Gestire i criteri di AppLocker

Si applica a

  • Windows 10
  • Windows Server

Questo argomento descrive come gestire le regole nei criteri di AppLocker.

Gli scenari di manutenzione comuni di AppLocker includono:

  • Viene distribuita una nuova app ed è necessario aggiornare i criteri di AppLocker.
  • Viene distribuita una nuova versione di un'app ed è necessario aggiornare i criteri di AppLocker o creare una nuova regola per aggiornare i criteri.
  • Un'app non è più supportata dall'organizzazione, quindi devi impedirne l'uso.
  • Un'app sembra essere bloccata, ma dovrebbe essere consentita.
  • Un'app sembra essere consentita, ma deve essere bloccata.
  • Un singolo utente o un piccolo sottoinsieme di utenti deve usare un'app specifica bloccata.

Esistono tre metodi che è possibile usare per gestire i criteri di AppLocker:

Manutenzione dei criteri di AppLocker tramite la gestione di dispositivi mobili (MDM)

Gestione dei criteri di AppLocker tramite criteri di gruppo

Per ogni scenario, la procedura per gestire i criteri di AppLocker distribuiti da criteri di gruppo include le attività seguenti.

Man mano che vengono distribuite nuove app o le app esistenti vengono rimosse dall'organizzazione o aggiornate dall'autore del software, potrebbe essere necessario apportare revisioni alle regole e aggiornare l'oggetto Criteri di gruppo per verificare che i criteri siano aggiornati.

È possibile modificare i criteri di AppLocker aggiungendo, modificando o rimuovendo regole. Tuttavia, non è possibile specificare una versione per i criteri di AppLocker importando regole aggiuntive. Per garantire il controllo della versione quando si modificano i criteri di AppLocker, usare il software di gestione dei criteri di gruppo che consente di creare versioni di GPO.

Attenzione: non è consigliabile modificare una raccolta regole di AppLocker mentre viene applicata in criteri di gruppo. Poiché AppLocker controlla quali file sono consentiti per l'esecuzione, le modifiche apportate a un criterio dinamico possono creare un comportamento imprevisto.

Passaggio 1: comprendere il comportamento corrente dei criteri

Prima di modificare un criterio, valutare in che modo il criterio è attualmente implementato. Ad esempio, se viene distribuita una nuova versione dell'applicazione, puoi usare Test-AppLockerPolicy per verificare l'efficacia dei tuoi criteri correnti per quell'app.

Passaggio 2: esportare i criteri di AppLocker dall'oggetto Criteri di settore

L'aggiornamento di un criterio di AppLocker attualmente applicato nell'ambiente di produzione può avere risultati non previsti. Esportare pertanto i criteri dall'oggetto Criteri di controllo e aggiornare la regola o le regole tramite AppLocker in riferimento a AppLocker o in un computer di test. Per preparare un criterio di AppLocker per la modifica, vedere esportare criteri di AppLocker da un oggetto Criteridi ricerca.

Passaggio 3: aggiornare i criteri di AppLocker modificando la regola di AppLocker appropriata

Dopo che i criteri di AppLocker sono stati esportati dall'oggetto Criteri di controllo di AppLocker o dal computer di test o sono stati raggiunti nel computer locale, le regole specifiche possono essere modificate in base alle esigenze.

Per modificare le regole di AppLocker, vedere quanto segue:

Passaggio 4: testare i criteri di AppLocker

Dovresti testare ogni raccolta di regole per assicurarti che le regole vengano eseguite come previsto. Poiché le regole di AppLocker vengono ereditate da GPO collegati, devi distribuire tutte le regole per il test simultaneo in tutti i GPO di test. Per istruzioni su come eseguire questo test, vedere testare e aggiornare i criteri di AppLocker.

Passaggio 5: importare i criteri di AppLocker nell'oggetto Criteri di GPO

Dopo il test, importare di nuovo i criteri di AppLocker nell'oggetto Criteri di ricerca per l'implementazione. Per aggiornare l'oggetto Criteri di riferimento con i criteri di AppLocker modificati, vedere importare criteri di AppLocker in un GPO.

Passaggio 6: monitorare il comportamento dei criteri risultante

Dopo la distribuzione di un criterio, valutare l'efficacia dei criteri.

Gestione dei criteri di AppLocker tramite lo snap-in criteri di sicurezza locali

Per ogni scenario, la procedura per gestire i criteri di AppLocker utilizzando l'Editor criteri di gruppo locali o lo snap-in criteri di sicurezza locali include le attività seguenti.

Passaggio 1: comprendere il comportamento corrente dei criteri

Prima di modificare un criterio, valutare in che modo il criterio è attualmente implementato.

Passaggio 2: aggiornare i criteri di AppLocker modificando la regola di AppLocker appropriata

Le regole vengono raggruppate in una raccolta, in cui è possibile applicare l'impostazione di applicazione dei criteri. Per impostazione predefinita, le regole di AppLocker non consentono agli utenti di aprire o eseguire file non consentiti in modo specifico.

Per modificare le regole di AppLocker, vedere l'argomento appropriato elencato in amministrare AppLocker.

Passaggio 3: testare i criteri di AppLocker

Dovresti testare ogni raccolta di regole per assicurarti che le regole vengano eseguite come previsto. Per istruzioni su come eseguire questo test, vedere testare e aggiornare i criteri di AppLocker.

Passaggio 4: distribuire il criterio con la regola modificata

È possibile esportare e quindi importare i criteri di AppLocker per distribuire i criteri ad altri computer che eseguono Windows 8 o versioni successive. Per eseguire questa attività, vedere esportare i criteri di AppLocker in un file XML e importare i criteri di AppLocker da un altro computer.

Passaggio 5: monitorare il comportamento dei criteri risultante

Dopo la distribuzione di un criterio, valutare l'efficacia dei criteri.

Risorse aggiuntive