Processi e interazioni di AppLocker

Nota

Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.

Questo articolo per il professionista IT descrive le dipendenze e le interazioni del processo quando AppLocker valuta e applica le regole.

Come AppLocker applica i criteri

I criteri di AppLocker sono raccolte di regole che potrebbero contenere una qualsiasi delle impostazioni della modalità di imposizione configurate. Se applicata, ogni regola viene valutata all'interno dei criteri e la raccolta di regole viene applicata in base all'impostazione di imposizione e in base alla struttura Criteri di gruppo.

I criteri di AppLocker vengono applicati in un computer tramite il servizio Identità applicazione (appid.sys), ovvero il motore che valuta i criteri ed esegue all'interno del kernel windows. Se il servizio non è in esecuzione, i criteri non vengono applicati. Il servizio Identità applicazione restituisce le informazioni dal file binario, anche se i nomi di prodotto o binario sono vuoti, al riquadro dei risultati dello snap-in Criteri di sicurezza locali.

I criteri di AppLocker vengono archiviati in un formato descrittore di sicurezza in base ai requisiti del servizio Application Identity. Usa il percorso del file, l'hash o gli attributi del nome binario completo per formare azioni consentite o negate in una regola. Ogni regola viene archiviata come voce di controllo di accesso (ACE) nel descrittore di sicurezza e contiene le informazioni seguenti:

  • Ace allow o deny ("XA" o "XD" nel formato SDDL (Security Descriptor Definition Language).
  • Identificatore di sicurezza utente (SID) a cui è applicabile questa regola. L'impostazione predefinita è il SID utente autenticato in SDDL.
  • Condizione della regola contenente gli attributi appid .

Ad esempio, un SDDL per una regola che consente l'esecuzione di tutti i file nella directory %windir% usa il formato seguente: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").

Appid.sys legge e memorizza nella cache i criteri di AppLocker effettivi per DLL e file eseguibili. Ogni volta che viene applicato un nuovo criterio, un'attività del convertitore di criteri notifica appid.sys. Per altri tipi di file, i criteri di AppLocker vengono letti ogni volta che viene eseguita una chiamata SaferIdentifyLevel .

Informazioni sulle regole di AppLocker

Una regola di AppLocker è un controllo inserito in un file che controlla se viene eseguita per un utente o un gruppo specifico. Si creano regole di AppLocker per cinque diversi tipi di file o raccolte:

  • Una regola eseguibile controlla se un utente o un gruppo può eseguire un file eseguibile. I file eseguibili hanno più spesso le estensioni di file .exe o .com e si applicano alle applicazioni.
  • Una regola di script controlla se un utente o un gruppo può eseguire script con estensione file di .ps1, .bat, .cmd, vbs e .js.
  • Una regola di Windows Installer controlla se un utente o un gruppo può eseguire file con estensione .msi, mst e msp (patch di Windows Installer).
  • Una regola DLL controlla se un utente o un gruppo può eseguire file con estensione .dll e ocx.
  • Un'app in pacchetto e una regola del programma di installazione dell'app in pacchetto controllano se un utente o un gruppo può eseguire o installare un'app in pacchetto. Un programma di installazione di un'app in pacchetto ha l'estensione .appx.

Esistono tre diversi tipi di condizioni che possono essere applicate alle regole:

Informazioni sui criteri di AppLocker

Un criterio di AppLocker è un set di raccolte di regole e le relative impostazioni della modalità di imposizione configurata corrispondenti vengono applicate a uno o più computer.

  • Informazioni sulle impostazioni di imposizione di AppLocker

    L'imposizione delle regole viene applicata solo alle raccolte di regole, non alle singole regole. AppLocker divide le regole in quattro raccolte: file eseguibili, file di Windows Installer, script e file DLL. Le opzioni per l'imposizione delle regole sono Non configurate, Applica regole o Controlla solo. Insieme, tutte le raccolte di regole di AppLocker costituiscono i criteri di controllo dell'applicazione o i criteri di AppLocker. Per impostazione predefinita, se l'imposizione non è configurata e le regole sono presenti in una raccolta di regole, tali regole vengono applicate.

Informazioni su AppLocker e Criteri di gruppo

Criteri di gruppo può essere usato per creare, modificare e distribuire criteri di AppLocker in oggetti separati o in combinazione con altri criteri.

  • Informazioni sull'ereditarietà delle regole di AppLocker e delle impostazioni di imposizione in Criteri di gruppo

    Quando si usa Criteri di gruppo per distribuire i criteri di AppLocker, vengono applicate raccolte di regole contenenti una o più regole, a meno che la modalità di imposizione non sia impostata solo su Audit. Criteri di gruppo non sovrascrive né sostituisce le regole già presenti in un oggetto Criteri di gruppo collegato e applica le regole di AppLocker oltre alle regole esistenti. AppLocker elabora regole di negazione esplicite prima di qualsiasi regola di autorizzazione e, per l'imposizione delle regole, viene applicata l'ultima scrittura nell'oggetto Criteri di gruppo.