AppLockerAppLocker

Si applica aApplies to

  • Windows 10Windows10
  • Windows ServerWindows Server

In questo argomento viene descritto AppLocker e vengono fornite informazioni utili per aiutarti a decidere se l'organizzazione può trarre vantaggio dalla distribuzione dei criteri di controllo delle applicazioni di AppLocker.This topic provides a description of AppLocker and can help you decide if your organization can benefit from deploying AppLocker application control policies. AppLocker consente di controllare le app e i file che gli utenti possono eseguire.AppLocker helps you control which apps and files users can run. Sono inclusi file eseguibili, script, file di Windows Installer, librerie a collegamento dinamico (file DLL), app in pacchetto e programmi di installazione di app in pacchetto.These include executable files, scripts, Windows Installer files, dynamic-link libraries (DLLs), packaged apps, and packaged app installers.

Nota

AppLocker non è in grado di controllare i processi in uso nell'account di sistema in qualsiasi sistema operativo.AppLocker is unable to control processes running under the system account on any operating system.

AppLocker consente di:AppLocker can help you:

  • Definire regole basate su attributi di file che rimangono invariate anche in caso di aggiornamento delle app, ad esempio nome dell'autore (derivato dalla firma digitale), nome del prodotto, nome di file e versione del file.Define rules based on file attributes that persist across app updates, such as the publisher name (derived from the digital signature), product name, file name, and file version. Puoi anche creare regole basate sul percorso di file o sull'hash.You can also create rules based on the file path and hash.
  • Assegnare una regola a un gruppo di sicurezza o a un singolo utente.Assign a rule to a security group or an individual user.
  • Creare eccezioni alle regole.Create exceptions to rules. Ad esempio, puoi creare una regola che consenta a tutti gli utenti di eseguire tutti i file binari di Windows, tranne l'Editor del Registro di sistema (regedit.exe).For example, you can create a rule that allows all users to run all Windows binaries, except the Registry Editor (regedit.exe).
  • Usare la modalità Controlla soltanto per distribuire i criteri e valutarne l'impatto prima dell'imposizione.Use audit-only mode to deploy the policy and understand its impact before enforcing it.
  • Creare regole in un server di gestione temporanea, testarle e quindi esportarle nell'ambiente di produzione e importarle in un oggetto Criteri di gruppo.Create rules on a staging server, test them, then export them to your production environment and import them into a Group Policy Object.
  • Semplificare la creazione e gestione delle regole di AppLocker tramite Windows PowerShell.Simplify creating and managing AppLocker rules by using Windows PowerShell.

AppLocker consente di ridurre l'overhead amministrativo e i costi dell'organizzazione per la gestione delle risorse di elaborazione, riducendo il numero di chiamate al supporto tecnico risultanti dall'esecuzione di app non approvate da parte degli utenti.AppLocker helps reduce administrative overhead and helps reduce the organization's cost of managing computing resources by decreasing the number of Help Desk calls that result from users running unapproved apps. AppLocker si rivolge ai seguenti scenari di sicurezza delle applicazioni:AppLocker addresses the following app security scenarios:

  • Inventario delle applicazioniApplication inventory

    AppLocker è in grado di imporre i propri criteri nella modalità Controlla soltanto in uno scenario in cui tutte le attività di accesso alle app vengono registrate in registri eventi.AppLocker has the ability to enforce its policy in an audit-only mode where all app access activity is registered in event logs. Questi eventi possono essere raccolti per poter essere ulteriormente analizzati.These events can be collected for further analysis. Anche i cmdlet di Windows PowerShell consentono di analizzare questi dati a livello di programmazione.Windows PowerShell cmdlets also help you analyze this data programmatically.

  • Protezione contro software indesideratoProtection against unwanted software

    AppLocker consente di impedire l'esecuzione delle app escluse dall'elenco di app consentite.AppLocker has the ability to deny apps from running when you exclude them from the list of allowed apps. Quando vengono imposte le regole di AppLocker nell'ambiente di produzione, viene bloccata l'esecuzione di tutte le app non incluse nelle regole consentite.When AppLocker rules are enforced in the production environment, any apps that are not included in the allowed rules are blocked from running.

  • Conformità alle licenzeLicensing conformance

    AppLocker consente di creare regole che impediscono l'esecuzione di software senza licenza e che limitano l'uso del software concesso in licenza solo agli utenti autorizzati.AppLocker can help you create rules that preclude unlicensed software from running and restrict licensed software to authorized users.

  • Standardizzazione del softwareSoftware standardization

    I criteri di AppLocker possono essere configurati in modo da consentire l'esecuzione solo delle app supportate o approvate nei computer inclusi in un gruppo aziendale.AppLocker policies can be configured to allow only supported or approved apps to run on computers within a business group. Ciò consente una distribuzione di app più uniforme.This permits a more uniform app deployment.

  • Miglioramento della gestibilitàManageability improvement

    AppLocker include numerosi miglioramenti della gestibilità rispetto ai criteri di restrizione software.AppLocker includes a number of improvements in manageability as compared to its predecessor Software Restriction Policies. L'importazione e l'esportazione di criteri, la generazione automatica di regole da più file, la distribuzione in modalità solo controllo e i cmdlet di Windows PowerShell sono solo alcuni dei miglioramenti rispetto ai Criteri di restrizione software.Importing and exporting policies, automatic generation of rules from multiple files, audit-only mode deployment, and Windows PowerShell cmdlets are a few of the improvements over Software Restriction Policies.

Quando utilizzare AppLockerWhen to use AppLocker

In molte organizzazioni le informazioni rappresentano la risorsa più preziosa ed è imperativo garantire che solo utenti approvati dispongano dell'accesso a tali informazioni.In many organizations, information is the most valuable asset, and ensuring that only approved users have access to that information is imperative. Le tecnologie di controllo di accesso, ad esempio Active Directory Rights Management Services (ADRMS) e gli elenchi di controllo di accesso (ACL), consentono di controllare gli utenti autorizzati ad accedere.Access control technologies, such as Active Directory Rights Management Services (ADRMS) and access control lists (ACLs), help control what users are allowed to access.

Tuttavia, quando un utente esegue un processo, tale processo ha lo stesso livello di accesso ai dati dell'utente.However, when a user runs a process, that process has the same level of access to data that the user has. Di conseguenza, le informazioni riservate potrebbero venire eliminate o divulgate all'esterno dell'organizzazione se un utente intenzionalmente o inconsapevolmente esegue software dannoso.As a result, sensitive information could easily be deleted or transmitted out of the organization if a user knowingly or unknowingly runs malicious software. AppLocker consente di ridurre questi tipi di violazione della sicurezza limitando i file che gli utenti o i gruppi sono autorizzati a eseguire.AppLocker can help mitigate these types of security breaches by restricting the files that users or groups are allowed to run. Gli autori di software hanno iniziato a creare sempre più app che possono essere installate da utenti non amministratori.Software publishers are beginning to create more apps that can be installed by non-administrative users. Questo può pregiudicare i criteri di sicurezza scritti di un'organizzazione ed eludere le tradizionali soluzioni di controllo delle app che si basano sull'impossibilità di utenti di installare le app.This could jeopardize an organization's written security policy and circumvent traditional app control solutions that rely on the inability of users to install apps. Grazie alla creazione di un elenco autorizzato di file e app approvati, AppLocker consente di impedire l'esecuzione di questo tipo di app in base agli utenti.By creating an allowed list of approved files and apps, AppLocker helps prevent such per-user apps from running. Poiché AppLocker è in grado di controllare i file DLL, risulta utile anche per controllare gli utenti che possono installare ed eseguire i controlli ActiveX.Because AppLocker can control DLLs, it is also useful to control who can install and run ActiveX controls.

AppLocker è ideale per le organizzazioni che attualmente usano criteri di gruppo per gestire i propri PC.AppLocker is ideal for organizations that currently use Group Policy to manage their PCs.

Ecco alcuni esempi di scenari in cui AppLocker può essere usato:The following are examples of scenarios in which AppLocker can be used:

  • I criteri di sicurezza dell'organizzazione determinano l'uso solo di software concesso in licenza e devi impedire agli utenti di eseguire software senza licenza e limitare l'uso di software concesso in licenza solo agli utenti autorizzati.Your organization's security policy dictates the use of only licensed software, so you need to prevent users from running unlicensed software and also restrict the use of licensed software to authorized users.
  • Un'app non è più supportata dall'organizzazione e devi evitare che tutti gli utenti la usino.An app is no longer supported by your organization, so you need to prevent it from being used by everyone.
  • Il rischio che il software indesiderato possa essere introdotto nell'ambiente in uso è elevato e devi ridurre questo rischio.The potential that unwanted software can be introduced in your environment is high, so you need to reduce this threat.
  • La licenza di un'app è stata revocata o è scaduta nell'organizzazione e devi impedire a tutti gli utenti che la usino.The license to an app has been revoked or it is expired in your organization, so you need to prevent it from being used by everyone.
  • Una nuova app o una nuova versione di un'app viene distribuita e devi impedire agli utenti di eseguire la versione precedente.A new app or a new version of an app is deployed, and you need to prevent users from running the old version.
  • All'interno dell'organizzazione non sono consentiti strumenti software specifici o solo utenti specifici devono avere accesso a tali strumenti.Specific software tools are not allowed within the organization, or only specific users should have access to those tools.
  • Un singolo utente o un gruppo ristretto di utenti deve usare un'app specifica negata a tutti gli altri.A single user or small group of users needs to use a specific app that is denied for all others.
  • Alcuni computer dell'organizzazione sono condivisi da utenti con esigenze di uso di software diverse e devi proteggere app specifiche.Some computers in your organization are shared by people who have different software usage needs, and you need to protect specific apps.
  • Oltre ad altre misure devi controllare l'accesso a dati sensibili tramite l'uso di app.In addition to other measures, you need to control the access to sensitive data through app usage.

Nota

AppLocker è una caratteristica di sicurezza di difesa in profondità e non un limite di sicurezza.AppLocker is a defense-in-depth security feature and not a security boundary. Il controllo delle applicazioni di Windows Defender deve essere usato quando l'obiettivo è garantire una protezione robusta da una minaccia e non ci dovrebbero essere limitazioni di progettazione che impediscono alla caratteristica di sicurezza di raggiungere questo obiettivo.Windows Defender Application Control should be used when the goal is to provide robust protection against a threat and there are expected to be no by-design limitations that would prevent the security feature from achieving this goal.

AppLocker consente di proteggere le risorse digitali all'interno dell'organizzazione, ridurre il rischio di introduzione di software dannoso nell'ambiente in uso e migliorare la gestione del controllo delle applicazioni e la manutenzione dei criteri di controllo delle applicazioni.AppLocker can help you protect the digital assets within your organization, reduce the threat of malicious software being introduced into your environment, and improve the management of application control and the maintenance of application control policies.

Installazione di AppLockerInstalling AppLocker

AppLocker è incluso nelle edizioni Enterprise di Windows.AppLocker is included with enterprise-level editions of Windows. Puoi creare regole di AppLocker per un singolo computer o per un gruppo di computer.You can author AppLocker rules for a single computer or for a group of computers. Per un singolo computer, puoi creare regole usando l'editor Criteri di sicurezza locali (secpol.msc).For a single computer, you can author the rules by using the Local Security Policy editor (secpol.msc). Per un gruppo di computer, puoi creare regole all'interno di un oggetto Criteri di gruppo usando Console Gestione Criteri di gruppo (GPMC).For a group of computers, you can author the rules within a Group Policy Object by using the Group Policy Management Console (GPMC).

Nota

GPMC è disponibile nei computer client che eseguono Windows solo installando gli strumenti di amministrazione del server remoto.The GPMC is available in client computers running Windows only by installing the Remote Server Administration Tools. Nei computer che eseguono WindowsServer, devi installare la funzionalità Gestione Criteri di gruppo.On computer running Windows Server, you must install the Group Policy Management feature.

Uso di AppLocker nelle installazioni Server CoreUsing AppLocker on Server Core

AppLocker non è supportato nelle installazioni Server Core.AppLocker on Server Core installations is not supported.

Considerazioni sulla virtualizzazioneVirtualization considerations

Puoi amministrare i criteri di AppLocker tramite un'istanza virtualizzata di Windows a condizione che soddisfi tutti i requisiti di sistema elencati in precedenza.You can administer AppLocker policies by using a virtualized instance of Windows provided it meets all the system requirements listed previously. Puoi anche eseguire Criteri di gruppo in un'istanza virtualizzata.You can also run Group Policy in a virtualized instance. Tuttavia, in questo caso rischi di perdere i criteri che hai creato e conservato se l'istanza virtualizzata viene rimossa o ha esito negativo.However, you do risk losing the policies that you created and maintain if the virtualized instance is removed or fails.

Considerazioni sulla sicurezzaSecurity considerations

I criteri di controllo delle applicazioni specificano le app che possono essere eseguite nel computer locale.Application control policies specify which apps are allowed to run on the local computer.

Le varie forme che un software dannoso può assumere rendono estremamente difficile per gli utenti sapere gli elementi la cui esecuzione è sicura.The variety of forms that malicious software can take make it difficult for users to know what is safe to run. Se attivato, il software dannoso può compromettere seriamente il contenuto di un'unità disco rigido, intasare una rete con richieste a causa di un attacco Denial of Service (DoS), inviare informazioni riservate a Internet o violare la sicurezza di un computer.When activated, malicious software can damage content on a hard disk drive, flood a network with requests to cause a denial-of-service (DoS) attack, send confidential information to the Internet, or compromise the security of a computer.

Come contromisura ti consigliamo di creare una progettazione affidabile dei criteri di controllo delle applicazioni nei PC dell'organizzazione e quindi sottoporre tali criteri a rigidi test in un ambiente di laboratorio prima di distribuirli in un ambiente di produzione.The countermeasure is to create a sound design for your application control policies on PCs in your organization, and then thoroughly test the policies in a lab environment before you deploy them in a production environment. AppLocker può essere incluso in una strategia di controllo delle app perché puoi controllare i software per i quali l'esecuzione è consentita nei computer.AppLocker can be part of your app control strategy because you can control what software is allowed to run on your computers.

Un'implementazione difettosa dei criteri di controllo delle applicazioni può disabilitare applicazioni necessarie o consentire l'esecuzione di software dannosi o indesiderati.A flawed application control policy implementation can disable necessary applications or allow malicious or unintended software to run. Pertanto, è importante che le organizzazioni destinino risorse sufficienti per gestire l'implementazione di tali criteri e risolvere i relativi problemi.Therefore, it is important that organizations dedicate sufficient resources to manage and troubleshoot the implementation of such policies.

Per altre informazioni su problemi di sicurezza specifici, vedi Considerazioni sulla sicurezza per AppLocker.For additional information about specific security issues, see Security considerations for AppLocker.

Durante l'uso di AppLocker per la creazione di criteri di controllo delle applicazioni, prestare attenzione alle seguenti considerazioni sulla sicurezza:When you use AppLocker to create application control policies, you should be aware of the following security considerations:

  • Chi dispone del diritto di impostare i criteri di AppLocker?Who has the rights to set AppLocker policies?
  • Come si fa a verificare che i criteri vengono imposti?How do you validate that the policies are enforced?
  • Quali eventi dovresti controllare?What events should you audit?

Come riferimento per la fase di pianificazione della sicurezza, nella tabella seguente sono riportate le impostazioni di base per un PC con AppLocker installato:For reference in your security planning, the following table identifies the baseline settings for a PC with AppLocker installed:

ImpostazioneSetting Valore predefinitoDefault value
Account creatiAccounts created NessunoNone
Metodo di autenticazioneAuthentication method Non applicabileNot applicable
Interfacce di gestioneManagement interfaces AppLocker può essere gestito tramite Gestione Criteri di gruppo, uno snap-in Microsoft Management Console, e Windows PowerShell.AppLocker can be managed by using a Microsoft Management Console snap-in, Group Policy Management, and Windows PowerShell
Porte apertePorts opened NessunaNone
Sono necessari privilegi minimiMinimum privileges required Amministratore nel computer locale; amministratore del dominio o qualsiasi insieme di diritti che consentono di creare, modificare e distribuire gli oggetti Criteri di gruppo.Administrator on the local computer; Domain Admin, or any set of rights that allow you to create, edit and distribute Group Policy Objects.
Protocolli usatiProtocols used Non applicabileNot applicable
Attività pianificateScheduled Tasks Appidpolicyconverter.exe è inserito in un'attività pianificata per venire eseguito su richiesta.Appidpolicyconverter.exe is put in a scheduled task to be run on demand.
Criteri di sicurezzaSecurity Policies Nessun criterio richiestoNone required. AppLocker crea i criteri di sicurezza.AppLocker creates security policies.
Servizi di sistema richiestiSystem Services required Il servizio Identità applicazione (appidsvc) viene eseguito in LocalServiceAndNoImpersonation.Application Identity service (appidsvc) runs under LocalServiceAndNoImpersonation.
Archiviazione delle credenzialiStorage of credentials NessunoNone

Contenuto della sezioneIn this section

ArgomentoTopic DescrizioneDescription
Amministrare AppLockerAdminister AppLocker Questo argomento, destinato ai professionisti IT, contiene i link alle procedure specifiche da usare per amministrare i criteri di AppLocker.This topic for IT professionals provides links to specific procedures to use when administering AppLocker policies.
Guida alla progettazione di AppLockerAppLocker design guide Questa guida, destinata ai professionisti IT, introduce alcuni passaggi di progettazione e pianificazione necessari per distribuire i criteri di controllo delle applicazioni mediante AppLocker.This topic for the IT professional introduces the design and planning steps required to deploy application control policies by using AppLocker.
Guida alla distribuzione di AppLockerAppLocker deployment guide Questo argomento, destinato ai professionisti IT, introduce i concetti e descrive i passaggi necessari per distribuire i criteri di AppLocker.This topic for IT professionals introduces the concepts and describes the steps required to deploy AppLocker policies.
Documentazione tecnica su AppLockerAppLocker technical reference Questo argomento introduttivo, destinato ai professionisti IT, fornisce i link agli argomenti disponibili nella documentazione tecnica.This overview topic for IT professionals provides links to the topics in the technical reference.