Usare AppLocker e criteri di restrizione software nello stesso dominio
Questo argomento, destinato ai professionisti IT, descrive i concetti e le procedure a supporto della gestione della strategia di controllo delle applicazioni mediante i criteri di restrizione software e AppLocker.
Uso di AppLocker e criteri di restrizione software nello stesso dominio
AppLocker è supportato nei sistemi che eseguono Windows 7 e versioni successive. I criteri di restrizione software sono supportati nei sistemi che eseguono Windows Vista o versioni precedenti. Puoi continuare a usare i criteri di restrizione software per controllare i computer precedenti a Windows 7, ma usa AppLocker per computer che eseguono Windows Server 2008 R2, Windows 7 e versioni successive. Ti consigliamo di creare regole di AppLocker e criteri di restrizione software in oggetti Criteri di gruppo distinti e trasferire l'oggetto Criteri di gruppo con i criteri di restrizione software nei sistemi che eseguono Windows Vista o versioni precedenti. Quando vengono applicati sia i criteri di restrizione software che i criteri di AppLocker a computer che eseguono Windows Server 2008 R2, Windows 7 e versioni successive, i criteri di restrizione software vengono ignorati.
Nella tabella seguente vengono confrontate le funzioni e funzionalità dei criteri di restrizione software e di AppLocker.
| Funzione di controllo delle applicazioni | Criteri di restrizione software | AppLocker |
|---|---|---|
Ambito |
I criteri di restrizione software possono essere applicati a tutti i sistemi operativi Windows a partire da Windows XP e Windows Server 2003. |
I criteri di AppLocker si applicano solo a Windows Server 2008 R2, Windows 7 e versioni successive. |
Creazione di criteri |
I criteri di restrizione software vengono gestiti tramite i Criteri di gruppo e possono essere aggiornati solo dall'amministratore dell'oggetto Criteri di gruppo. L'amministratore del computer locale può modificare i criteri di restrizione software definiti nell'oggetto Criteri di gruppo locale. |
I criteri di AppLocker vengono gestiti tramite i Criteri di gruppo e possono essere aggiornati solo dall'amministratore dell'oggetto Criteri di gruppo. L'amministratore del computer locale può modificare i criteri di AppLocker definiti nell'oggetto Criteri di gruppo locale. AppLocker consente la personalizzazione dei messaggi di errore per indirizzare gli utenti a una pagina Web per ottenere informazioni di supporto. |
Manutenzione dei criteri |
I criteri di restrizione software devono essere aggiornati tramite lo snap-in Criteri di sicurezza locali (se sono stati creati localmente) o Console Gestione Criteri di gruppo. |
I criteri di AppLocker possono essere aggiornati tramite lo snap-in Criteri di sicurezza locali (se sono stati creati localmente) o Console Gestione Criteri di gruppo oppure i cmdlet di Windows PowerShell per AppLocker. |
Applicazione dei criteri |
I criteri di restrizione software vengono distribuiti tramite i Criteri di gruppo. |
I criteri di AppLocker vengono distribuiti tramite i Criteri di gruppo. |
Modalità di imposizione |
I criteri di restrizione software funzionano in "modalità elenco di azioni di negazione", ovvero gli amministratori possono creare regole per file la cui esecuzione non è autorizzata nell'organizzazione, mentre l'esecuzione di tutti gli altri file è consentita per impostazione predefinita. I criteri di restrizione software possono anche essere configurati in "modalità elenco di azioni di autorizzazione", ovvero per impostazione predefinita tutti i file sono bloccati e gli amministratori devono creare regole per consentire l'esecuzione dei file desiderati. |
Per impostazione predefinita, AppLocker funziona in "modalità elenco di azioni di autorizzazione", ovvero viene consentita l'esecuzione solo di quei file per i quali esiste una regola di autorizzazione corrispondente. |
Tipi di file che possono essere controllati |
I criteri di restrizione software possono controllare i tipi di file seguenti:
I criteri di restrizione software non possono controllare ogni tipo di file separatamente. Tutte le regole dei criteri di restrizione software si trovano in un'unica raccolta regole. |
AppLocker può controllare i tipi di file seguenti:
AppLocker gestisce una raccolta regole distinta per ciascuno dei cinque tipi di file. |
Tipi di file supportati |
I criteri di restrizione software supportano un elenco estendibile di tipi di file considerati eseguibili. Gli amministratori possono aggiungere le estensioni dei file da considerarsi eseguibili. |
AppLocker attualmente supporta le seguenti estensioni di file:
|
Tipi di regole |
I criteri di restrizione software supportano quattro tipi di regole:
|
AppLocker supporta tre tipi di regole:
|
Modifica del valore hash |
In Windows XP puoi usare i criteri di restrizione software per fornire valori hash personalizzati. A partire da Windows 7 e Windows Server 2008 R2, puoi solo selezionare solo il file di cui eseguire lo hashing, ma non fornire il valore hash. |
AppLocker calcola il valore hash. Internamente, usa l'hash Authenticode SHA2 per i file eseguibili portatili (EXE e DLL) e file di Windows Installer e un hash di file flat SHA2 per gli altri. |
Supporto per diversi livelli di sicurezza |
Con i criteri di restrizione software puoi specificare le autorizzazioni in base alle quali un'app può essere eseguita. Pertanto, puoi configurare una regola che prevede che Blocco note venga eseguito sempre con autorizzazioni limitate e mai con privilegi amministrativi. I criteri di restrizione software in Windows Vista e versioni precedenti supportano più livelli di sicurezza. In Windows 7 tale elenco è limitato solo a due livelli: Non consentito e Senza restrizioni (Utente semplice equivale a Non consentito). |
AppLocker non supporta i livelli di sicurezza. |
Gestione di app in pacchetto e relativi programmi di installazione. |
Non supportato |
APPX è un tipo di file valido che AppLocker è in grado di gestire. |
Applicazione di una regola a un utente o gruppo di utenti |
I criteri di restrizione software vengono applicati a tutti gli utenti in un determinato computer. |
Le regole di AppLocker vengono applicate a un utente o gruppo di utenti specifico. |
Supporto delle eccezioni alle regole |
I criteri di restrizione software non supportano le eccezioni alle regole. |
Le regole di AppLocker possono includere eccezioni che consentono di creare regole, ad esempio "Consenti tutti gli elementi di Windows tranne regedit.exe". |
Supporto della modalità di controllo |
I criteri di restrizione software non supportano la modalità di controllo. L'unico modo per testare i criteri di restrizione software è configurare un ambiente di test ed eseguire alcuni esperimenti. |
AppLocker supporta la modalità di controllo che ti consente di testare l'effetto dei criteri nell'ambiente di produzione reale senza conseguenze per l'esperienza utente. Quando sei soddisfatto dei risultati, puoi iniziare a imporre i criteri. |
Supporto dell'esportazione e importazione dei criteri |
I criteri di restrizione software non supportano l'importazione/esportazione dei criteri. |
AppLocker supporta l'importazione e l'esportazione dei criteri. Ciò consente di creare criteri di AppLocker su un dispositivo di esempio, testare tali criteri e quindi esportare tali criteri e reimportarli nell'oggetto Criteri di gruppo desiderato. |
Imposizione delle regole |
Internamente, l'imposizione delle regole dei criteri di restrizione software viene eseguita nella modalità utente, ovvero nella modalità meno sicura. |
Internamente, le regole di AppLocker per i file EXE e DLL vengono imposte in modalità kernel, ovvero una modalità più sicura rispetto all'imposizione delle regole in modalità utente. |