Gestire app in pacchetto con AppLocker
Questo articolo per i professionisti IT descrive i concetti ed elenca le procedure che consentono di gestire le app in pacchetto con AppLocker come parte della strategia generale di controllo delle applicazioni.
Informazioni sulle app in pacchetto e sui programmi di installazione di app in pacchetto per AppLocker
Le app in pacchetto si basano su un modello che garantisce che tutti i file all'interno di un pacchetto dell'app condividano la stessa identità. Con le app di Windows classiche, ogni file all'interno dell'app potrebbe avere un'identità univoca. Con le app in pacchetto, è possibile controllare l'intera app usando una singola regola di AppLocker.
Nota
AppLocker supporta solo le regole di pubblicazione per le app in pacchetto. Tutte le app in pacchetto devono essere firmate dall'autore del software perché Windows non supporta le app in pacchetto non firmate.
In genere, un'app è costituita da più componenti: il programma di installazione usato per installare l'app e uno o più exe, DLL o script. Con le app di Windows classiche, non tutti questi componenti condividono sempre attributi comuni come il nome dell'editore del software, il nome del prodotto e la versione del prodotto. AppLocker controlla quindi ognuno di questi componenti separatamente tramite raccolte di regole diverse, ad esempio exe, dll, script e regole di Windows Installer. Al contrario, tutti i componenti di un'app in pacchetto condividono lo stesso nome dell'editore, il nome del pacchetto e gli attributi della versione del pacchetto. Di conseguenza, è possibile controllare un'intera app con una singola regola.
Confronto tra app di Windows classiche e app in pacchetto
Le regole per le app di Windows classiche e le app in pacchetto possono essere applicate in parallelo. Le differenze tra le app in pacchetto e le app di Windows classiche da considerare includono:
- Installazione delle app : tutte le app in pacchetto possono essere installate da un utente standard, mentre molte app di Windows classiche richiedono privilegi amministrativi per l'installazione. In un ambiente in cui la maggior parte degli utenti sono utenti standard, potrebbe essere necessario un minor numero di regole exe (perché le app di Windows classiche richiedono privilegi amministrativi per l'installazione), ma potrebbero essere necessarie più regole per le app in pacchetto.
- Modifica dello stato del sistema : le app di Windows classiche possono essere scritte per modificare lo stato del sistema se vengono eseguite con privilegi amministrativi. La maggior parte delle app in pacchetto non può modificare lo stato del sistema perché vengono eseguite con privilegi limitati. Quando progetti i criteri di AppLocker, è importante capire se un'app che stai consentendo può apportare modifiche a livello di sistema.
AppLocker usa raccolte di regole diverse per controllare le app in pacchetto e le app di Windows classiche. È possibile scegliere di controllare un tipo, l'altro o entrambi.
Per informazioni sul controllo delle app di Windows classiche, vedi Amministrare AppLocker.
Per altre informazioni sulle app in pacchetto, vedi App in pacchetto e regole del programma di installazione delle app in pacchetto in AppLocker.
Decisioni di progettazione e distribuzione
È possibile usare due metodi per creare un inventario delle app in pacchetto in un computer: la console di AppLocker o il cmdlet Get-AppxPackage Windows PowerShell.
Nota
Non tutte le app in pacchetto sono elencate nell'inventario guidato delle applicazioni di AppLocker. Alcuni pacchetti di app sono pacchetti framework che vengono sfruttati da altre app. Di per sé, questi pacchetti non possono eseguire alcuna operazione, ma il blocco di tali pacchetti può causare inavvertitamente errori per le app che si vuole consentire. È invece possibile creare regole consenti o nega per le app in pacchetto che usano questi pacchetti framework. L'interfaccia utente di AppLocker filtra deliberatamente tutti i pacchetti registrati come pacchetti framework. Per informazioni su come creare un elenco di inventario, vedi Creare un elenco di app distribuite in ogni gruppo aziendale.
Per informazioni su come usare il cmdlet Get-AppxPackage Windows PowerShell, vedi Informazioni di riferimento sui comandi di PowerShell per AppLocker.
Per informazioni sulla creazione di regole per le app in pacchetto, vedi Creare una regola per le app in pacchetto.
Quando si progettano e si distribuiscono app, prendere in considerazione le informazioni seguenti:
- Poiché AppLocker supporta solo le regole di pubblicazione per le app in pacchetto, la raccolta delle informazioni sul percorso di installazione per le app in pacchetto non è necessaria.
- Non è necessario creare regole basate su hash o percorso per le app in pacchetto perché l'editore del software deve firmare tutte le app in pacchetto e i programmi di installazione delle app in pacchetto. Le app di Windows classiche non sono sempre state firmate in modo coerente; Pertanto, AppLocker deve supportare regole basate su hash o percorso.
- Per impostazione predefinita, se non sono presenti regole in una particolare raccolta di regole, AppLocker consente ogni file incluso in tale raccolta di regole. Ad esempio, se non sono presenti regole di Windows Installer, AppLocker consente l'esecuzione di tutti i file .msi, msp e mst.
Nota
Per impostazione predefinita, AppLocker blocca tutte le app in pacchetto se i criteri di dominio esistenti hanno regole configurate nella raccolta di regole exe. È necessario eseguire azioni esplicite per consentire le app in pacchetto nell'organizzazione. È possibile consentire solo un set selezionato di app in pacchetto. In alternativa, se si vuole consentire tutte le app in pacchetto, è possibile creare una regola predefinita per la raccolta di app in pacchetto.
Uso di AppLocker per gestire le app in pacchetto
Così come esistono differenze nella gestione di ogni raccolta di regole, è necessario gestire le app in pacchetto con la strategia seguente:
Raccogliere informazioni sulle app in pacchetto in esecuzione nell'ambiente. Per informazioni su come raccogliere queste informazioni, vedere Creare un elenco di app distribuite in ogni gruppo aziendale.
Creare regole di AppLocker per app in pacchetto specifiche in base alle strategie dei criteri. Per altre informazioni, vedere Creare una regola per le app in pacchetto e Informazioni sulle regole predefinite di AppLocker.
Continuare ad aggiornare i criteri di AppLocker man mano che vengono introdotte nuove app per i pacchetti nell'ambiente. Per eseguire questo aggiornamento, vedere Aggiungere regole per le app in pacchetto al set di regole appLocker esistente.
Continuare a monitorare l'ambiente per verificare l'efficacia delle regole distribuite nei criteri di AppLocker. Per eseguire questo monitoraggio, vedere Monitorare l'utilizzo delle app con AppLocker.