Testare e aggiornare i criteri di AppLocker
Questo articolo illustra i passaggi necessari per testare un criterio di AppLocker prima della distribuzione.
È consigliabile testare ogni set di regole per assicurarsi che le regole vengano eseguite come previsto. Se si usa Criteri di gruppo per gestire i criteri di AppLocker, completare la procedura seguente per ogni oggetto Criteri di gruppo contenente le regole di AppLocker. Poiché le regole di AppLocker vengono ereditate dagli oggetti Criteri di gruppo collegati, è necessario distribuire tutte le regole per il test simultaneo in tutti gli oggetti Criteri di gruppo di test.
Passaggio 1: Abilitare l'impostazione Di imposizione solo controllo
Usare l'impostazione Controlla solo modalità di imposizione per verificare che le regole di AppLocker siano configurate correttamente per l'organizzazione senza bloccare il codice. Questa impostazione può essere abilitata nella scheda Imposizione della finestra di dialogo Proprietà AppLocker . Per informazioni sulla procedura per eseguire questa configurazione, vedere Configurare un criterio di AppLocker solo per il controllo.
Passaggio 2: Configurare il servizio Identità applicazione per l'avvio automatico
Poiché AppLocker usa il servizio Identità applicazione per verificare gli attributi di un file, è necessario configurarlo per l'avvio automatico in qualsiasi oggetto Criteri di gruppo che applica le regole di AppLocker. Per altre informazioni, vedere Configurare il servizio di identità dell'applicazione. Se non si distribuiscono i criteri di AppLocker usando un oggetto Criteri di gruppo, è necessario assicurarsi che il servizio sia in esecuzione in ogni PC affinché i criteri vengano applicati.
Passaggio 3: Testare i criteri
Testare i criteri di AppLocker per determinare se la raccolta di regole deve essere modificata. I criteri di AppLocker devono essere attivi in modalità di controllo solo in tutti i PC client configurati per ricevere i criteri di AppLocker.
Il cmdlet Test-AppLockerPolicy Windows PowerShell può essere usato per determinare se uno dei codici eseguiti nei PC di riferimento è bloccato dalle regole nella raccolta di regole. Per informazioni sulla procedura per eseguire questo test, vedere Testare un criterio di AppLocker usando Test-AppLockerPolicy.
Passaggio 4: Analizzare gli eventi di AppLocker
È possibile analizzare manualmente gli eventi di AppLocker oppure usare il cmdlet Get-AppLockerFileInformation Windows PowerShell per automatizzare l'analisi.
Per analizzare manualmente gli eventi di AppLocker
Usare Visualizzatore eventi o un editor di testo per visualizzare e ordinare gli eventi di AppLocker per l'analisi. È possibile cercare modelli negli eventi di utilizzo dell'applicazione, nelle frequenze di accesso o nell'accesso da parte dei gruppi di utenti. Se non è configurata una sottoscrizione di eventi, è possibile esaminare i log in un campionamento dei computer dell'organizzazione. Per altre informazioni sull'uso di Visualizzatore eventi, vedere Monitorare l'utilizzo delle applicazioni con AppLocker.
Per analizzare gli eventi di AppLocker usando Get-AppLockerFileInformation
È possibile usare il cmdlet get-AppLockerFileInformation Windows PowerShell per analizzare gli eventi di AppLocker da un computer remoto. Se un'app viene bloccata e deve essere consentita, è possibile usare i cmdlet di AppLocker per risolvere il problema.
Sia per le sottoscrizioni di eventi che per gli eventi locali, è possibile usare il cmdlet Get-AppLockerFileInformation per determinare quali file non sono stati consentiti dai criteri e quante volte si è verificato l'evento per ogni file. Per informazioni sulla procedura per eseguire questo monitoraggio, vedere Monitorare l'utilizzo delle applicazioni con AppLocker.
Successivamente, è consigliabile esaminare l'elenco di regole per determinare se deve essere creata una nuova regola per il file bloccato o se una regola esistente è troppo definita. Assicurarsi di controllare quale oggetto Criteri di gruppo attualmente impedisce l'esecuzione del file. Per determinare questo oggetto Criteri di gruppo bloccante, è possibile usare la Creazione guidata risultati Criteri di gruppo per visualizzare i nomi delle regole.
Passaggio 5: Modificare i criteri di AppLocker
Dopo aver a conoscenza delle regole da modificare o aggiungere ai criteri, usare Criteri di gruppo Management Console per modificare le regole di AppLocker negli oggetti Criteri di gruppo pertinenti. Se i criteri di AppLocker non vengono gestiti da un oggetto Criteri di gruppo, è possibile usare lo snap-in Criteri di sicurezza locali (secpol.msc). Per informazioni su come modificare un criterio di AppLocker, vedi Modificare un criterio di AppLocker.
Passaggio 6: Ripetere test, analisi e modifica dei criteri
Ripetere i passaggi precedenti da 3 a 5 fino a quando tutte le regole non vengono eseguite come previsto prima di applicare l'imposizione.
Altre risorse
- Per la procedura per eseguire altre attività dei criteri di AppLocker, vedere Amministrare AppLocker.