Selezionare i tipi di regole da creare
Questo articolo elenca le risorse da usare durante la creazione delle regole dei criteri di controllo dell'applicazione tramite AppLocker.
Quando si determinano i tipi di regole da creare per ogni gruppo, è necessario determinare anche l'impostazione di imposizione da usare per ogni gruppo. Tipi di regole diversi sono più applicabili per alcune app, a seconda del modo in cui le applicazioni vengono distribuite in un gruppo aziendale specifico.
Gli articoli seguenti forniscono informazioni aggiuntive sulle regole di AppLocker che consentono di decidere quali regole usare per le applicazioni:
- Informazioni sul comportamento delle regole di AppLocker
- Informazioni sulle eccezioni per le regole di AppLocker
- Informazioni sulle raccolte di regole di AppLocker
- Informazioni sulle azioni di assenso e di negazione di AppLocker per le regole
- Informazioni sui tipi di condizione delle regole di AppLocker
- Informazioni sulle regole predefinite di AppLocker
Selezionare la raccolta di regole
Le raccolte di regole usate dipendono dai tipi di file da controllare, tra cui:
- File eseguibili: .exe e .com
- File di Windows Installer: .msi, msp e mst
- Script: .ps1, .bat, .cmd, vbs e .js
- App in pacchetto e programmi di installazione di app in pacchetto: .appx
- DLL: .dll e ocx
Per impostazione predefinita, le regole consentono l'esecuzione di un file in base ai privilegi utente o di gruppo. Se si usano regole DLL, è necessario creare una regola di autorizzazione DLL per ogni DLL usata da tutte le app consentite. La raccolta di regole DLL non è abilitata per impostazione predefinita.
Nell'esempio di Woodgrove Bank, l'app line-of-business per il gruppo aziendale Bank Tellers è C:\Program Files\Woodgrove\Teller.exe e questa app deve essere inclusa in una regola. Inoltre, poiché questa regola fa parte di un elenco di applicazioni consentite, è necessario includere anche tutti i file di Windows in C:\Windows.
Determinare la condizione della regola
Una condizione della regola è un criterio su cui si basa una regola di AppLocker e può essere solo una delle condizioni della regola nella tabella seguente.
Condizione della regola | Scenario di utilizzo | Risorse |
---|---|---|
Pubblicato da | Per usare una condizione di pubblicazione, l'editore del software deve firmare digitalmente i file oppure è necessario usare un certificato dell'organizzazione. Le regole specificate a livello di versione potrebbero dover essere aggiornate quando viene rilasciata una nuova versione del file. | Per altre informazioni su questa condizione della regola, vedi Informazioni sulla condizione della regola del server di pubblicazione in AppLocker. |
Percorso | A qualsiasi file può essere assegnata questa condizione della regola. Tuttavia, poiché le regole di percorso specificano i percorsi all'interno del file system, la regola si applica a qualsiasi sottodirectory (a meno che non sia esplicitamente esentata). | Per altre informazioni su questa condizione della regola, vedi Informazioni sulla condizione della regola del percorso in AppLocker. |
Hash del file | A qualsiasi file può essere assegnata questa condizione della regola. Tuttavia, la regola deve essere aggiornata ogni volta che viene rilasciata una nuova versione del file perché il valore hash cambia. | Per altre informazioni su questa condizione della regola, vedi Informazioni sulla condizione della regola hash del file in AppLocker. |
Nell'esempio di Woodgrove Bank, l'app line-of-business per il gruppo aziendale Bank Tellers viene firmata e si trova in C:\Program Files\Woodgrove\Teller.exe. Pertanto, la regola può essere definita con una condizione del server di pubblicazione.
Determinare come consentire l'esecuzione dei file di sistema
Poiché le regole di AppLocker creano un elenco di app consentite, è necessario creare regole per consentire l'esecuzione di tutti i file di Windows. È possibile generare le regole predefinite di AppLocker per ogni raccolta di regole per garantire l'esecuzione delle app di sistema. È possibile usare queste regole predefinite (elencate nelle regole predefinite di AppLocker) come modello durante la creazione di regole personalizzate. Tuttavia, queste regole hanno lo scopo di funzionare solo come criterio iniziale quando si testano per la prima volta le regole di AppLocker in modo che vengano eseguiti i file di sistema nelle cartelle di Windows. Quando viene creata una regola predefinita, il nome inizia con "(Regola predefinita)" nella raccolta di regole.
È anche possibile creare una regola per i file di sistema in base alla condizione del percorso. Nell'esempio precedente, per il gruppo Bank Tellers, tutti i file di Windows si trovano in C:\Windows e possono essere definiti con il tipo di condizione della regola del percorso. Questa regola consente l'accesso a questi file ogni volta che vengono applicati aggiornamenti e i file cambiano. Se è necessaria una maggiore sicurezza dell'applicazione, potrebbe essere necessario modificare le regole create dalla raccolta di regole predefinita predefinita. Ad esempio, la regola predefinita per consentire a tutti gli utenti di eseguire .exe file nella cartella Windows si basa su una condizione di percorso che consente l'esecuzione di tutti i file all'interno della cartella Windows. La cartella Windows contiene una sottocartella Temp a cui il gruppo Utenti dispone delle autorizzazioni seguenti:
- Attraversamento della cartella/esecuzione del file
- Creare file/scrivere dati
- Creare cartelle/accodare dati
Queste impostazioni di autorizzazioni vengono applicate a questa cartella per garantire la compatibilità delle applicazioni. Tuttavia, poiché qualsiasi utente può creare file in questo percorso, consentire l'esecuzione delle app da questo percorso potrebbe essere in conflitto con i criteri di sicurezza dell'organizzazione.
Passaggi successivi
Dopo aver selezionato i tipi di regole da creare, registrare i risultati come illustrato in Documentare le regole di AppLocker.
Dopo aver registrato i risultati per la creazione delle regole di AppLocker, è necessario considerare come applicare le regole. Per informazioni su come eseguire questa imposizione, vedere Determinare Criteri di gruppo struttura e l'imposizione delle regole.