Distribuire i criteri di AppLocker con l'impostazione per imporre le regole

Si applica a

  • Windows 10
  • Windows Server

Questo argomento per professionisti IT descrive la procedura per distribuire i criteri di AppLocker usando il metodo di impostazione dell'imposizione.

Sfondo e prerequisiti

Queste procedure presuppongono che siano già stati distribuiti i criteri di AppLocker con il set di imposizione solo per il controlloe che siano stati raccolti dati tramite i registri eventi di AppLocker e altri canali per determinare l'effetto che questi criteri hanno sul proprio ambiente e conformità dei criteri alla progettazione del controllo dell'applicazione.

Per informazioni sull'impostazione dell'imposizione dei criteri di AppLocker, vedere comprendere le impostazioni di applicazione di AppLocker.

Per informazioni su come pianificare una distribuzione di criteri di AppLocker, vedere Guida alla progettazione di AppLocker.

Passaggio 1: recuperare i criteri di AppLocker

L'aggiornamento di un criterio di AppLocker attualmente applicato nell'ambiente di produzione può avere risultati non previsti. Usando criteri di gruppo, è possibile esportare i criteri dall'oggetto Criteri di gruppo e quindi aggiornare la regola o le regole tramite AppLocker in riferimento a AppLocker o test PC. Per eseguire questa procedura, vedere Esportare i criteri di AppLocker da un oggetto Criteri di ricerca e importare un criterio di AppLocker in un oggetto Criteridi ricerca. Per i criteri di AppLocker locali, è possibile aggiornare la regola o le regole usando lo snap-in criteri di sicurezza locali (secpol. msc) in riferimento a AppLocker o test PC. Per le procedure, vedere esportare i criteri di AppLocker in un file XML e importare i criteri di AppLocker da un altro computer.

Passaggio 2: modificare l'impostazione di imposizione

L'applicazione della regola viene applicata solo a una raccolta di regole, non alle singole regole. AppLocker divide le regole in raccolte: file eseguibili, file di Windows Installer, app in pacchetto, script e file DLL. Per impostazione predefinita, se l'applicazione non è configurata e le regole sono presenti in una raccolta di regole, queste regole vengono applicate. Per informazioni sull'impostazione dell'imposizione, vedere comprendere le impostazioni di applicazione di AppLocker. Per la procedura per modificare l'impostazione dell'imposizione, vedere configurare i criteri di AppLocker solo per il controllo.

Passaggio 3: aggiornare il criterio

È possibile modificare i criteri di AppLocker aggiungendo, modificando o rimuovendo regole. Tuttavia, non è possibile specificare una versione per i criteri di AppLocker importando regole aggiuntive. Per garantire il controllo della versione quando si modificano i criteri di AppLocker, usare il software di gestione dei criteri di gruppo che consente di creare versioni di GPO. Un esempio di questo tipo di software è la caratteristica di gestione dei criteri di gruppo avanzata disponibile in Microsoft Desktop Optimization Pack.

Attenzione: non è consigliabile modificare una raccolta regole di AppLocker mentre viene applicata in criteri di gruppo. Poiché AppLocker controlla quali file sono consentiti per l'esecuzione, le modifiche apportate a un criterio dinamico possono creare un comportamento imprevisto.

Per la procedura per l'aggiornamento del GPO, vedere importare criteri di AppLocker in un oggetto Criteridi ricerca.

Per le procedure per la distribuzione dei criteri per i PC locali tramite lo snap-in criteri di sicurezza locali (secpol. msc), vedere esportare i criteri di AppLocker in un file XML e importare i criteri di AppLocker da un altro computer.

Passaggio 4: monitorare l'effetto del criterio

Quando si distribuisce un criterio, è importante monitorare l'effettiva implementazione di tale criterio. Puoi eseguire questa operazione monitorando l'attività di richiesta di accesso app dell'organizzazione di supporto e rivedendo i registri eventi di AppLocker. Per monitorare l'effetto dei criteri, vedere monitorare l'utilizzo delle applicazioni con AppLocker.

Risorse aggiuntive