Testare e aggiornare i criteri di AppLocker

Si applica a

  • Windows 10
  • Windows Server

In questo argomento vengono illustrati i passaggi necessari per testare i criteri di AppLocker prima della distribuzione.

È consigliabile testare ogni set di regole per verificare che le regole vengano eseguite come previsto. Se si usano criteri di gruppo per gestire i criteri di AppLocker, completare i passaggi seguenti per ogni oggetto Criteri di gruppo in cui sono state create regole di AppLocker. Poiché le regole di AppLocker vengono ereditate da GPO collegati, devi distribuire tutte le regole per il test simultaneo in tutti i GPO di test.

Passaggio 1: abilitare l'impostazione di imposizione solo controllo

Se si usa l'impostazione di controllo dell'applicazione controlla solo , è possibile verificare che le regole di AppLocker create siano configurate correttamente per l'organizzazione. Questa impostazione può essere abilitata nella **** scheda imposizione della finestra di dialogo Proprietà AppLocker . Per eseguire questa procedura, vedere Configurare i criteri di AppLocker solo per il controllo.

Passaggio 2: configurare il servizio di identità dell'applicazione per l'avvio automatico

Poiché AppLocker usa il servizio di identità dell'applicazione per verificare gli attributi di un file, è necessario configurarlo per l'avvio automatico in qualsiasi oggetto Criteri di AppLocker applicabile Per eseguire questa procedura, vedere configurare il servizio di identità dell'applicazione. Per i criteri di AppLocker che non sono gestiti da un oggetto Criteri di ricerca, è necessario assicurarsi che il servizio sia in uso in ogni PC in modo che i criteri vengano applicati.

Passaggio 3: testare il criterio

Testare i criteri di AppLocker per determinare se la raccolta di regole deve essere modificata. Dato che sono state create regole di AppLocker, è stato abilitato il servizio di identità dell'applicazione e è stata abilitata l'impostazione di imposizione solo controllo , i criteri di AppLocker devono essere presenti in tutti i PC client configurati per ricevere i criteri di AppLocker.

Il cmdlet Test-AppLockerPolicy di Windows PowerShell può essere usato per determinare se una o più regole della raccolta regole verranno bloccate nei PC di riferimento. Per eseguire questa procedura, vedere testare i criteri di AppLocker con Test-AppLockerPolicy.

Passaggio 4: analizzare gli eventi di AppLocker

Puoi analizzare manualmente gli eventi di AppLocker o usare il cmdlet Get-AppLockerFileInformation di Windows PowerShell per automatizzare l'analisi.

Per analizzare manualmente gli eventi di AppLocker

È possibile visualizzare gli eventi nel Visualizzatore eventi o in un editor di testo, quindi ordinare questi eventi per eseguire un'analisi, ad esempio cercare modelli in eventi di utilizzo delle applicazioni, frequenze di accesso o Access per gruppi di utenti. Se non è stato configurato un abbonamento a un evento, sarà necessario esaminare i registri in un campione di computer dell'organizzazione. Per altre informazioni sull'uso del Visualizzatore eventi, vedere monitorare l'utilizzo delle applicazioni con AppLocker.

Per analizzare gli eventi di AppLocker tramite Get-AppLockerFileInformation

Puoi usare il cmdlet di Windows PowerShell Get-AppLockerFileInformation per analizzare gli eventi di AppLocker da un computer remoto. Se un'app viene bloccata e deve essere consentita, puoi usare i cmdlet di AppLocker per risolvere il problema.

Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation per determinare quali file sono stati bloccati o sarebbero stati bloccati (se si usa la modalità di applicazione del controllo solo ) e quante volte l' si è verificato un evento per ogni file. Per eseguire questa procedura, vedere monitorare l' utilizzo dell'applicazione con AppLocker.

Dopo aver usato Get-AppLockerFileInformation per determinare il numero di volte in cui un file sarebbe stato bloccato, è necessario rivedere l'elenco delle regole per determinare se una nuova regola deve essere creata per il file bloccato o se una regola esistente è troppo definito in maniera rigorosa. Verificare che il GPO non sia in grado di impedire l'uso del file. Per determinare questo problema, è possibile usare la procedura guidata dei risultati dei criteri di gruppo per visualizzare i nomi delle regole.

Passaggio 5: modificare i criteri di AppLocker

Dopo aver identificato quali regole devono essere modificate o aggiunte al criterio, è possibile usare la console di gestione di criteri di gruppo per modificare le regole di AppLocker nei GPO pertinenti. Per i criteri di AppLocker che non sono gestiti da un oggetto Criteri di ricerca, è possibile usare lo snap-in criteri di sicurezza locali (secpol. msc). Per informazioni su come modificare i criteri di AppLocker, vedere modificare i criteri di AppLocker.

Passaggio 6: ripetere i test dei criteri, le analisi e la modifica dei criteri

Ripetere i passaggi precedenti da 3 a 5 finché tutte le regole non vengono eseguite come previsto prima di applicare l'applicazione.

Risorse aggiuntive