Distribuire i criteri di AppLocker con l'impostazione per imporre le regole

Questo articolo per i professionisti IT descrive i passaggi per distribuire i criteri di AppLocker usando il metodo di impostazione dell'imposizione.

Background e prerequisiti

Queste procedure presuppongono che i criteri di AppLocker vengano distribuiti con la modalità di imposizione impostata su Solo controllo e che siano stati raccolti dati tramite i log eventi di AppLocker e altri canali per determinare l'effetto di questi criteri sull'ambiente e sulla conformità dei criteri alla progettazione del controllo dell'applicazione.

Per informazioni sull'impostazione di imposizione dei criteri di AppLocker, vedi Informazioni sulle impostazioni di imposizione di AppLocker.

Per informazioni su come pianificare una distribuzione di criteri di AppLocker, vedi Guida alla progettazione di AppLocker.

Passaggio 1: Recuperare i criteri di AppLocker

L'aggiornamento di un criterio di AppLocker attualmente applicato nell'ambiente di produzione può causare risultati imprevisti. Usando Criteri di gruppo, è possibile esportare i criteri dall'oggetto Criteri di gruppo e quindi aggiornare la regola o le regole usando AppLocker in un PC di riferimento o di test. Per la procedura per eseguire queste attività, vedere Esportare un criterio di AppLocker da un oggetto Criteri di gruppo e Importare criteri di AppLocker in un oggetto Criteri di gruppo. Per i criteri di AppLocker locali, è possibile aggiornare la regola o le regole usando lo snap-in Criteri di sicurezza locale (secpol.msc) nel PC di riferimento o di test di AppLocker. Per le procedure per eseguire questa attività, vedere Esportare un criterio di AppLocker in un file XML e Importare criteri di AppLocker da un altro computer.

Passaggio 2: Modificare l'impostazione di imposizione

L'imposizione delle regole viene applicata a tutte le regole all'interno di una raccolta di regole, non a singole regole. AppLocker divide le regole in raccolte: file eseguibili, file di Windows Installer, app in pacchetto, script e file DLL. Per informazioni sull'impostazione della modalità di imposizione, vedere Informazioni sulle impostazioni di imposizione di AppLocker. Per la procedura per modificare l'impostazione della modalità di imposizione, vedere Configurare un criterio di AppLocker solo per il controllo.

Passaggio 3: Aggiornare i criteri

È possibile modificare un criterio di AppLocker aggiungendo, modificando o rimuovendo regole. Tuttavia, non è possibile specificare una versione per i criteri di AppLocker importando altre regole. Per garantire il controllo della versione durante la modifica di un criterio di AppLocker, usare Criteri di gruppo software di gestione che consente di creare versioni di oggetti Criteri di gruppo. Un esempio di questo tipo di software è la funzionalità Advanced Criteri di gruppo Management di Microsoft Desktop Optimization Pack.

Attenzione

Non è consigliabile modificare una raccolta di regole di AppLocker mentre viene applicata in Criteri di gruppo. Poiché AppLocker controlla quali file possono essere eseguiti, l'applicazione di modifiche a un criterio live può causare un comportamento imprevisto.

Per la procedura di aggiornamento dell'oggetto Criteri di gruppo, vedere Importare un criterio di AppLocker in un oggetto Criteri di gruppo.

Per le procedure per distribuire i criteri per i PC locali usando lo snap-in Criteri di sicurezza locali (secpol.msc), vedere Esportare un criterio di AppLocker in un file XML e Importare criteri di AppLocker da un altro computer.

Passaggio 4: Monitorare l'effetto dei criteri

Quando un criterio viene distribuito, è importante monitorare l'implementazione effettiva di tale criterio monitorando l'attività di richiesta di accesso alle app dell'organizzazione di supporto ed esaminando i log eventi di AppLocker. Per monitorare l'effetto dei criteri, vedere Monitorare l'utilizzo delle applicazioni con AppLocker.

Altre risorse