Monitorare l'uso delle app con AppLocker

Questo articolo per professionisti IT descrive come monitorare l'utilizzo delle app quando vengono applicati i criteri di AppLocker.

Dopo aver distribuito i criteri di AppLocker, monitorarne l'effetto sui dispositivi per assicurarsi che i risultati siano quello previsto.

Individuare l'effetto di un criterio di AppLocker

È possibile valutare il modo in cui i criteri di AppLocker sono attualmente implementati a scopo di documentazione o controllo o prima di modificare i criteri. L'aggiornamento del documento AppLocker Policy Deployment Planning consente di tenere traccia dei risultati. È possibile eseguire uno o più dei passaggi seguenti per comprendere quali controlli applicazione sono attualmente applicati tramite le regole di AppLocker.

  • Analizzare i log di AppLocker in Visualizzatore eventi

    Quando l'imposizione dei criteri di AppLocker è impostata su Imponi regole, tutti i file non consentiti dai criteri vengono bloccati. In tal caso, viene generato un evento nel registro eventi di AppLocker per la raccolta di regole. Quando l'imposizione dei criteri di AppLocker è impostata solo su Controllo, le regole non vengono applicate, ma vengono comunque valutate per generare i dati degli eventi di controllo scritti nei log di AppLocker.

    Per altre informazioni sulla procedura per accedere al log, vedere Visualizzare il log di AppLocker in Visualizzatore eventi.

  • Abilitare l'impostazione Controlla solo l'imposizione di AppLocker

    Usando l'impostazione Controlla solo imposizione, è possibile assicurarsi che le regole di AppLocker siano configurate correttamente per l'organizzazione. Quando l'imposizione dei criteri di AppLocker è impostata solo su Controllo, le regole vengono valutate solo, ma tutti gli eventi generati da tale valutazione vengono scritti nel log di AppLocker.

    Per altre informazioni sulla procedura per eseguire questa configurazione, vedere Configurare un criterio di AppLocker solo per il controllo.

  • Esaminare gli eventi di AppLocker con Get-AppLockerFileInformation

    Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation Windows PowerShell per determinare i file bloccati o bloccati (se si usa la modalità di imposizione solo controllo) e il numero di volte in cui si è verificato l'evento di blocco per ogni file.

    Per altre informazioni sulla procedura per eseguire questa verifica, vedere Esaminare gli eventi di AppLocker con Get-AppLockerFileInformation.

  • Esaminare gli eventi di AppLocker con Test-AppLockerPolicy

    È possibile usare il cmdlet Test-AppLockerPolicy Windows PowerShell per determinare se una delle regole nelle raccolte di regole influisce sui file eseguiti nel dispositivo di riferimento o nel dispositivo in cui si gestiscono i criteri.

    Per altre informazioni sulla procedura per eseguire questo test, vedere Testare un criterio di AppLocker usando Test-AppLockerPolicy.

Esaminare gli eventi di AppLocker con Get-AppLockerFileInformation

Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation Windows PowerShell per determinare i file bloccati o bloccati (se viene applicata l'impostazione Controlla solo l'imposizione) e il numero di volte in cui si è verificato l'evento di blocco per ogni file.

L'appartenenza al gruppo Administrators locale, o equivalente, è il minimo necessario per completare questa procedura.

Nota

Se i log di AppLocker non si trovano nel dispositivo locale, sarà necessaria l'autorizzazione per visualizzare i log. Se l'output viene salvato in un file, sarà necessaria l'autorizzazione per leggere il file.

Per esaminare gli eventi di AppLocker con Get-AppLockerFileInformation

  1. Al prompt dei comandi digitare PowerShell e quindi selezionare INVIO.

  2. Eseguire il comando seguente per verificare quante volte i criteri di AppLocker non hanno consentito un file:

    Get-AppLockerFileInformation -EventLog -EventType Audited -Statistics
    
  3. Eseguire il comando seguente per verificare quante volte è stato consentito l'esecuzione o l'impossibilità di eseguire un file:

    Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
    

Visualizzare l'accesso ad AppLocker Visualizzatore eventi

Quando l'imposizione dei criteri di AppLocker è impostata su Imponi regole, tutti i file non consentiti dai criteri vengono bloccati. In tal caso, viene generato un evento nel registro eventi di AppLocker per la raccolta di regole. Quando l'imposizione dei criteri di AppLocker è impostata solo su Controllo, le regole non vengono applicate, ma vengono comunque valutate per generare i dati degli eventi di controllo scritti nei log di AppLocker.

L'appartenenza al gruppo Administrators locale, o equivalente, è il minimo necessario per completare questa procedura.

Per visualizzare gli eventi nel log di AppLocker usando Visualizzatore eventi

  1. Per aprire Visualizzatore eventi, passare al menu Start, digitare eventvwr.msc e quindi selezionare INVIO.
  2. Nell'albero della console in Registri applicazioni e servizi\Microsoft\Windows fare doppio clic su AppLocker.

Gli eventi di AppLocker sono elencati nel log EXE e DLL , nel log msi e script oppure nel log packaged app-deployment o packaged app-execution . Le informazioni sull'evento includono l'impostazione di imposizione, il nome del file, la data e l'ora e il nome utente. I log possono essere esportati in altri formati di file per un'ulteriore analisi.