Pianificare la gestione dei criteri di AppLocker
Questo articolo descrive le decisioni che è necessario prendere per stabilire i processi per la gestione e la gestione dei criteri di AppLocker.
Gestione dei criteri
Prima di iniziare il processo di distribuzione, è consigliabile gestire le regole di AppLocker nel tempo. Lo sviluppo di un processo per la gestione delle regole di AppLocker consente di garantire che AppLocker continui a controllare in modo efficace il modo in cui le applicazioni possono essere eseguite nell'organizzazione.
Criteri di supporto per applicazioni e utenti
Lo sviluppo di un processo per la gestione delle regole di AppLocker consente di garantire che AppLocker continui a controllare in modo efficace il modo in cui le applicazioni possono essere eseguite nell'organizzazione. Le considerazioni includono:
- Quale tipo di supporto per gli utenti finali viene fornito per le applicazioni bloccate?
- Come vengono aggiunte nuove regole ai criteri?
- Come vengono aggiornate le regole esistenti?
- Gli eventi vengono inoltrati per la revisione?
Supporto tecnico
Se l'organizzazione dispone di un reparto di supporto tecnico stabilito, quando si distribuiscono i criteri di AppLocker, considerare i punti seguenti:
- Quale documentazione richiede il reparto di supporto per le nuove distribuzioni di criteri?
- Quali sono i processi critici in ogni gruppo aziendale interessati dai criteri di controllo delle applicazioni e in che modo possono influire sul carico di lavoro del reparto di supporto?
- Chi sono i contatti nel reparto di supporto?
- Come vengono risolti i problemi di controllo delle applicazioni per l'utente finale?
Supporto per l'utente finale
Poiché AppLocker impedisce l'esecuzione delle app non approvate, è importante che l'organizzazione pianiti attentamente come fornire supporto agli utenti finali. Le considerazioni includono:
- Si vuole usare un sito Intranet come prima linea di supporto per gli utenti che riscontrano app bloccate?
- Come si desidera supportare le eccezioni ai criteri?
Uso di un sito Intranet
AppLocker può essere configurato per visualizzare il messaggio di blocco predefinito, ma con un URL personalizzato. È possibile usare questo URL per reindirizzare gli utenti a un sito di supporto che contiene informazioni sul motivo per cui l'utente ha ricevuto l'errore e quali applicazioni sono consentite. Se non viene visualizzato un URL personalizzato per il messaggio quando un'app viene bloccata, viene usato l'URL predefinito.
L'immagine seguente mostra un esempio del messaggio di errore per un'app bloccata. È possibile usare l'impostazione Imposta un criterio di collegamento Web di supporto per personalizzare il collegamento Altre informazioni .
Per la procedura per visualizzare un URL personalizzato per il messaggio, vedere Visualizzare un messaggio URL personalizzato quando gli utenti provano a eseguire un'app bloccata.
Gestione degli eventi di AppLocker
Ogni volta che un processo tenta di essere eseguito, AppLocker crea un evento nel registro eventi di AppLocker. L'evento include informazioni sul file che ha tentato di eseguire, sull'utente che l'ha avviato e sul GUID della regola di AppLocker che ha bloccato o consentito il file. Il registro eventi di AppLocker si trova nel percorso seguente: Registri applicazioni e servizi\Microsoft\Windows\AppLocker. Il log di AppLocker include tre log:
- EXE e DLL. Contiene eventi per tutti i file interessati dalle raccolte di regole eseguibili e DLL (.exe, .com, .dll e ocx).
- MSI e Script. Contiene eventi per tutti i file interessati dalle raccolte di regole di windows installer e script (.msi, msp, .ps1, .bat, .cmd, vbs e .js).
- Packaged app-Deployment or Packaged app-Execution, contiene eventi per tutte le app di Windows universali interessate dall'app in pacchetto e dalla raccolta di regole del programma di installazione delle app compresse (.appx).
La raccolta di questi eventi in una posizione centrale consente di mantenere i criteri di AppLocker e risolvere i problemi di configurazione delle regole.
Manutenzione dei criteri
Man mano che le app vengono distribuite, aggiornate o ritirate, è necessario mantenere aggiornate le regole dei criteri.
È possibile modificare un criterio di AppLocker aggiungendo, modificando o rimuovendo regole. Tuttavia, non è possibile specificare una versione per i criteri importando altre regole. Per garantire il controllo della versione durante la modifica di un criterio di AppLocker, usare Criteri di gruppo software di gestione che consente di creare versioni di oggetti Criteri di gruppo . Un esempio di questo tipo di software è la funzionalità Advanced Criteri di gruppo Management di Microsoft Desktop Optimization Pack. Per altre informazioni, vedere Panoramica di Advanced Criteri di gruppo Management.
Importante
Non è consigliabile modificare una raccolta di regole di AppLocker mentre viene applicata in Criteri di gruppo. Poiché AppLocker controlla quali file possono essere eseguiti, apportare modifiche a un criterio live può creare un comportamento imprevisto.
Nuova versione di un'app supportata
Quando viene distribuita una nuova versione di un'app nell'organizzazione, è necessario determinare se continuare a supportare la versione precedente di tale app. Per aggiungere la nuova versione, potrebbe essere necessario creare solo una nuova regola per ogni file associato all'app. Se si usano le condizioni del server di pubblicazione e la versione non è specificata, la regola o le regole esistenti potrebbero essere sufficienti per consentire l'esecuzione del file aggiornato. È tuttavia necessario verificare la presenza di nomi di file che cambiano o di nuovi file aggiunti. In tal caso, è necessario modificare le regole esistenti o creare nuove regole. Potrebbe essere necessario aggiornare le regole basate sul server di pubblicazione per i file le cui firme digitali vengono modificate.
Per determinare se un file è stato modificato durante un aggiornamento dell'app, esaminare i dettagli della versione del server di pubblicazione forniti con il pacchetto di aggiornamento. È anche possibile esaminare la pagina Web dell'editore per recuperare queste informazioni. Ogni file può anche essere controllato per determinare la versione.
Per i file consentiti o negati con condizioni di hash dei file, è necessario recuperare il nuovo hash del file e assicurarsi che le regole includano tale nuovo hash.
Per i file con condizioni di percorso, è necessario verificare che il percorso di installazione sia lo stesso. Se il percorso è cambiato, è necessario aggiungere una regola per il nuovo percorso prima di installare la nuova versione dell'app.
App distribuita di recente
Per supportare una nuova app, è necessario aggiungere una o più regole ai criteri di AppLocker esistenti.
L'app non è più supportata
Se l'organizzazione non supporta più un'applicazione a cui sono associate regole di AppLocker, è possibile eliminare le regole per bloccare l'app.
L'app è bloccata ma deve essere consentita
Un file può essere bloccato per tre motivi:
- Il motivo più comune è che non esiste alcuna regola per consentire l'esecuzione dell'app.
- Potrebbe essere presente una regola esistente creata per il file troppo restrittivo.
- Una regola di negazione, che non può essere sottoposta a override, blocca in modo esplicito il file.
Prima di modificare la raccolta di regole, determinare prima di tutto quale regola impedisce l'esecuzione del file. È possibile risolvere il problema usando il cmdlet Test-AppLockerPolicy Windows PowerShell. Per altre informazioni sulla risoluzione dei problemi di un criterio di AppLocker, vedi Test e aggiornamento di un criterio di AppLocker.
Registrare i risultati
Per completare questo documento di pianificazione di AppLocker, è necessario completare prima di tutto i passaggi seguenti:
- Determinare gli obiettivi di controllo delle applicazioni
- Creare un elenco di applicazioni distribuite in ogni gruppo aziendale
- Selezionare i tipi di regole da creare
- Determinare la struttura di Criteri di gruppo e l'imposizione delle regole
- Pianificare la gestione dei criteri di AppLocker
Le tre aree principali da determinare per la gestione dei criteri di AppLocker sono:
Criteri di supporto
Documentare il processo per la gestione delle chiamate degli utenti che hanno tentato di eseguire un'app bloccata e assicurarsi che il personale di supporto conosca i passaggi consigliati per la risoluzione dei problemi e i punti di escalation per i criteri.
Elaborazione di eventi
Documentare la posizione in cui vengono raccolti gli eventi, la frequenza con cui vengono archiviati e il modo in cui vengono elaborati per l'analisi.
Manutenzione dei criteri
Specificare in dettaglio i piani di manutenzione e ciclo di vita dei criteri.
La tabella seguente contiene i dati di esempio aggiunti raccolti durante la determinazione di come gestire i criteri di AppLocker.
Gruppo di business | Unità organizzativa | Implementare AppLocker? | App | Percorso di installazione | Usare la regola predefinita o definire una nuova condizione della regola | Consenti o nega | Nome oggetto Criteri di gruppo | Criteri di supporto |
---|---|---|---|---|---|---|---|---|
Cassieri bancari | Teller-East e Teller-West | Sì | Teller Software | C:\Program Files\Woodgrove\Teller.exe | Il file è firmato; creare una condizione di pubblicazione | Consentiti | Tellers-AppLockerTellerRules | Guida Web |
File di Windows | C:\Windows | Creare un'eccezione di percorso per la regola predefinita da escludere \Windows\Temp | Consentiti | Help desk | ||||
Risorse umane | HR-All | Sì | Controllare i proventi | C:\Program Files\Woodgrove\HR\Checkcut.exe | Il file è firmato; creare una condizione di pubblicazione | Consentiti | HR-AppLockerHRRules | Guida Web |
Libreria del foglio presenze | C:\Program Files\Woodgrove\HR\Timesheet.exe | Il file non è firmato; creare una condizione hash del file | Consentiti | Guida Web | ||||
Internet Explorer 7 | C:\Programmi\Internet Explorer | Il file è firmato; creare una condizione di pubblicazione | Non consentiti | Guida Web | ||||
File di Windows | C:\Windows | Usare la regola predefinita per il percorso di Windows | Consentiti | Help desk |
Le due tabelle seguenti illustrano esempi di considerazioni sulla documentazione per gestire e gestire i criteri di AppLocker.
Criteri di elaborazione eventi
Un metodo di individuazione per l'utilizzo dell'app consiste nell'impostare la modalità di imposizione di AppLocker su Solo controllo. Questa modalità di imposizione scrive gli eventi nei log di AppLocker, che possono essere gestiti e analizzati come altri log di Windows. Dopo aver identificato le app, è possibile iniziare a sviluppare criteri relativi all'elaborazione e all'accesso agli eventi di AppLocker.
La tabella seguente è un esempio di cosa considerare e registrare.
Gruppo di business | Percorso della raccolta eventi di AppLocker | Criteri di archiviazione | Analizzato? | Criteri di sicurezza |
---|---|---|---|---|
Cassieri bancari | Inoltrato a: Repository eventi AppLocker in srvBT093 | Standard | Nessuno | Standard |
Risorse umane | NON INOLTRARE. srvHR004 | 60 mesi | Sì, report di riepilogo mensili per i manager | Standard |
Criteri di manutenzione dei criteri
Iniziare a documentare come si intende aggiornare i criteri di controllo dell'applicazione.
La tabella seguente è un esempio di cosa considerare e registrare.
Gruppo di business | Criteri di aggiornamento delle regole | Criteri di rimozione delle applicazioni | Criteri di versione dell'applicazione | Criteri di distribuzione delle applicazioni |
---|---|---|---|---|
Cassieri bancari | Pianificato: valutazione mensile tramite ufficio aziendale Emergenza: richiesta tramite help desk |
Tramite valutazione dell'ufficio aziendale È richiesto un preavviso di 30 giorni |
Criteri generali: mantenere le versioni precedenti per 12 mesi Elencare i criteri per ogni applicazione |
Coordinati tramite ufficio aziendale È richiesto un preavviso di 30 giorni |
Risorse umane | Pianificato: valutazione mensile tramite risorse umane Emergenza: richiesta tramite help desk |
Valutazione delle risorse umane È richiesto un preavviso di 30 giorni |
Criteri generali: mantenere le versioni precedenti per 60 mesi Elencare i criteri per ogni applicazione |
Coordinati tramite risorse umane È richiesto un preavviso di 30 giorni |