Processi e interazioni di AppLocker

• Si applica a:

  ✅ Windows 11, ✅ Windows 10, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Nota

Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità Windows Defender Controllo applicazioni.

Questo articolo per il professionista IT descrive le dipendenze e le interazioni del processo quando AppLocker valuta e applica le regole.

Come AppLocker applica i criteri

I criteri di AppLocker sono raccolte di regole che potrebbero contenere una qualsiasi delle impostazioni della modalità di imposizione configurate. Se applicata, ogni regola viene valutata all'interno dei criteri e la raccolta di regole viene applicata in base all'impostazione di imposizione e in base alla struttura Criteri di gruppo.

I criteri di AppLocker vengono applicati in un computer tramite il servizio Identità applicazione (appid.sys), ovvero il motore che valuta i criteri ed esegue all'interno del kernel windows. Se il servizio non è in esecuzione, i criteri non vengono applicati. Il servizio Identità applicazione restituisce le informazioni dal file binario, anche se i nomi di prodotto o binario sono vuoti, al riquadro dei risultati dello snap-in Criteri di sicurezza locali.

I criteri di AppLocker vengono archiviati in un formato descrittore di sicurezza in base ai requisiti del servizio Application Identity. Usa il percorso del file, l'hash o gli attributi del nome binario completo per formare azioni consentite o negate in una regola. Ogni regola viene archiviata come voce di controllo di accesso (ACE) nel descrittore di sicurezza e contiene le informazioni seguenti:

• Ace allow o deny ("XA" o "XD" nel formato SDDL (Security Descriptor Definition Language).
• Identificatore di sicurezza utente (SID) a cui è applicabile questa regola. L'impostazione predefinita è il SID utente autenticato in SDDL.
• Condizione della regola contenente gli attributi appid .

Ad esempio, un SDDL per una regola che consente l'esecuzione di tutti i file nella directory %windir% usa il formato seguente: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").

Appid.sys legge e memorizza nella cache i criteri di AppLocker effettivi per DLL e file eseguibili. Ogni volta che viene applicato un nuovo criterio, un'attività del convertitore di criteri notifica appid.sys. Per altri tipi di file, i criteri di AppLocker vengono letti ogni volta che viene eseguita una chiamata SaferIdentifyLevel .

Informazioni sulle regole di AppLocker

Una regola di AppLocker è un controllo inserito in un file che controlla se viene eseguita per un utente o un gruppo specifico. Si creano regole di AppLocker per cinque diversi tipi di file o raccolte:

• Una regola eseguibile controlla se un utente o un gruppo può eseguire un file eseguibile. I file eseguibili hanno più spesso le estensioni di file .exe o .com e si applicano alle applicazioni.
• Una regola di script controlla se un utente o un gruppo può eseguire script con estensione file di .ps1, .bat, .cmd, vbs e .js.
• Una regola di Windows Installer controlla se un utente o un gruppo può eseguire file con estensione .msi, mst e msp (patch di Windows Installer).
• Una regola DLL controlla se un utente o un gruppo può eseguire file con estensione .dll e ocx.
• Un'app in pacchetto e una regola del programma di installazione dell'app in pacchetto controllano se un utente o un gruppo può eseguire o installare un'app in pacchetto. Un programma di installazione di un'app in pacchetto ha l'estensione .appx.

Esistono tre diversi tipi di condizioni che possono essere applicate alle regole:

• Una condizione del server di pubblicazione in una regola controlla se un utente o un gruppo può eseguire file da un server di pubblicazione software specifico. Il file deve essere firmato.

• Una condizione di percorso in una regola controlla se un utente o un gruppo può eseguire file da una directory specifica o dalle relative sottodirectory.

• Una condizione di hash dei file in una regola controlla se un utente o un gruppo può eseguire file con hash crittografati corrispondenti.

• Informazioni sulle raccolte di regole di AppLocker

  Una raccolta di regole di AppLocker è un set di regole che si applicano a uno dei tipi seguenti: file eseguibili, file di Windows Installer, script, DLL e app in pacchetto.

• Informazioni sui tipi di condizione delle regole di AppLocker

  Le condizioni delle regole sono criteri su cui si basa la regola di AppLocker. Per creare una regola di AppLocker sono necessarie condizioni primarie. Le tre condizioni principali delle regole sono l'autore, il percorso e l'hash dei file.

  • Informazioni sulla condizione della regola dell'entità di pubblicazione in AppLocker
  • Informazioni sulla condizione della regola percorso in AppLocker
  • Informazioni sulla condizione della regola Hash file in AppLocker

• Informazioni sulle regole predefinite di AppLocker

  AppLocker include regole predefinite per ogni raccolta di regole. Queste regole hanno lo scopo di garantire che i file necessari per il corretto funzionamento di Windows siano consentiti in una raccolta di regole di AppLocker.

  • Regole eseguibili in AppLocker
  • Regole di Windows Installer in AppLocker
  • Regole script in AppLocker
  • Regole DLL in AppLocker
  • App in pacchetto e regole del programma di installazione delle app in pacchetto in AppLocker

• Informazioni sulle eccezioni per le regole di AppLocker

  È possibile applicare le regole di AppLocker a singoli utenti o a un gruppo di utenti. Se si applica una regola a un gruppo di utenti, la regola influisce su tutti gli utenti del gruppo. Se è necessario consentire solo a un subset di un gruppo di utenti di usare un'applicazione, è possibile creare una regola speciale per tale subset.

• Informazioni sul comportamento delle regole di AppLocker e Informazioni su AppLocker per consentire e negare le azioni sulle regole

  Ogni raccolta di regole di AppLocker funziona come un elenco di file consentito.

Informazioni sui criteri di AppLocker

Un criterio di AppLocker è un set di raccolte di regole e le relative impostazioni della modalità di imposizione configurata corrispondenti vengono applicate a uno o più computer.

• Informazioni sulle impostazioni di imposizione di AppLocker

  L'imposizione delle regole viene applicata solo alle raccolte di regole, non alle singole regole. AppLocker divide le regole in quattro raccolte: file eseguibili, file di Windows Installer, script e file DLL. Le opzioni per l'imposizione delle regole sono Non configurate, Applica regole o Controlla solo. Insieme, tutte le raccolte di regole di AppLocker costituiscono i criteri di controllo dell'applicazione o i criteri di AppLocker. Per impostazione predefinita, se l'imposizione non è configurata e le regole sono presenti in una raccolta di regole, tali regole vengono applicate.

Informazioni su AppLocker e Criteri di gruppo

Criteri di gruppo può essere usato per creare, modificare e distribuire criteri di AppLocker in oggetti separati o in combinazione con altri criteri.

• Informazioni sull'ereditarietà delle regole di AppLocker e delle impostazioni di imposizione in Criteri di gruppo

  Quando si usa Criteri di gruppo per distribuire i criteri di AppLocker, vengono applicate raccolte di regole contenenti una o più regole, a meno che la modalità di imposizione non sia impostata solo su Audit. Criteri di gruppo non sovrascrive né sostituisce le regole già presenti in un oggetto Criteri di gruppo collegato e applica le regole di AppLocker oltre alle regole esistenti. AppLocker elabora regole di negazione esplicite prima di qualsiasi regola di autorizzazione e, per l'imposizione delle regole, viene applicata l'ultima scrittura nell'oggetto Criteri di gruppo.

Articoli correlati

• Documentazione tecnica su AppLocker