Usare AppLocker e criteri di restrizione software nello stesso dominio

Si applica a

  • Windows 10
  • Windows Server

Questo argomento per professionisti IT descrive i concetti e le procedure utili per gestire la strategia di controllo delle applicazioni con i criteri di restrizione software e AppLocker.

Uso di AppLocker e criteri di restrizione software nello stesso dominio

AppLocker è supportato nei sistemi in cui è in uso windows7 e versioni successive. I criteri di restrizione software (SRP) sono supportati nei sistemi che utilizzano Windows Vista o versioni precedenti. Puoi continuare a usare SRP per il controllo applicazione nei computer precedenti a Windows 7, ma usa AppLocker per i computer che eseguono WindowsServer2008R2, Windows7 e versioni successive. È consigliabile creare regole di AppLocker e SRP in GPO separati e destinare l'oggetto Criteri di GPO con i criteri SRP ai sistemi che utilizzano Windows Vista o versioni precedenti. Quando i criteri SRP e AppLocker vengono applicati ai computer che eseguono WindowsServer2008R2, Windows7 e versioni successive, i criteri SRP vengono ignorati.

Nella tabella seguente vengono confrontate le caratteristiche e le funzioni di software restriction Policy (SRP) e AppLocker.

Funzione controllo applicazione SRP AppLocker

Ambito

I criteri SRP possono essere applicati a tutti i sistemi operativi Windows che iniziano con Windows XP e Windows Server 2003.

I criteri di AppLocker si applicano solo a Windows Server 2008 R2, Windows 7 e versioni successive.

Creazione di criteri

I criteri SRP vengono mantenuti tramite criteri di gruppo e solo l'amministratore del GPO può aggiornare i criteri SRP. L'amministratore nel computer locale può modificare i criteri SRP definiti nell'oggetto Criteri di stato locale.

I criteri di AppLocker vengono mantenuti tramite criteri di gruppo e solo l'amministratore del GPO può aggiornare i criteri. L'amministratore nel computer locale può modificare i criteri di AppLocker definiti nell'oggetto Criteri di sistema locale.

AppLocker consente la personalizzazione dei messaggi di errore per indirizzare gli utenti a una pagina Web per ottenere assistenza.

Manutenzione dei criteri

I criteri SRP devono essere aggiornati usando lo snap-in criteri di sicurezza locali (se i criteri vengono creati localmente) o la console Gestione criteri di gruppo.

I criteri di AppLocker possono essere aggiornati usando lo snap-in criteri di sicurezza locali (se i criteri vengono creati localmente) o GPMC o i cmdlet di AppLocker di Windows PowerShell.

Applicazione criteri

I criteri SRP vengono distribuiti tramite criteri di gruppo.

I criteri di AppLocker vengono distribuiti tramite criteri di gruppo.

Modalità di applicazione

SRP funziona nella modalità "nega elenco", in cui gli amministratori possono creare regole per i file che non vogliono consentire in questa organizzazione, mentre il resto del file può essere eseguito per impostazione predefinita.

SRP può essere configurato anche nella modalità "Consenti elenco" in modo che per impostazione predefinita tutti i file siano bloccati e gli amministratori debbano creare regole di Consenti per i file che vogliono consentire.

AppLocker per impostazione predefinita funziona nella "modalità elenco Consenti" in cui possono essere eseguiti solo i file per i quali esiste una regola Allow corrispondente.

Tipi di file che è possibile controllare

SRP può controllare i tipi di file seguenti:

  • Eseguibili

  • Dll

  • Script

  • Programmi di installazione di Windows

SRP non può controllare separatamente ogni tipo di file. Tutte le regole SRP si trovano in una singola raccolta di regole.

AppLocker può controllare i tipi di file seguenti:

  • Eseguibili

  • Dll

  • Script

  • Programmi di installazione di Windows

  • App e programmi di installazione con pacchetto

AppLocker mantiene una raccolta di regole distinta per ognuno dei cinque tipi di file.

Tipi di file designati

SRP supporta un elenco estensibile di tipi di file considerati eseguibili. Gli amministratori possono aggiungere estensioni per i file che devono essere considerati eseguibili.

AppLocker supporta attualmente le estensioni di file seguenti:

  • Eseguibili (. exe,. com)

  • DLLs (. ocx,. dll)

  • Script (. vbs,. js,. ps1,. cmd,. bat)

  • Programmi di installazione di Windows (con estensione msi, MST, msp)

  • Programmi di installazione di app in pacchetto (con estensione appx)

Tipi di regola

SRP supporta quattro tipi di regole:

  • Hash

  • Path

  • Firma

  • Area Internet

AppLocker supporta tre tipi di regole:

  • Hash file

  • Path

  • Publisher

Modifica del valore hash

In WindowsXP puoi usare SRP per specificare valori hash personalizzati.

A partire da Windows7 e Windows Server2008R2, è possibile selezionare solo il file da hash, non specificare il valore hash.

AppLocker calcola il valore hash stesso. Internamente, usa l'hash Authenticode di SHA2 per gli eseguibili portatili (exe e dll) e i programmi di installazione di Windows e un hash di file flat SHA2 per il resto.

Supporto per diversi livelli di sicurezza

Con SRP puoi specificare le autorizzazioni con cui può essere eseguita un'app. È quindi possibile configurare una regola in modo che il blocco note venga sempre eseguito con autorizzazioni limitate e mai con privilegi amministrativi.

SRP in Windows Vista e versioni precedenti supportate in più livelli di sicurezza. In Windows 7 questo elenco è stato limitato solo a due livelli: non consentito e senza restrizioni (l'utente di base si traduce in non consentito).

AppLocker non supporta i livelli di sicurezza.

Gestisci app con pacchetto e programmi di installazione di app in pacchetto.

Non supportata

. appx è un tipo di file valido che AppLocker può gestire.

Assegnazione di una regola a un utente o a un gruppo di utenti

Le regole SRP si applicano a tutti gli utenti di un determinato computer.

Le regole di AppLocker possono essere destinate a un utente specifico o a un gruppo di utenti.

Supporto per le eccezioni delle regole

SRP non supporta le eccezioni delle regole.

Le regole di AppLocker possono avere eccezioni che consentono di creare regole come "Consenti tutto da Windows eccetto regedit. exe".

Supporto per la modalità di controllo

SRP non supporta la modalità di controllo. L'unico modo per testare i criteri SRP consiste nel configurare un ambiente di test ed eseguire alcuni esperimenti.

AppLocker supporta la modalità di controllo che consente di verificare l'effetto dei criteri nell'ambiente di produzione reale senza influire sull'esperienza utente. Dopo aver soddisfatto i risultati, è possibile iniziare a applicare i criteri.

Supporto per l'esportazione e l'importazione di criteri

SRP non supporta l'importazione/esportazione dei criteri.

AppLocker supporta l'importazione e l'esportazione di criteri. In questo modo è possibile creare criteri di AppLocker in un dispositivo di esempio, testarli e quindi esportare i criteri e importarli di nuovo nell'oggetto Criteri di controllo desiderato.

Applicazione della regola

Internamente, l'applicazione delle regole SRP avviene in modalità utente meno sicura.

Internamente, le regole di AppLocker per i file exe e dll vengono applicate in modalità kernel, che è più sicuro che applicarle in modalità utente.