Testare e aggiornare i criteri di AppLockerTest and update an AppLocker policy

Si applica aApplies to

  • Windows 10Windows10
  • Windows ServerWindows Server

In questo argomento vengono illustrati i passaggi necessari per testare i criteri di AppLocker prima della distribuzione.This topic discusses the steps required to test an AppLocker policy prior to deployment.

È consigliabile testare ogni set di regole per verificare che le regole vengano eseguite come previsto.You should test each set of rules to ensure that the rules perform as intended. Se si usano criteri di gruppo per gestire i criteri di AppLocker, completare i passaggi seguenti per ogni oggetto Criteri di gruppo in cui sono state create regole di AppLocker.If you use Group Policy to manage AppLocker policies, complete the following steps for each Group Policy Object (GPO) where you have created AppLocker rules. Poiché le regole di AppLocker vengono ereditate da GPO collegati, devi distribuire tutte le regole per il test simultaneo in tutti i GPO di test.Because AppLocker rules are inherited from linked GPOs, you should deploy all of the rules for simultaneous testing in all of your test GPOs.

Passaggio 1: abilitare l'impostazione di imposizione solo controlloStep 1: Enable the Audit only enforcement setting

Se si usa l'impostazione di controllo dell'applicazione controlla solo , è possibile verificare che le regole di AppLocker create siano configurate correttamente per l'organizzazione.By using the Audit only enforcement setting, you can ensure that the AppLocker rules that you have created are properly configured for your organization. Questa impostazione può essere abilitata nella **** scheda imposizione della finestra di dialogo Proprietà AppLocker .This setting can be enabled on the Enforcement tab of the AppLocker Properties dialog box. Per eseguire questa procedura, vedere Configurare i criteri di AppLocker solo per il controllo.For the procedure to do this, see Configure an AppLocker policy for audit only.

Passaggio 2: configurare il servizio di identità dell'applicazione per l'avvio automaticoStep 2: Configure the Application Identity service to start automatically

Poiché AppLocker usa il servizio di identità dell'applicazione per verificare gli attributi di un file, è necessario configurarlo per l'avvio automatico in qualsiasi oggetto Criteri di AppLocker applicabileBecause AppLocker uses the Application Identity service to verify the attributes of a file, you must configure it to start automatically in any one GPO that applies AppLocker rules. Per eseguire questa procedura, vedere configurare il servizio di identità dell'applicazione.For the procedure to do this, see Configure the Application Identity Service. Per i criteri di AppLocker che non sono gestiti da un oggetto Criteri di ricerca, è necessario assicurarsi che il servizio sia in uso in ogni PC in modo che i criteri vengano applicati.For AppLocker policies that are not managed by a GPO, you must ensure that the service is running on each PC in order for the policies to be applied.

Passaggio 3: testare il criterioStep 3: Test the policy

Testare i criteri di AppLocker per determinare se la raccolta di regole deve essere modificata.Test the AppLocker policy to determine if your rule collection needs to be modified. Dato che sono state create regole di AppLocker, è stato abilitato il servizio di identità dell'applicazione e è stata abilitata l'impostazione di imposizione solo controllo , i criteri di AppLocker devono essere presenti in tutti i PC client configurati per ricevere i criteri di AppLocker.Because you have created AppLocker rules, enabled the Application Identity service, and enabled the Audit only enforcement setting, the AppLocker policy should be present on all client PC that are configured to receive your AppLocker policy.

Il cmdlet Test-AppLockerPolicy di Windows PowerShell può essere usato per determinare se una o più regole della raccolta regole verranno bloccate nei PC di riferimento.The Test-AppLockerPolicy Windows PowerShell cmdlet can be used to determine whether any of the rules in your rule collection will be blocked on your reference PCs. Per eseguire questa procedura, vedere testare i criteri di AppLocker con Test-AppLockerPolicy.For the procedure to do this, see Test an AppLocker policy by using Test-AppLockerPolicy.

Passaggio 4: analizzare gli eventi di AppLockerStep 4: Analyze AppLocker events

Puoi analizzare manualmente gli eventi di AppLocker o usare il cmdlet Get-AppLockerFileInformation di Windows PowerShell per automatizzare l'analisi.You can either manually analyze AppLocker events or use the Get-AppLockerFileInformation Windows PowerShell cmdlet to automate the analysis.

Per analizzare manualmente gli eventi di AppLockerTo manually analyze AppLocker events

È possibile visualizzare gli eventi nel Visualizzatore eventi o in un editor di testo, quindi ordinare questi eventi per eseguire un'analisi, ad esempio cercare modelli in eventi di utilizzo delle applicazioni, frequenze di accesso o Access per gruppi di utenti.You can view the events either in Event Viewer or a text editor and then sort those events to perform an analysis, such as looking for patterns in application usage events, access frequencies, or access by user groups. Se non è stato configurato un abbonamento a un evento, sarà necessario esaminare i registri in un campione di computer dell'organizzazione.If you have not configured an event subscription, then you will have to review the logs on a sampling of computers in your organization. Per altre informazioni sull'uso del Visualizzatore eventi, vedere monitorare l'utilizzo delle applicazioni con AppLocker.For more information about using Event Viewer, see Monitor application usage with AppLocker.

Per analizzare gli eventi di AppLocker tramite Get-AppLockerFileInformationTo analyze AppLocker events by using Get-AppLockerFileInformation

Puoi usare il cmdlet di Windows PowerShell Get-AppLockerFileInformation per analizzare gli eventi di AppLocker da un computer remoto.You can use the Get-AppLockerFileInformation Windows PowerShell cmdlet to analyze AppLocker events from a remote computer. Se un'app viene bloccata e deve essere consentita, puoi usare i cmdlet di AppLocker per risolvere il problema.If an app is being blocked and should be allowed, you can use the AppLocker cmdlets to help troubleshoot the problem.

Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation per determinare quali file sono stati bloccati o sarebbero stati bloccati (se si usa la modalità di applicazione del controllo solo ) e quante volte l' si è verificato un evento per ogni file.For both event subscriptions and local events, you can use the Get-AppLockerFileInformation cmdlet to determine which files have been blocked or would have been blocked (if you are using the Audit only enforcement mode) and how many times the event has occurred for each file. Per eseguire questa procedura, vedere monitorare l' utilizzo dell'applicazione con AppLocker.For the procedure to do this, see Monitor Application Usage with AppLocker.

Dopo aver usato Get-AppLockerFileInformation per determinare il numero di volte in cui un file sarebbe stato bloccato, è necessario rivedere l'elenco delle regole per determinare se una nuova regola deve essere creata per il file bloccato o se una regola esistente è troppo definito in maniera rigorosa.After using Get-AppLockerFileInformation to determine how many times that a file would have been blocked from running, you should review your rule list to determine whether a new rule should be created for the blocked file or whether an existing rule is too strictly defined. Verificare che il GPO non sia in grado di impedire l'uso del file.Ensure that you check which GPO is currently preventing the file from running. Per determinare questo problema, è possibile usare la procedura guidata dei risultati dei criteri di gruppo per visualizzare i nomi delle regole.To determine this, you can use the Group Policy Results Wizard to view rule names.

Passaggio 5: modificare i criteri di AppLockerStep 5: Modify the AppLocker policy

Dopo aver identificato quali regole devono essere modificate o aggiunte al criterio, è possibile usare la console di gestione di criteri di gruppo per modificare le regole di AppLocker nei GPO pertinenti.After you have identified which rules need to be edited or added to the policy, you can use the Group Policy Management Console to modify the AppLocker rules in the relevant GPOs. Per i criteri di AppLocker che non sono gestiti da un oggetto Criteri di ricerca, è possibile usare lo snap-in criteri di sicurezza locali (secpol. msc).For AppLocker policies that are not managed by a GPO, you can use the Local Security Policy snap-in (secpol.msc). Per informazioni su come modificare i criteri di AppLocker, vedere modificare i criteri di AppLocker.For info how to modify an AppLocker policy, see, Edit an AppLocker policy.

Passaggio 6: ripetere i test dei criteri, le analisi e la modifica dei criteriStep 6: Repeat policy testing, analysis, and policy modification

Ripetere i passaggi precedenti da 3 a 5 finché tutte le regole non vengono eseguite come previsto prima di applicare l'applicazione.Repeat the previous steps 3–5 until all the rules perform as intended before applying enforcement.

Risorse aggiuntiveAdditional resources