Monitorare l'uso delle app con AppLocker

Si applica a

  • Windows 10
  • Windows Server

Questo argomento per professionisti IT descrive come monitorare l'utilizzo dell'app quando vengono applicati i criteri di AppLocker.

Dopo aver impostato le regole e distribuito i criteri di AppLocker, è buona norma determinare se l'implementazione dei criteri è quella prevista.

Individuare l'effetto di un criterio di AppLocker

È possibile valutare il modo in cui i criteri di AppLocker sono attualmente implementati per scopi di documentazione o di controllo o prima di modificare i criteri. L'aggiornamento del documento di pianificazione della distribuzione dei criteri di AppLocker consente di tenere traccia dei risultati. È possibile eseguire una o più delle operazioni seguenti per comprendere i controlli applicazione attualmente applicati tramite le regole di AppLocker.

  • Analizzare i registri di AppLocker nel Visualizzatore eventi

    Quando l'applicazione dei criteri di AppLocker è impostata su Applica regole, le regole vengono applicate per la raccolta regole e tutti gli eventi vengono controllati. Quando l'applicazione dei criteri di AppLocker è impostata solo su audit, le regole non vengono applicate, ma vengono comunque valutate per generare i dati degli eventi di controllo scritti nei registri di AppLocker.

    Per la procedura di accesso al log, vedere visualizzare il log di AppLocker nel Visualizzatore eventi.

  • Abilitare l'impostazione di applicazione di controllo solo di AppLocker

    Se si usa l'impostazione di controllo dell'applicazione controlla solo , è possibile verificare che le regole di AppLocker siano configurate correttamente per l'organizzazione. Quando l'applicazione dei criteri di AppLocker è impostata solo su audit, le regole vengono valutate solo tutti gli eventi generati da tale valutazione vengono scritti nel log di AppLocker.

    Per eseguire questa procedura, vedere Configurare i criteri di AppLocker solo per il controllo.

  • Esaminare gli eventi di AppLocker con Get-AppLockerFileInformation

    Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation di Windows PowerShell per determinare quali file sono stati bloccati o sarebbero stati bloccati (se si usa la modalità di applicazione solo controllo) e quante volte che l'evento si è verificato per ogni file.

    Per la procedura da eseguire, vedere rivedere gli eventi di AppLocker con Get-AppLockerFileInformation.

  • Esaminare gli eventi di AppLocker con Test-AppLockerPolicy

    Puoi usare il cmdlet Test-AppLockerPolicy di Windows PowerShell per determinare se le regole delle raccolte regole verranno bloccate nel dispositivo di riferimento o nel dispositivo in cui Mantieni i criteri.

    Per eseguire questa procedura, vedere testare i criteri di AppLocker con Test-AppLockerPolicy.

Esaminare gli eventi di AppLocker con Get-AppLockerFileInformation

Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation di Windows PowerShell per determinare quali file sono stati bloccati o sarebbero stati bloccati (se è stata applicata l'impostazione di controllo solo applicazione) e Quante volte si è verificato l'evento per ogni file.

L'appartenenza al gruppo Administrators locale o equivalente è la minima richiesta per completare questa procedura.

Nota: se i registri di AppLocker non sono presenti nel dispositivo locale, sarà necessario l'autorizzazione per visualizzare i registri. Se l'output viene salvato in un file, sarà necessario l'autorizzazione per leggere il file.

Per esaminare gli eventi di AppLocker con Get-AppLockerFileInformation

  1. Al prompt dei comandi digitare PowerShelle quindi premere INVIO.
  2. Eseguire il comando seguente per esaminare il numero di blocchi di un file da eseguire se le regole sono state applicate:

    Get-AppLockerFileInformation –EventLog –EventType Audited –Statistics

  3. Eseguire il comando seguente per esaminare il numero di volte in cui un file è stato autorizzato a eseguire o impedire l'esecuzione:

    Get-AppLockerFileInformation –EventLog –EventType Allowed –Statistics

Visualizzare il log di AppLocker nel Visualizzatore eventi

Quando l'applicazione dei criteri di AppLocker è impostata su Applica regole, le regole vengono applicate per la raccolta regole e tutti gli eventi vengono controllati. Quando l'applicazione dei criteri di AppLocker è impostata solo su audit, le regole vengono valutate solo tutti gli eventi generati da tale valutazione vengono scritti nel log di AppLocker.

L'appartenenza al gruppo Administrators locale o equivalente è la minima richiesta per completare questa procedura.

Per visualizzare gli eventi nel log di AppLocker tramite il Visualizzatore eventi

  1. Apri il Visualizzatore eventi. A tale scopo, fare clic sul pulsante Start, digitare eventvwr. msce quindi premere INVIO.
  2. Nell'albero della console, in applicazione e servizi Logs\Microsoft\Windows, fare doppio clic su AppLocker.

Gli eventi di AppLocker sono elencati nel log exe e dll , nel log MSI e nello script o nel log di esecuzione dell'app o della distribuzione in pacchetto. Le informazioni sugli eventi includono l'impostazione dell'imposizione, il nome file, la data e l'ora e il nome utente. I registri possono essere esportati in altri formati di file per un'ulteriore analisi.

Argomenti correlati