Informazioni sulle azioni di assenso e di negazione di AppLocker per le regole

Questo articolo illustra le differenze tra le azioni allow e deny nelle regole di AppLocker.

Consenti azione rispetto all'azione di negazione per le regole

Ogni raccolta di regole di AppLocker funziona come elenco di file consentiti espliciti. È possibile eseguire solo i file coperti da una o più regole di autorizzazione all'interno della raccolta di regole. È anche possibile creare regole che negano esplicitamente l'esecuzione di alcuni file. Tutti gli altri file non coperti da una regola allow o deny esplicita vengono bloccati in modo implicito dall'esecuzione. Comprendere questo blocco per impostazione predefinita, consentire in base al comportamento delle eccezioni è fondamentale quando si analizza il modo in cui i criteri influiscono sugli utenti dell'organizzazione.

Quando AppLocker applica le regole, verifica innanzitutto se nell'elenco delle regole vengono specificate azioni di negazione esplicite. Se si nega l'esecuzione di un file in una raccolta di regole, l'azione di negazione ha la precedenza su qualsiasi azione allow e non può essere sottoposta a override. AppLocker verifica quindi la presenza di eventuali azioni di autorizzazione esplicite per il file. Poiché AppLocker funziona come elenco consentiti per impostazione predefinita, se nessuna regola consente o nega esplicitamente l'esecuzione di un file, l'azione di negazione predefinita di AppLocker blocca il file.

Uso di AppLocker per implementare un elenco di blocchi

Anche se è possibile usare AppLocker per creare criteri espliciti per gli elenchi di blocchi, questo approccio non è adatto per la maggior parte delle organizzazioni e non è consigliato come strategia pratica di controllo delle applicazioni. Tuttavia, se si sceglie di eseguire questa operazione, assicurarsi di includere una regola "consenti *" all'interno della raccolta di regole in modo che vengano eseguiti tutti gli altri file.

Importante

Se non includi regole di autorizzazione per tutte le app necessarie, inclusi i file di sistema di Windows, all'interno di una raccolta di regole, causerai risultati imprevisti perché i criteri negheranno in modo implicito l'esecuzione di tutti gli altri file nel computer.