplicita. Se in una raccolta regole è stata negata l'esecuzione di un file, l'azione di negazione avrà la precedenza su qualsiasi azione di autorizzazione, indipendentemente dall'oggetto Criteri di gruppo in cui la regola è stata originariamente applicata. Poiché per impostazione predefinita AppLocker funge da un elenco di elementi consentiti, se nessuna regola autorizza o nega in modo esplicito l'esecuzione di un file, l'azione di negazione esplicita di AppLocker bloccherà il file.
Considerazioni sulle regole di negazione
Anche se puoi usare AppLocker per creare una regola che consenta l'esecuzione di tutti i file e quindi usare le regole per negare l'esecuzione di file specifici, questa configurazione non è consigliata. L'azione di negazione è in genere meno sicura rispetto all'azione di autorizzazione perché un utente malintenzionato potrebbe modificare il file per invalidare la regola. Le azioni di negazione possono inoltre essere eluse. Ad esempio, se configuri un'azione di negazione per un file o un percorso di cartella, l'utente può comunque eseguire il file da qualsiasi altro percorso. Nella tabella seguente sono forniti i dettagli relativi ai problemi di sicurezza per le varie condizioni delle regole in caso di uso delle azioni di negazione.
| Condizione della regola | Problema di sicurezza con l'azione di negazione |
|---|---|
Autore |
Un utente può modificare le proprietà di un file (ad esempio, firmare di nuovo il file con un certificato diverso). |
Hash file |
Un utente può modificare l'hash di un file. |
Percorso |
Un utente può spostare il file bloccato mediante l'azione di negazione in una posizione diversa e quindi eseguirlo da tale posizione. |
Importante
Se nelle regole decidi di usare l'azione di negazione, devi assicurarti di creare innanzitutto regole che consentano l'esecuzione dei file di sistema di Windows. AppLocker impone le regole per le applicazioni autorizzate per impostazione predefinita. Pertanto, dopo aver creato una o più regole per una raccolta regole (regole che interessano i file di sistema di Windows), verrà consentita l'esecuzione solo delle app impostate come autorizzate. Pertanto, la creazione di una singola regola in una raccolta regole per negare l'esecuzione di un file dannoso farà sì che venga negata l'esecuzione anche di tutti gli altri file presenti nel computer.