Panoramica tecnica di Criteri di restrizione software
Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Questo argomento descrive i criteri di restrizione software, quando e come usare la funzionalità, quali modifiche sono state implementate nelle versioni precedenti e fornisce collegamenti a risorse aggiuntive che consentono di creare e distribuire criteri di restrizione software a partire da Windows Server 2008 e Windows Vista.
Introduzione
I criteri di restrizione software forniscono agli amministratori un meccanismo basato su Criteri di gruppo per identificare il software e controllarne la possibilità di esecuzione nel computer locale. Questi criteri possono essere usati per proteggere i computer che eseguono sistemi operativi Microsoft Windows (a partire da Windows Server 2003 e Windows XP Professional) contro conflitti noti e proteggere i computer da minacce alla sicurezza come virus dannosi e programmi trojan horse. È possibile usare i criteri di restrizione software anche per creare una configurazione molto restrittiva per i computer, in cui consentire l'esecuzione solo di applicazioni specifiche identificate. I criteri di restrizione software sono integrati in Microsoft Active Directory e nei Criteri di gruppo. È anche possibile creare criteri di restrizione software in computer autonomi.
I criteri di restrizione software sono criteri di attendibilità, ovvero normative configurate dall'amministratore per limitare gli script e altro codice la cui esecuzione non è completamente attendibile. L'estensione Criteri di restrizione software all'Editor Criteri di gruppo locali fornisce una singola interfaccia utente tramite la quale le impostazioni per limitare l'uso delle applicazioni possono essere gestite nel computer locale o in un dominio.
Procedure
Scenari di utilizzo dei criteri di restrizione software
Gli utenti aziendali collaborano tramite posta elettronica, messaggistica istantanea e applicazioni peer-to-peer. Man mano che queste collaborazioni aumentano, soprattutto con l'uso di Internet nel business computing, lo stesso fanno le minacce da codice dannoso, ad esempio worm, virus e minacce dannose o utenti malintenzionati.
Gli utenti potrebbero ricevere codice ostile in molti formati, da file eseguibili windows nativi (file con estensione exe) a macro nei documenti (ad esempio file con estensione doc), a script (ad esempio file vbs). Utenti malintenzionati o utenti malintenzionati usano spesso metodi di ingegneria sociale per consentire agli utenti di eseguire codice contenente virus e worm. L'ingegneria sociale è un termine per ingannare le persone a rivelare la propria password o qualche forma di informazione sulla sicurezza. Se tale codice viene attivato, può generare attacchi Denial of Service sulla rete, inviare dati sensibili o privati a Internet, mettere a rischio la sicurezza del computer o danneggiare il contenuto dell'unità disco rigido.
Le organizzazioni IT e gli utenti devono essere in grado di determinare quale software è sicuro da eseguire e quale non lo è. Con i grandi numeri e le forme che il codice ostile può assumere, questo diventa un compito difficile.
Per proteggere i computer di rete sia da codice ostile che da software sconosciuto o non supportato, le organizzazioni possono implementare criteri di restrizione software come parte della strategia di sicurezza complessiva.
Gli amministratori possono usare i criteri di restrizione software per le attività seguenti:
Definire il codice attendibile
Progettare Criteri di gruppo flessibili per definire script, file eseguibili e controlli ActiveX
I criteri di restrizione software vengono imposti dal sistema operativo e dalle applicazioni (ad esempio, le applicazioni di scripting) conformi ai criteri di restrizione software.
In particolare, gli amministratori possono usare i criteri di restrizione software per gli scopi seguenti:
Specificare il software (file eseguibili) che può essere eseguito nei computer client
Impedire agli utenti di eseguire determinati programmi nei computer condivisi
Specificare chi può aggiungere entità di pubblicazione attendibili ai computer client
Impostare l'ambito dei criteri di restrizione software (specificare se i criteri interessano tutti gli utenti o solo un sottoinsieme di utenti nei computer client)
Impedire l'esecuzione dei file eseguibili nel computer locale, nell'unità organizzativa, nel sito o nel dominio. Questa funzionalità è utile quando non si usano i criteri di restrizione software per risolvere i potenziali problemi relativi a utenti malintenzionati.
Differenze e modifiche alle funzionalità
Non sono state apportate modifiche alle funzionalità in SRP per Windows Server 2012 e Windows 8.
Versioni supportate
I criteri di restrizione software possono essere configurati solo nei computer che eseguono almeno Windows Server 2003, incluso Windows Server 2012, e almeno Windows XP, incluso Windows 8.
Nota
Alcune edizioni del sistema operativo client Windows che iniziano con Windows Vista non dispongono di criteri di restrizioni software. I computer non amministrati in un dominio da Criteri di gruppo potrebbero non ricevere criteri distribuiti.
Confronto delle funzioni di controllo delle applicazioni in Criteri di restrizione software e AppLocker
Nel seguente tabella vengono confrontate le funzionalità e le funzioni di Criteri di restrizione software e AppLocker.
| Funzione di controllo delle applicazioni | Criteri di restrizione software | AppLocker |
|---|---|---|
| Ambito | I criteri del Provider di risorse condivise possono essere applicati a tutti i sistemi operativi Windows, a partire da Windows XP e Windows Server 2003. | I criteri di AppLocker si applicano solo a Windows Server 2008 R2, Windows Server 2012, Windows 7 e Windows 8. |
| Creazione di criteri | I criteri di restrizione software vengono mantenuti tramite Criteri di gruppo e solo l'amministratore dell'oggetto Criteri di gruppo può aggiornare i criteri di restrizione software. L'amministratore nel computer locale può modificare i criteri di restrizione software definiti nell'oggetto Criteri di gruppo locale. | I criteri di AppLocker vengono gestiti tramite Criteri di gruppo e solo l'amministratore del computer può aggiornare i criteri. L'amministratore nel computer locale può modificare i criteri di AppLocker definiti nell'oggetto Criteri di gruppo locale. AppLocker consente la personalizzazione dei messaggi di errore per indirizzare gli utenti a una pagina Web di guida. |
| Manutenzione dei criteri | I criteri di restrizione software devono essere aggiornati usando lo snap-in Criteri di sicurezza locali (se i criteri vengono creati localmente) o la Console Gestione Criteri di gruppo. | I criteri di AppLocker possono essere aggiornati usando lo snap-in Criteri di sicurezza locali (se i criteri vengono creati in locale) o la Console Gestione Criteri di gruppo o i cmdlet di AppLocker di Windows PowerShell. |
| Applicazione criteri | I criteri di restrizione software vengono distribuiti tramite Criteri di gruppo. | I criteri di AppLocker vengono distribuiti tramite Criteri di gruppo. |
| Modalità di imposizione | I criteri di restrizione software funzionano in modalità "elenco di rifiuto" in cui gli amministratori possono creare regole per i file che non vogliono consentire in questa organizzazione, mentre il resto del file è autorizzato a essere eseguito per impostazione predefinita. È anche possibile configurare i criteri di restrizione software nella modalità "consenti elenco" in modo che per impostazione predefinita tutti i file siano bloccati e gli amministratori devono creare regole di autorizzazione per i file che desiderano consentire. |
AppLocker per impostazione predefinita funziona in modalità "consenti elenco" in cui solo quei file possono essere eseguiti per cui è presente una regola di autorizzazione corrispondente. |
| Tipi di file che possono essere controllati | I criteri di restrizione software possono controllare i tipi di file seguenti: - Eseguibili I criteri di restrizione software non possono controllare separatamente ogni tipo di file. Tutte le regole di criteri di restrizione software si trovano in una singola raccolta di regole. |
AppLocker può controllare i tipi di file seguenti: - Eseguibili AppLocker gestisce una raccolta di regole separata per ognuno dei cinque tipi di file. |
| Tipi di file designati | I criteri di restrizione software supportano un elenco estendibile di tipi di file considerati eseguibili. Gli amministratori possono aggiungere estensioni per i file che devono essere considerati eseguibili. | AppLocker non supporta questa operazione. AppLocker supporta attualmente le estensioni di file seguenti: - Eseguibili (.exe, .com) |
| Tipi di regola | I criteri di restrizione software supportano quattro tipi di regole: - Hash |
AppLocker supporta tre tipi di regole: - Hash |
| Modifica del valore hash | I criteri di restrizione software consentono agli amministratori di fornire valori hash personalizzati. | AppLocker calcola il valore hash stesso. Internamente usa l'hash SHA1 Authenticode per eseguibili portabili (Exe e DLL) e Windows Installer e un hash di file flat SHA1 per il resto. |
| Supporto per diversi livelli di sicurezza | Con gli amministratori di SRP è possibile specificare le autorizzazioni con cui un'app può essere eseguita. Un amministratore può quindi configurare una regola in modo che il Blocco note venga sempre eseguito con autorizzazioni limitate e mai con privilegi amministrativi. I criteri di restrizione software in Windows Vista e versioni precedenti supportano più livelli di sicurezza. In Windows 7 l'elenco era limitato a soli due livelli: Non consentito e Senza restrizioni (l'utente di base si traduce in Non consentito). |
AppLocker non supporta i livelli di sicurezza. |
| Gestire app in pacchetto e programmi di installazione di app in pacchetto | Impossibile | .appx è un tipo di file valido che AppLocker può gestire. |
| Assegnazione di una regola a un utente o a un gruppo di utenti | Le regole di criteri di restrizione software si applicano a tutti gli utenti in un computer specifico. | Le regole di AppLocker possono essere destinate a un utente specifico o a un gruppo di utenti. |
| Supporto per le eccezioni alle regole | I criteri di restrizione software non supportano le eccezioni delle regole | Le regole di AppLocker possono avere eccezioni che consentono agli amministratori di creare regole come "Consenti tutto da Windows ad eccezione di Regedit.exe". |
| Supporto per la modalità di controllo | I criteri di restrizione software non supportano la modalità di controllo. L'unico modo per testare i criteri di restrizione software consiste nel configurare un ambiente di test ed eseguire alcuni esperimenti. | AppLocker supporta la modalità di controllo che consente agli amministratori di testare l'effetto dei criteri nell'ambiente di produzione reale senza influire sull'esperienza utente. Una volta soddisfatti dei risultati, è possibile iniziare ad applicare i criteri. |
| Supporto per l'esportazione e l'importazione di criteri | I criteri di restrizione software non supportano l'importazione/esportazione dei criteri. | AppLocker supporta l'importazione e l'esportazione dei criteri. In questo modo è possibile creare criteri di AppLocker in un computer di esempio, testarlo e quindi esportarlo e importarlo nuovamente nell'oggetto Criteri di gruppo desiderato. |
| Imposizione delle regole | Internamente, l'applicazione delle regole di criteri di restrizione software avviene in modalità utente che è meno sicura. | Internamente, le regole di AppLocker per Exes e DLL vengono applicate nella modalità kernel, che è più sicura rispetto all'applicazione in modalità utente. |
Requisiti di sistema
I criteri di restrizione software possono essere configurati solo nei computer che eseguono almeno Windows Server 2003 e Windows XP. La funzionalità Criteri di gruppo è necessaria per distribuire oggetti Criteri di gruppo che contengono criteri di restrizione software.
Componenti e architettura dei criteri di restrizione software
I criteri di restrizione software forniscono un meccanismo per il sistema operativo e le applicazioni conformi ai criteri di restrizione software per limitare l'esecuzione runtime dei programmi software.
A livello generale, i criteri di restrizione software sono costituiti dai componenti seguenti:
API dei criteri di restrizione software. Le API (Application Programming Interface) vengono usate per creare e configurare le regole che costituiscono i criteri di restrizione software. Sono disponibili anche API dei criteri di restrizione software per l'esecuzione di query, l'elaborazione e l'applicazione di criteri di restrizione software.
Strumento di gestione dei criteri di restrizione software. Questo è costituito dall'estensione Criteri di restrizione software dello snap-in Editor oggetti Criteri di gruppo locali, che gli amministratori usano per creare e modificare i criteri di restrizione software.
Set di API e applicazioni del sistema operativo che chiamano le API dei criteri di restrizione software per garantire l'applicazione dei criteri di restrizione software in fase di esecuzione.
Active Directory e Criteri di gruppo I criteri di restrizione software dipendono dall'infrastruttura di Criteri di gruppo per propagare i criteri di restrizione software da Active Directory ai client appropriati e per definire l'ambito e filtrare l'applicazione di questi criteri ai computer di destinazione appropriati.
API Authenticode e WinVerify Trust usate per elaborare i file eseguibili firmati.
Visualizzatore eventi. Le funzioni usate dai criteri di restrizione software registrano gli eventi nei log del Visualizzatore eventi.
Gruppo di criteri risultante (RSoP), che può facilitare la diagnosi dei criteri effettivi che verranno applicati a un client.
Per altre informazioni sull'architettura di criteri di restrizione software, sul modo in cui questa gestisce regole, processi e interazioni, vedere Funzionamento dei criteri di restrizione software nella libreria tecnica di Windows Server 2003.
Procedure consigliate
Non modificare i criteri di dominio predefiniti.
- Se non si modificano i criteri di dominio predefiniti, è sempre possibile riapplicare i criteri di dominio predefiniti in caso di problemi con i criteri di dominio personalizzati.
Creare un oggetto Criteri di gruppo separato per i criteri di restrizione software.
- Se si crea un oggetto Criteri di gruppo separato per i criteri di restrizione software, è possibile disabilitare i criteri di restrizione software in caso di emergenza senza disabilitare il resto dei criteri di dominio.
Se si verificano problemi con le impostazioni dei criteri applicate, riavviare Windows in modalità provvisoria.
- I criteri di restrizione software non si applicano all'avvio di Windows in modalità provvisoria. Se si blocca accidentalmente una workstation con criteri di restrizione software, riavviare il computer in modalità provvisoria, accedere come amministratore locale, modificare il criterio, eseguire gpupdate, riavviare il computer e quindi accedere normalmente.
Prestare attenzione quando si definisce un'impostazione predefinita di Disallowed.
Quando si definisce un'impostazione di Disallowed, tutto il software non è consentito, ad eccezione del software consentito in modo esplicito. Qualsiasi file che si desidera aprire deve avere una regola dei criteri di restrizione software che consente di aprirlo.
Per proteggere gli amministratori dal sistema, quando il livello di sicurezza predefinito è impostato su Non consentito, vengono create automaticamente quattro regole di percorso del Registro di sistema. È possibile eliminare o modificare queste regole di percorso del Registro di sistema; tuttavia, questa procedura non è consigliata.
Per una migliore sicurezza, usare gli elenchi di controllo di accesso in combinazione con i criteri di restrizione software.
- Gli utenti potrebbero tentare di aggirare i criteri di restrizione software rinominando o spostando file non consentiti o sovrascrivendo file senza restrizioni. Di conseguenza, è consigliabile usare elenchi di controllo di accesso (ACL) per negare agli utenti l'accesso necessario per l'esecuzione di queste attività.
Testare accuratamente le nuove impostazioni dei criteri negli ambienti di test prima di applicare le impostazioni dei criteri al dominio.
Le nuove impostazioni dei criteri potrebbero agire in modo diverso rispetto a quanto previsto in origine. Il test riduce la possibilità di riscontrare un problema quando si distribuiscono le impostazioni dei criteri nella rete.
È possibile configurare un dominio di test, separato dal dominio dell'organizzazione, in cui testare le nuove impostazioni dei criteri. È anche possibile testare le impostazioni dei criteri creando un oggetto Criteri di gruppo di test e collegandolo a un'unità organizzativa di test. Dopo aver testato accuratamente le impostazioni dei criteri con gli utenti di test, è possibile collegare l'oggetto Criteri di gruppo di test al dominio.
Non impostare programmi o file su Non consentito senza test per vedere quale può essere l'effetto. Le restrizioni su determinati file possono influire seriamente sul funzionamento del computer o della rete.
Le informazioni immesse in modo errato o gli errori di digitazione possono comportare un'impostazione dei criteri che non viene eseguita come previsto. Testare le nuove impostazioni dei criteri prima di applicarle può impedire comportamenti imprevisti.
Filtrare le impostazioni dei criteri utente in base all'appartenenza ai gruppi di sicurezza.
È possibile specificare utenti o gruppi per i quali non si desidera applicare un'impostazione di criteri deselezionando le caselle di controllo Applica Criteri di gruppo e Lettura, che si trovano nella scheda Sicurezza della finestra di dialogo delle proprietà per l'oggetto Criteri di gruppo.
Quando l'autorizzazione Lettura viene negata, l'impostazione dei criteri non viene scaricata dal computer. Di conseguenza, una minore larghezza di banda viene usata scaricando le impostazioni dei criteri non necessarie, che consente alla rete di funzionare più rapidamente. Per negare l'autorizzazione Lettura, selezionare Nega per la casella di controllo Lettura, che si trova nella scheda Sicurezza della finestra di dialogo delle proprietà per l'oggetto Criteri di gruppo.
Non collegarsi a un oggetto Criteri di gruppo in un altro dominio o sito.
- Il collegamento a un oggetto Criteri di gruppo in un altro dominio o sito può comportare prestazioni scarse.
Risorse aggiuntive
| Content type | Riferimenti |
|---|---|
| Pianificazione | Riferimento tecnico di Criteri di restrizione software |
| Operazioni | Gestire i criteri di restrizione software |
| Risoluzione dei problemi | Risolvere i problemi relativi ai criteri di restrizione software (2003) |
| Sicurezza | Minacce e contromisure per Criteri di restrizione software (2008) Minacce e contromisure per Criteri di restrizione software (2008 R2) |
| Strumenti e impostazioni | Strumenti e impostazioni di Criteri di restrizione software (2003) |
| Risorse della community | Blocco dell'applicazione con Criteri di restrizione software |