Gestire app in pacchetto con AppLocker

Si applica a

  • Windows 10
  • Windows Server

Questo argomento per professionisti IT descrive le procedure per la gestione di concetti ed elenchi che consentono di gestire le app in pacchetto con AppLocker nell'ambito della strategia di controllo generale delle applicazioni.

Informazioni sulle app in pacchetto e i programmi di installazione delle app in pacchetto per AppLocker

Le app con pacchetto, note anche come app di Windows universali, si basano su un modello che garantisce che tutti i file all'interno di un pacchetto dell'app condividano la stessa identità. Con le app di Windows classiche, ogni file all'interno dell'app potrebbe avere un'identità univoca. Con le app con pacchetto, è possibile controllare l'intera app usando una singola regola di AppLocker.

Nota: AppLocker supporta solo le regole di Publisher per le app in pacchetto. Tutte le app con pacchetto devono essere firmate dall'autore del software perché Windows non supporta le app con pacchetto non firmate.

In genere, un'app è costituita da più componenti: il programma di installazione usato per installare l'app e uno o più exe, dll o script. Con le app di Windows classiche, non tutti questi componenti condividono sempre attributi comuni, come il nome dell'autore del software, il nome del prodotto e la versione del prodotto. Di conseguenza, AppLocker controlla ognuno di questi componenti separatamente tramite insiemi di regole diversi, ad esempio le regole exe, dll, script e Windows Installer. Al contrario, tutti i componenti di un'app in pacchetto condividono lo stesso nome di Publisher, il nome del pacchetto e gli attributi della versione del pacchetto. Puoi quindi controllare un'intera app con una sola regola.

Confronto tra app di Windows classica e app in pacchetto

I criteri di AppLocker per le app con pacchetto possono essere applicati solo alle app installate nei computer che eseguono almeno Windows Server 2012 o Windows 8, ma le app di Windows classiche possono essere controllate nei dispositivi che eseguono almeno WindowsServer 2008R2 o Windows7. Le regole per le app di Windows classiche e le app in pacchetto possono essere applicate in tandem. Le differenze tra le app in pacchetto e le app di Windows classiche da tenere in considerazione includono:

  • L'installazione delle apptutte le app con pacchetto può essere installata da un utente standard, mentre un certo numero di app di Windows classiche richiedono privilegi amministrativi per l'installazione. In un ambiente in cui la maggior parte degli utenti sono utenti standard, potresti non avere numerose regole exe (perché le app di Windows classiche richiedono privilegi amministrativi per l'installazione), ma potresti voler avere criteri più espliciti per le app in pacchetto.
  • La modifica dello statodel sistema delle app di Windows classiche può essere scritta per cambiare lo stato del sistema se viene eseguito con privilegi amministrativi. La maggior parte delle app in pacchetto non può modificare lo stato del sistema perché vengono eseguite con privilegi limitati. Quando si progettano i criteri di AppLocker, è importante capire se un'app che si vuole consentire può apportare modifiche a livello di sistema.
  • L'acquisizione delleapp con pacchetto di app può essere acquisita tramite lo Store oppure tramite il caricamento dei cmdlet di Windows PowerShell (che richiede una licenza speciale per l'organizzazione). Le app di Windows classiche possono essere acquisite con i mezzi tradizionali.

AppLocker usa diverse insiemi di regole per controllare le app di pacchetto e le app di Windows classiche. Puoi scegliere di controllare un tipo, l'altro tipo o entrambi.

Per informazioni sul controllo delle app di Windows classiche, vedere gestire AppLocker.

Per altre informazioni sulle app con pacchetto, Vedi le app con pacchetto e le regole di installazione delle app in pacchetto in AppLocker.

Decisioni di progettazione e distribuzione

Puoi usare due metodi per creare un inventario delle app in pacchetto in un computer: la console AppLocker o il cmdlet Get-AppxPackage di Windows PowerShell.

Nota: non tutte le app con pacchetto sono elencate nella procedura guidata inventario applicazioni di AppLocker. Alcuni pacchetti di app sono pacchetti di Framework sfruttati da altre app. Questi pacchetti non possono eseguire alcuna operazione, ma il blocco di tali pacchetti può causare inavvertitamente un errore per le app che si desidera consentire. Puoi invece creare regole Allow o Deny per le app in pacchetto che usano questi pacchetti Framework. L'interfaccia utente di AppLocker filtra deliberatamente tutti i pacchetti registrati come pacchetti di Framework. Per informazioni su come creare un elenco di inventario, vedere creare un elenco di app distribuite in ogni gruppo aziendale.

Per informazioni su come usare il cmdlet di Windows PowerShell Get-AppxPackage , vedi la pagina di riferimento per i comandi di PowerShell per AppLocker.

Per informazioni sulla creazione di regole per le app in pacchetto, Vedi creare una regola per le app in pacchetto.

Quando si progettano e si distribuiscono le app, tenere presenti le informazioni seguenti:

  • Poiché AppLocker supporta solo le regole di Publisher per le app in pacchetto, non è necessario raccogliere le informazioni sul percorso di installazione per le app in pacchetto.
  • Non puoi creare regole basate su hash o Path per le app in pacchetto, perché tutte le app in pacchetto e i programmi di installazione di app in pacchetto sono firmati dall'editore del software del pacchetto. Le app di Windows classiche non erano sempre firmate costantemente; di conseguenza, AppLocker deve supportare le regole basate su hash o sul percorso.
  • Per impostazione predefinita, se non ci sono regole in una particolare raccolta di regole, AppLocker consente ogni file incluso nella raccolta di regole. Ad esempio, se non esistono regole di Windows Installer, AppLocker consente l'esecuzione di tutti i file con estensione msi, msp e MST. Un criterio di AppLocker esistente destinato a computer che eseguono Windows Server 2008 R2 e Windows 7 non avrebbe regole per le app in pacchetto. Di conseguenza, quando un computer che esegue almeno Windows Server 2012 o Windows 8 si unisce a un dominio in cui è già configurato un criterio di AppLocker, gli utenti possono eseguire qualsiasi app in pacchetto. Questo potrebbe essere contrario alla progettazione.

    Per impedire l'applicazione di tutte le app con pacchetto in un computer appena collegato al dominio, per impostazione predefinita, AppLocker blocca tutte le app con pacchetto in un computer che ha almeno Windows Server 2012 o Windows 8 se i criteri del dominio esistenti includono regole configurate nella raccolta di regole exe. È necessario eseguire un'azione esplicita per consentire le app con pacchetto nell'organizzazione. Puoi consentire solo un set selezionato di app in pacchetto. Se vuoi consentire tutte le app in pacchetto, puoi creare una regola predefinita per la raccolta di app in pacchetto.

Uso di AppLocker per gestire le app con pacchetto

Analogamente alle differenze nella gestione di ogni raccolta di regole, è necessario gestire le app con pacchetto con la strategia seguente:

  1. Raccogliere informazioni sulle app con pacchetto in uso nell'ambiente. Per informazioni su come eseguire questa operazione, vedere creare un elenco di app distribuite in ogni gruppo aziendale.

  2. Creare regole di AppLocker per specifiche app in pacchetto basate sulle strategie dei criteri. Per altre informazioni, vedere creare una regola per le app in pacchetto e le regole predefinite delle app in pacchetto in AppLocker.

  3. Continuare ad aggiornare i criteri di AppLocker Man mano che le nuove app pacchetto vengono introdotte nell'ambiente. Per eseguire questa operazione, Vedi aggiungere regole per le app in pacchetto al set di regole di AppLocker esistente.

  4. Continuare a monitorare l'ambiente per verificare l'efficacia delle regole distribuite nei criteri di AppLocker. Per eseguire questa operazione, Vedi monitorare l'utilizzo dell'app con AppLocker.