Uso delle regole di AppLocker
Questo argomento, rivolto ai professionisti IT, descrive i tipi di regole di AppLocker e come usarle per i criteri di controllo delle applicazioni.
Contenuto della sezione
| Argomento | Descrizione |
|---|---|
Questo argomento, destinato ai professionisti IT, descrive come creare una regola di AppLocker con una condizione Hash file. |
|
Questo argomento, destinato ai professionisti IT, descrive come creare una regola di AppLocker con una condizione Percorso. |
|
Questo argomento, destinato ai professionisti IT, descrive come creare una regola di AppLocker con una condizione Autore. |
|
Questo argomento, destinato ai professionisti IT, descrive i passaggi per creare un set standard di regole di AppLocker che consente l'esecuzione dei file di sistema di Windows. |
|
Questo argomento, destinato ai professionisti IT, descrive i passaggi per specificare quali app possono essere eseguite o meno come eccezioni di una regola di AppLocker. |
|
Questo argomento, destinato ai professionisti IT, descrive come creare una regola di AppLocker per le app in pacchetto con una condizione Autore. |
|
Questo argomento, destinato ai professionisti IT, descrive i passaggi necessari per eliminare una regola di AppLocker. |
|
Questo argomento, destinato ai professionisti IT, descrive i passaggi necessari per modificare una regola Autore, Percorso e Hash file in AppLocker. |
|
Questo argomento, destinato ai professionisti IT, descrive i passaggi per abilitare la funzionalità di raccolte delle regole DLL per AppLocker. |
|
Questo argomento, destinato ai professionisti IT, descrive come imporre le regole di controllo delle applicazioni mediante AppLocker. |
|
Questo argomento, destinato ai professionisti IT, descrive i passaggi per eseguire la procedure guidata per creare regole di AppLocker su un dispositivo di riferimento. |
Nella tabella seguente sono descritte le tre modalità di imposizione disponibili in AppLocker. L'impostazione della modalità di imposizione definita qui può essere sovrascritta dall'impostazione derivata da un oggetto Criteri di gruppo collegato con una priorità più alta.
| Modalità di imposizione | Descrizione |
|---|---|
Non configurata |
Si tratta dell'impostazione predefinita, ovvero le regole definite qui verranno imposte a meno che un oggetto Criteri di gruppo collegato con una priorità più alta non abbia un valore diverso per questa impostazione. |
Imponi regole |
Le regole vengono imposte. |
Controlla soltanto |
Le regole vengono controllate, ma non imposte. Quando un utente esegue un'app interessata da una regola di AppLocker, viene consentita l'esecuzione dell'app e le informazioni sull'app vengono aggiunte al registro eventi di AppLocker. La modalità di imposizione "Controlla soltanto" consente di determinare le app interessate dai criteri prima della loro imposizione. Quando i criteri di AppLocker per una raccolta regole vengono impostati su Controlla soltanto, le regole per tale raccolta non vengono imposte. |
Quando vengono uniti criteri di AppLocker da vari oggetti Criteri di gruppo, vengono unite le regole di tutti gli oggetti Criteri di gruppo e viene applicata l'impostazione della modalità di imposizione dell'oggetto Criteri di gruppo con priorità più alta.
Raccolte regole
La console di AppLocker è organizzata in raccolte regole, ovvero file eseguibili, script, file di Windows Installer, app in pacchetto, programmi di installazione di app in pacchetto e file DLL. Queste raccolte semplificano la differenziazione delle regole per i diversi tipi di app. La tabella seguente elenca i formati di file inclusi in ogni raccolta regole.
| Raccolta regole | Formati di file associati |
|---|---|
File eseguibili |
EXE COM |
Script |
PS1 BAT CMD VBS JS |
File di Windows Installer |
MSI MSP MST |
App in pacchetto e programmi di installazione di app in pacchetto |
APPX |
File DLL |
DLL OCX |
Importante
Se usi regole DLL, devi creare una regola di autorizzazione per ogni file DLL usato da tutte le app consentite.
Quando vengono usate le regole DLL, AppLocker deve controllare ogni file DLL caricato da un'applicazione. Di conseguenza, potrebbe verificarsi una riduzione delle prestazioni se vengono usate regole DLL.
La raccolta regole DLL non è abilitata per impostazione predefinita. Per altre informazioni su come abilitare la raccolta regole DLL, vedi Raccolte regole DLL.
Condizioni delle regole
Le condizioni delle regole sono criteri che consentono ad AppLocker di identificare le app a cui viene applicata la regola. Le tre condizioni principali delle regole sono Autore, Percorso e Hash file.
Autore: identifica un'app in base alla relativa firma digitale
Percorso: identifica un'app in base alla relativa posizione nel file system del computer o in rete
Hash file: rappresenta l'hash di crittografia calcolato dal sistema del file identificato
Autore
Questa condizione identifica un'app in base alla relativa firma digitale e agli attributi estesi, se disponibili. La firma digitale contiene informazioni sulla società che ha creato l'app (autore). Anche i file eseguibili, i file DLL, i file di Windows Installer, le app in pacchetto e i programmi di installazione di app in pacchetto hanno attributi estesi, che vengono ottenuti dalle risorse binarie. In caso di file eseguibili, file DLL e programmi di Windows Installer, questi attributi contengono il nome del prodotto di cui fa parte il file, il nome originale del file fornito dall'autore e il numero di versione del file. In caso di app in pacchetto e di programmi di installazione di app in pacchetto, questi attributi estesi contengono il nome e la versione del pacchetto di app.
Nota
Le regole create nelle app in pacchetto e la raccolta regole dei programmi di installazione di app in pacchetto contengono solo le condizioni Autore poiché Windows non supporta le app in pacchetto e i relativi programmi di installazione non firmati.
Nota
Usa una condizione della regola Autore quando possibile perché risulta sempre valida in caso di aggiornamenti di app e modifica della posizione dei file.
Quando selezioni un file di riferimento per una condizione Autore, la procedura guidata crea una regola che specifica l'autore, il prodotto, il nome di file e il numero di versione. Puoi rendere la regola più generica, spostando verso l'alto il dispositivo di scorrimento oppure usando un carattere jolly (*) nei campi relativi al prodotto, al nome del file o al numero di versione.
Nota
Per immettere valori personalizzati in qualsiasi campo di una condizione della regola Autore nella procedura guidata Crea regole, devi selezionare la casella di controllo Usa valori personalizzati casella di controllo. Se questa casella di controllo è selezionata, non puoi usare il dispositivo di scorrimento.
I campi Versione file e Versione pacchetto controllano se un utente può eseguire una versione specifica, le versioni precedenti o le versioni successive dell'app. Puoi scegliere un numero di versione e quindi configurare le opzioni seguenti:
Esattamente: la regola viene applicata solo alla versione specificata dell'app.
E versioni successive la regola viene applicata alla versione specificata e a tutte le versioni successive.
E versioni precedenti la regola viene applicata alla versione specificata e a tutte le versioni precedenti.
La tabella seguente descrive come viene applicata una condizione Autore.
| Opzione | La condizione Autore consente o nega... |
|---|---|
Tutti i file firmati |
Tutti i file che sono firmati da qualsiasi autore. |
Solo autore |
Tutti i file che sono firmati dall'autore denominato. |
Autore e nome di prodotto |
Tutti i file per il prodotto specificato firmati dall'autore denominato. |
Autore, nome di prodotto e nome di file |
Qualsiasi versione del file o pacchetto denominato per il prodotto specificato firmato dall'autore. |
Autore, nome di prodotto, nome di file e versione del file |
Esattamente La versione specificata del file o pacchetto denominato per il prodotto specificato firmato dall'autore. |
Autore, nome di prodotto, nome di file e versione del file |
E versioni successive La versione specificata del file o pacchetto denominato e qualsiasi nuova versione del prodotto firmata dall'autore. |
Autore, nome di prodotto, nome di file e versione del file |
E versioni precedenti La versione specificata del file o pacchetto denominato e qualsiasi versione precedente del prodotto firmata dall'autore. |
Personalizza |
Puoi modificare i campi Autore, Nome prodotto, Nome file, Versione, Nome pacchetto e Versione pacchetto per creare una regola personalizzata. |
Percorso
Questa condizione della regola identifica un'applicazione in base alla relativa posizione nel file system del computer o in rete.
AppLocker usa variabili di percorso personalizzate per i percorsi conosciuti, ad esempio Programmi e Windows.
Nella tabella seguente vengono descritte le variabili di percorso.
| Disco o directory di Windows | Variabile di percorso di AppLocker | Variabile di ambiente di Windows |
|---|---|---|
Windows |
%WINDIR% |
%SystemRoot% |
System32 |
%SYSTEM32% |
%SystemDirectory% |
Directory di installazione di Windows |
%OSDRIVE% |
%SystemDrive% |
Programmi |
%PROGRAMFILES% |
%ProgramFiles% e %ProgramFiles(x86)% |
Supporti rimovibili (ad esempio, un CD o DVD) |
%REMOVABLE% |
|
Dispositivo di archiviazione rimovibile (ad esempio, un'unità flash USB) |
%HOT% |
Importante
Poiché una condizione della regola Percorso può essere configurata in modo da includere un numero elevato di file e cartelle, le condizioni Percorso devono essere pianificate con molta attenzione. Ad esempio, se una regola di autorizzazione con una condizione Percorso include una posizione di cartella in cui gli utenti non amministratori sono autorizzati a scrivere dati, un utente può copiare file non approvati in tale posizione ed eseguire i file. Per questo motivo, è consigliabile non creare condizioni Percorso per posizioni scrivibili da utenti standard, ad esempio un profilo utente.
Hash file
Quando scegli la condizione della regola Hash file, il sistema calcola un hash di crittografia del file identificato. Il vantaggio di questa condizione della regola è che poiché ogni file dispone di un hash univoco, una condizione della regola Hash file viene applicata a un solo file. Lo svantaggio è dato dal fatto che a ogni aggiornamento del file (ad esempio un aggiornamento della sicurezza), l'hash del file cambierà. Di conseguenza, dovrai aggiornare manualmente le regole Hash file.
Regole predefinite di AppLocker
AppLocker consente di generare regole predefinite per ciascuna raccolta regole.
I tipi di regole predefinite per i file eseguibili includono:
Consentire ai membri del gruppo Administrators locale di eseguire tutte le app.
Consentire ai membri del gruppo Everyone di eseguire le app che si trovano nella cartella Windows.
Consentire ai membri del gruppo Everyone di eseguire le app che si trovano nella cartella Programmi.
I tipi di regole predefinite per gli script includono:
Consentire ai membri del gruppo Administrators locale di eseguire tutti gli script.
Consentire ai membri del gruppo Everyone di eseguire gli script che si trovano nella cartella Programmi.
Consentire ai membri del gruppo Everyone di eseguire gli script che si trovano nella cartella Windows.
I tipi di regole predefinite per i file di Windows Installer includono:
Consentire ai membri del gruppo Administrators locale di eseguire tutti file di Windows Installer.
Consentire ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer con firma digitale.
Consentire ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer che si trovano nella cartella Windows\Installer.
Tipi di regole predefinite per i file DLL:
Consentire ai membri del gruppo Administrators locale di eseguire tutti file DLL.
Consentire ai membri del gruppo Everyone di eseguire i file DLL che si trovano nella cartella Programmi.
Consentire ai membri del gruppo Everyone di eseguire i file DLL che si trovano nella cartella Windows.
Tipi di regole predefinite per le app in pacchetto:
- Consentire ai membri del gruppo Everyone di installare ed eseguire tutte le app in pacchetto e i relativi programmi di installazione firmati.
Comportamento delle regole di AppLocker
Se non esiste alcuna regola di AppLocker per una raccolta regole specifica, sarà consentita l'esecuzione di tutti i file con il formato di file associato. Tuttavia, quando viene creata una regola di AppLocker per una raccolta regole specifica, possono essere eseguiti solo i file esplicitamente autorizzati in una regola. Ad esempio, se crei una regola per i file eseguibili che consente l'esecuzione dei file EXE in %SystemDrive%\FilePath, possono essere eseguiti solo i file eseguibili contenuti nel percorso specificato.
Una regola può essere configurata per l'uso di azioni di autorizzazione o negazione:
Consenti: puoi specificare i file che possono essere eseguiti nell'ambiente in uso, nonché definire per quali utenti o gruppi di utenti questa azione è disponibile. Puoi anche configurare delle eccezioni per identificare i file esclusi dalla regola.
Nega puoi specificare i file che not possono essere eseguiti nell'ambiente in uso, nonché definire per quali utenti o gruppi di utenti questa azione è disponibile. Puoi anche configurare delle eccezioni per identificare i file esclusi dalla regola.
Importante
È consigliabile usare azioni di autorizzazione con eccezioni. Puoi usare una combinazione di azioni di autorizzazione e negazione, tenendo però in considerazione il fatto che le azioni di negazione hanno la priorità sulle azioni di autorizzazione in qualsiasi caso e pertanto possono essere eluse.
Importante
Se aggiungi un computer che esegue Windows Server 2012 o Windows 8 a un dominio a cui sono già state applicate regole di AppLocker per i file eseguibili, gli utenti non saranno in grado di eseguire le app in pacchetto a meno che non crei regole anche per tali app. Se vuoi consentire l'esecuzione di app in pacchetto nel tuo ambiente pur continuando a controllare i file eseguibili, devi creare regole predefinite per le app in pacchetto e impostare la modalità di imposizione su Controlla soltanto per la raccolta regole per le app in pacchetto.
Eccezioni per le regole
Puoi applicare le regole di AppLocker a singoli utenti o a un gruppo di utenti. Se applichi una regola a un gruppo di utenti, tutti gli utenti di tale gruppo sono interessati da tale regola. Se devi consentire l'uso di un'app a un sottoinsieme di un gruppo di utenti, puoi creare una regola speciale per questo sottoinsieme. Ad esempio, la regola che consente a tutti gli utenti di eseguire Windows ad eccezione dell'Editor del Registro di sistema consente a tutti gli utenti dell'organizzazione di eseguire il sistema operativo Windows, ma non l'Editor del Registro di sistema.
L'effetto di questa regola potrebbe impedire agli utenti, ad esempio al personale del supporto tecnico, di eseguire di un programma necessario per le attività di supporto. Per risolvere questo problema, crea una seconda regola da applicare al gruppo di utenti del supporto tecnico, ad esempio "Consenti al supporto tecnico di eseguire l'Editor del Registro di sistema". Se crei una regola di negazione che non consente ad alcun utente di eseguire l'Editor del Registro di sistema, la regola di negazione sostituirà la seconda regola che consente al gruppo di utenti del supporto tecnico di eseguire l'Editor del Registro di sistema.
Raccolta regole DDL
Poiché la raccolta regole DLL non è abilitata per impostazione predefinita, devi eseguire la seguente procedura prima di poter applicare e imporre regole DLL.
Per completare questa procedura, il requisito minimo è l'appartenenza al gruppo Administrators locale o equivalente.
.gif "Mt431872.wedge(it-it,VS.85).gif")
Per abilitare la raccolta regole DLL
Fai clic su Start, digita secpol.msc e quindi premi INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, controlla che l'azione visualizzata sia quella desiderata e quindi fai clic su Sì.
Nell'albero della console fai doppio clic su Criteri di controllo delle applicazioni, fai clic con il pulsante destro del mouse su AppLocker e quindi fai clic su Proprietà.
Fai clic sulla scheda Avanzate, seleziona la casella di controllo Abilita raccolta regole DLL e quindi fai clic su OK.
Importante
Prima di imporre le regole DLL, assicurati che esistano regole di autorizzazione per ogni file DLL usato da qualsiasi app consentita.
Procedure guidate di AppLocker
Puoi creare regole usando due procedure guidate di AppLocker:
La procedura guidata Crea regole consente di creare una regola alla volta.
La procedura guidata Genera regole automaticamente consente di creare più regole contemporaneamente. Puoi selezionare una cartella e consentire alla procedura guidata di creare le regole per i file rilevanti all'interno di tale cartella oppure, in caso di app in pacchetto, consentire alla procedura guidata di creare le regole per tutte le app in pacchetto installate nel computer. Puoi anche specificare l'utente o il gruppo di utenti a cui applicare le regole. La procedura guidata genera automaticamente solo le regole di autorizzazione.
Considerazioni aggiuntive
Per impostazione predefinita, le regole di AppLocker non consentono agli utenti di aprire o eseguire file che non sono stati autorizzati in modo specifico. Gli amministratori devono mantenere aggiornato l'elenco delle applicazioni consentite.
Esistono due tipi di condizioni di AppLocker che non vengono conservate dopo l'aggiornamento di un'app:
Una condizione di Hash file: le condizioni Hash file della regola possono essere usate con qualsiasi app perché viene generato un valore hash di crittografia dell'app quando viene creata la regola. Tuttavia, il valore di hash è specifico per tale versione dell'app. Se sono presenti più versioni in uso dell'applicazione all'interno dell'organizzazione, devi creare condizioni Hash file per ogni versione in uso e per qualsiasi nuova versione rilasciata.
Una condizione Autore con una specifica versione del prodotto impostata: se crei una condizione della regola Autore che usa l'opzione di versione Esattamente, la regola non può essere conservata se viene installata una nuova versione dell'app. Deve essere creata una nuova condizione Autore oppure la versione deve essere modificata nella regola in modo da renderla meno specifica.
Se un'app non include una firma digitale, non puoi usare una condizione della la regola Autore per tale app.
Le regole di AppLocker non possono essere usate per gestire computer che eseguono un sistema operativo Windows precedente a Windows Server 2008 R2 o Windows 7. È necessario usare invece i criteri di restrizione software. Se le regole di AppLocker sono definite in un oggetto Criteri di gruppo, vengono applicate solo tali regole. Per garantire l'interoperabilità tra regole dei criteri di restrizione software e quelle di AppLocker, definisci le regole dei criteri di restrizione software e quelle di AppLocker in oggetti Criteri di gruppo diversi.
La raccolta regole per le app in pacchetto e i relativi programmi di installazione è disponibile nei dispositivi che eseguono almeno Windows Server 2012 e Windows 8.
Quando vengono imposte le regole per la raccolta regole per i file eseguibili e la raccolta regole per le app in pacchetto e i relativi programmi di installazione non contiene alcuna regola, non verrà consentita l'esecuzione di alcuna app in pacchetto e dei relativi programmi di installazione. Per consentire l'esecuzione delle app in pacchetto e dei relativi programmi di installazione, devi creare regole per la raccolta regole delle app in pacchetto e dei relativi programmi di installazione.
Quando una raccolta regole di AppLocker è impostata su Controlla soltanto, le regole non vengono imposte. Quando un utente esegue un'applicazione inclusa nella regola, l'app viene aperta ed eseguita normalmente e le informazioni relative a tale app vengono aggiunte al registro eventi di AppLocker.
Un URL configurato personalizzato può essere incluso nel messaggio visualizzato quando un'app viene bloccata.
Prevedi un iniziale incremento del numero di chiamate al supporto tecnico a causa delle app bloccate finché gli utenti non capiranno che non possono eseguire le app non consentite.