Introduzione alle decisioni di progettazione dei criteri di AppLocker
Questo articolo descrive le domande di progettazione di AppLocker, le possibili risposte e altre considerazioni quando si pianifica una distribuzione dei criteri di controllo delle applicazioni tramite AppLocker.
Quando si inizia il processo di progettazione e pianificazione, è necessario considerare l'effetto delle scelte di progettazione. Le decisioni risultanti influiscono sullo schema di distribuzione dei criteri e sulla successiva manutenzione dei criteri di controllo delle applicazioni.
È consigliabile usare AppLocker come parte dei criteri di controllo delle applicazioni dell'organizzazione, se sono vere tutte le condizioni seguenti:
- Si eseguono versioni supportate di Windows nell'organizzazione. Per requisiti specifici della versione del sistema operativo, vedere Requisiti per l'uso di AppLocker.
- È necessario un controllo migliorato sull'accesso alle applicazioni dell'organizzazione.
- Il numero di applicazioni nell'organizzazione è noto e gestibile.
- Sono disponibili risorse per testare i criteri in base ai requisiti dell'organizzazione.
- Sono disponibili risorse per coinvolgere l'Help Desk o creare un processo di self-help per i problemi di accesso alle applicazioni dell'utente finale.
Di seguito sono riportate alcune domande da considerare quando si distribuiscono i criteri di controllo delle applicazioni (in base all'ambiente di destinazione).
Quali app è necessario controllare nell'organizzazione?
Potrebbe essere necessario controllare un numero limitato di applicazioni perché accedono a dati sensibili o si vuole consentire solo app approvate per scopi aziendali. Potrebbero esserci alcuni gruppi aziendali che richiedono un controllo rigoroso e altri che promuovono l'utilizzo indipendente delle applicazioni.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Controllare tutte le app | I criteri di AppLocker controllano le applicazioni creando un elenco consentito di applicazioni in base al tipo di file. Sono anche possibili eccezioni. I criteri di AppLocker possono essere applicati solo alle applicazioni installate nei computer che eseguono una delle versioni supportate di Windows. |
Controllare app specifiche | Quando si creano regole di AppLocker, viene creato un elenco di app consentite. Tutte le applicazioni in tale elenco sono consentite per l'esecuzione (ad eccezione di quelle nell'elenco eccezioni). Alle applicazioni che non sono presenti nell'elenco viene impedito l'esecuzione. I criteri di AppLocker possono essere applicati solo alle app installate nei computer che eseguono una qualsiasi delle versioni supportate di Windows. |
Controllare solo le applicazioni di Windows classiche, solo le app in pacchetto o entrambe | I criteri di AppLocker controllano le app creando un elenco consentito di app per tipo di file. Poiché le app in pacchetto sono categorizzate in base alla condizione Server di pubblicazione, le applicazioni Windows classiche e le app in pacchetto possono essere controllate insieme. Le regole attualmente disponibili per le applicazioni Windows classiche possono rimanere ed è possibile crearne di nuove per le app in pacchetto. Per un confronto tra le applicazioni di Windows classiche e le app in pacchetto, vedere Confronto tra le applicazioni di Windows classiche e le app in pacchetto per le decisioni di progettazione dei criteri di AppLocker in questo articolo. |
Controllare le app in base al gruppo aziendale e all'utente | I criteri di AppLocker possono essere applicati tramite un oggetto Criteri di gruppo (GPO) agli oggetti computer all'interno di un'unità organizzativa.AppLocker policies can be applied through a Criteri di gruppo Object (GPO) to computer objects within an organizational unit (OU). Le singole regole di AppLocker possono essere applicate ai singoli utenti o ai gruppi di utenti. |
Controllare le app in base al computer, non all'utente | AppLocker è un'implementazione di criteri basata su computer. Se la struttura organizzativa del dominio o del sito non è basata su una struttura utente logica, ad esempio un'unità organizzativa, è possibile configurare tale struttura prima di iniziare la pianificazione di AppLocker. In caso contrario, è necessario identificare gli utenti, i computer e i requisiti di accesso alle app. |
Comprendere l'utilizzo delle app, ma non è ancora necessario controllare le app | I criteri di AppLocker possono essere impostati per controllare l'utilizzo delle app per tenere traccia delle app usate nell'organizzazione. È quindi possibile usare il registro eventi di AppLocker per creare criteri di AppLocker. |
Nota
Le regole di AppLocker consentono o impediscono l'avvio di un'app o di un file binario. AppLocker non controlla il comportamento delle app dopo l'avvio. Per altre info, vedi Considerazioni sulla sicurezza per AppLocker.
Confronto tra le applicazioni windows classiche e le app in pacchetto per le decisioni di progettazione dei criteri di AppLocker
I criteri di AppLocker per le app in pacchetto possono essere applicati solo alle app installate nei computer che eseguono sistemi operativi Windows che supportano le app di Microsoft Store. Tuttavia, le applicazioni Windows classiche possono essere controllate in Windows Server 2008 R2 e Windows 7, oltre ai computer che supportano le app in pacchetto. Le regole per le applicazioni Windows classiche e le app in pacchetto possono essere applicate insieme. Le differenze da considerare per le app in pacchetto sono:
- Gli utenti standard possono installare le app in pacchetto, mentre molte applicazioni windows classiche richiedono credenziali amministrative per l'installazione. Pertanto, in un ambiente in cui la maggior parte degli utenti sono utenti standard, potrebbe non essere necessaria una serie di regole exe, ma è possibile che si desiderino criteri più espliciti per le app in pacchetto.
- Le applicazioni Windows classiche possono essere scritte per modificare lo stato del sistema se vengono eseguite con credenziali amministrative. La maggior parte delle app in pacchetto non può modificare lo stato del sistema perché vengono eseguite con autorizzazioni limitate. Quando progetti i criteri di AppLocker, è importante capire se un'app che stai consentendo può apportare modifiche a livello di sistema.
- Le app in pacchetto possono essere acquistate tramite Lo Store oppure possono essere sideload usando Windows PowerShell cmdlet. Se si usano cmdlet Windows PowerShell, è necessaria una licenza Enterprise speciale per acquisire le app in pacchetto. Le applicazioni Windows classiche possono essere acquisite tramite mezzi tradizionali, ad esempio tramite fornitori di software o distribuzione al dettaglio.
AppLocker controlla le app in pacchetto e le applicazioni di Windows classiche usando raccolte di regole diverse. È possibile scegliere di controllare le app in pacchetto, le applicazioni windows classiche o entrambe.
Per altre informazioni, vedi App in pacchetto e regole del programma di installazione delle app in pacchetto in AppLocker.
Uso di AppLocker per controllare gli script
L'imposizione degli script di AppLocker comporta un handshake tra un host di script con riconoscimento automatico, ad esempio PowerShell e AppLocker. Tuttavia, l'host di script gestisce il comportamento effettivo di imposizione. La maggior parte degli host di script chiede innanzitutto ad AppLocker se è necessario consentire l'esecuzione di uno script in base ai criteri di AppLocker attualmente attivi. L'host di script blocca, consente o modifica la modalità di esecuzione dello script per proteggere al meglio l'utente e il dispositivo.
AppLocker usa il registro eventi AppLocker - MSI e Script per tutti gli eventi di imposizione degli script. Ogni volta che un host di script chiede ad AppLocker se uno script deve essere consentito, viene registrato un evento con la risposta AppLocker restituita all'host di script.
Nota
Quando viene eseguito uno script non consentito dai criteri, AppLocker genera un evento che indica che lo script è stato "bloccato". Tuttavia, il comportamento effettivo di imposizione dello script viene gestito dall'host dello script e potrebbe non bloccare completamente l'esecuzione del file.
L'imposizione degli script di AppLocker può controllare solo VBScript, JScript, file .bat, file .cmd e script Windows PowerShell. Non controlla tutto il codice interpretato eseguito all'interno di un processo host, ad esempio script e macro Perl. Il codice interpretato è una forma di codice eseguibile eseguito all'interno di un processo host. Ad esempio, i file batch di Windows (*.bat) vengono eseguiti nel contesto dell'host dei comandi di Windows (cmd.exe). Per usare AppLocker per controllare il codice interpretato, il processo host deve chiamare AppLocker prima di eseguire il codice interpretato e quindi applicare la decisione da AppLocker. Non tutti i processi host chiamano in AppLocker. AppLocker non può quindi controllare ogni tipo di codice interpretato, ad esempio le macro di Microsoft Office.
Importante
È consigliabile configurare le impostazioni di sicurezza appropriate di questi processi host se è necessario consentirne l'esecuzione. Ad esempio, configurare le impostazioni di sicurezza in Microsoft Office per assicurarsi che vengano caricate solo macro firmate e attendibili.
Come si controlla attualmente l'utilizzo delle app nell'organizzazione?
La maggior parte delle organizzazioni evolve i criteri e i metodi di controllo delle app nel tempo. AppLocker è ideale nelle organizzazioni con processi di approvazione e distribuzione di applicazioni ben gestiti.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Criteri di sicurezza (impostati localmente o tramite Criteri di gruppo) | L'uso di AppLocker richiede un maggiore impegno nella pianificazione della creazione di criteri corretti, ma questa creazione di criteri comporta un metodo di distribuzione più semplice. |
Software di controllo delle app non Microsoft | L'uso di AppLocker richiede una valutazione e un'implementazione completa dei criteri di controllo delle app. |
Utilizzo gestito per gruppo o unità organizzativa | L'uso di AppLocker richiede una valutazione e un'implementazione completa dei criteri di controllo delle app. |
Gestione autorizzazioni o altre tecnologie di accesso in base al ruolo | L'uso di AppLocker richiede una valutazione e un'implementazione completa dei criteri di controllo delle app. |
Other | L'uso di AppLocker richiede una valutazione e un'implementazione completa dei criteri di controllo delle app. |
Nell'organizzazione sono presenti gruppi specifici che necessitano di criteri di controllo delle applicazioni personalizzati?
La maggior parte dei gruppi o dei reparti aziendali ha requisiti di sicurezza specifici relativi all'accesso ai dati e alle applicazioni usate per accedere a tali dati. È consigliabile considerare l'ambito del progetto per ogni gruppo e le priorità del gruppo prima di distribuire i criteri di controllo delle applicazioni per l'intera organizzazione.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Sì | Per ogni gruppo, è necessario creare un elenco che includa i requisiti di controllo dell'applicazione. Anche se questa considerazione può aumentare il tempo di pianificazione, spesso comporta una distribuzione più efficace. Se la struttura dell'oggetto Criteri di gruppo non corrisponde ai gruppi dell'organizzazione, è possibile applicare le regole di AppLocker a gruppi di utenti specifici. |
No | I criteri di AppLocker possono essere applicati a livello globale alle applicazioni installate. A seconda del numero di app che è necessario controllare, la gestione di tutte le regole e le eccezioni potrebbe essere complessa. |
Il reparto IT dispone di risorse per analizzare l'utilizzo delle applicazioni e progettare e gestire i criteri?
Il tempo e le risorse disponibili per eseguire la ricerca e l'analisi possono influire sui dettagli del piano e dei processi per continuare la gestione e la manutenzione dei criteri.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Sì | Investire il tempo necessario per analizzare i requisiti di controllo delle applicazioni dell'organizzazione e pianificare una distribuzione completa che usi regole il più possibile costruite. |
No | Si consideri una distribuzione mirata e in più fasi per gruppi specifici usando alcune regole. Quando si applicano controlli alle applicazioni in un gruppo specifico, apprendere da tale distribuzione per pianificare la distribuzione successiva. |
L'organizzazione dispone del supporto help desk?
Quando si impedisce agli utenti di accedere alle applicazioni, si verifica un aumento del supporto per gli utenti finali, almeno inizialmente. È necessario risolvere i vari problemi di supporto nell'organizzazione in modo che vengano seguiti i criteri di sicurezza e che il flusso di lavoro aziendale non sia ostacolato.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Sì | Coinvolgere il reparto di supporto all'inizio della fase di pianificazione perché agli utenti potrebbe essere impedito di usare le applicazioni oppure potrebbero cercare eccezioni per usare applicazioni specifiche. |
No | Investire tempo nello sviluppo di processi di supporto online e nella documentazione prima della distribuzione. |
Si sa quali applicazioni richiedono criteri restrittivi?
Qualsiasi implementazione corretta dei criteri di controllo delle applicazioni si basa sulla conoscenza e sulla comprensione dell'utilizzo delle app all'interno dell'organizzazione o del gruppo aziendale. Inoltre, la progettazione del controllo dell'applicazione dipende dai requisiti di sicurezza per i dati e le app che accedono a tali dati.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Sì | È necessario determinare le priorità di controllo dell'applicazione per un gruppo aziendale e quindi tentare di progettare lo schema più semplice per i criteri di controllo delle applicazioni. |
No | È necessario eseguire un progetto di controllo e di raccolta dei requisiti per individuare l'utilizzo dell'applicazione. AppLocker offre i mezzi per distribuire i criteri in modalità Solo controllo e strumenti per visualizzare i log eventi. |
Come si distribuiscono o si approvano applicazioni (aggiornate o nuove) nell'organizzazione?
L'implementazione di un criterio di controllo delle applicazioni corretto si basa sulla conoscenza e sulla comprensione dell'utilizzo delle applicazioni all'interno dell'organizzazione o del gruppo aziendale. Inoltre, la progettazione del controllo dell'applicazione dipende dai requisiti di sicurezza per i dati e le applicazioni che accedono a tali dati. Comprendere i criteri di aggiornamento e distribuzione consente di definire la costruzione dei criteri di controllo delle applicazioni.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Imprevista | È necessario raccogliere i requisiti da ogni gruppo. Alcuni gruppi potrebbero volere l'accesso o l'installazione senza restrizioni, mentre altri gruppi potrebbero volere controlli rigorosi. |
Criteri scritti o linee guida rigorosi da seguire | È necessario sviluppare regole di AppLocker che riflettano tali criteri, quindi testare e gestire le regole. |
Nessun processo in atto | È necessario determinare se sono disponibili le risorse per sviluppare criteri di controllo delle applicazioni e per quali gruppi. |
Quali sono le priorità dell'organizzazione quando si implementano i criteri di controllo delle applicazioni?
Alcune organizzazioni traggono vantaggio dai criteri di controllo delle applicazioni, come illustrato da un aumento della produttività o della conformità, mentre altre sono ostacolate nell'esecuzione dei propri compiti. Assegnare priorità a questi aspetti per ogni gruppo per consentire di valutare l'efficacia di AppLocker.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Produttività: l'organizzazione assicura che gli strumenti funzionino e le applicazioni necessarie possano essere installate. | Per soddisfare gli obiettivi di innovazione e produttività, alcuni gruppi richiedono la possibilità di installare ed eseguire vari software da origini diverse, incluso il software sviluppato. Pertanto, se l'innovazione e la produttività sono una priorità elevata, la gestione dei criteri di controllo delle applicazioni tramite un elenco consentito potrebbe richiedere molto tempo e ostacolare il progresso. |
Gestione: l'organizzazione è a conoscenza e controlla le applicazioni supportate. | In alcuni gruppi aziendali, l'utilizzo delle applicazioni può essere gestito da un punto di controllo centrale. I criteri di AppLocker possono essere incorporati in un oggetto Criteri di gruppo a tale scopo. |
Sicurezza: l'organizzazione deve proteggere i dati in parte assicurandosi che vengano usate solo le app approvate. | AppLocker consente di proteggere i dati consentendo a un set definito di utenti di accedere alle app che accedono ai dati. Se la sicurezza è la priorità principale, i criteri di controllo dell'applicazione possono essere più restrittivi. |
Come si accede attualmente alle app nell'organizzazione?
AppLocker è efficace per le organizzazioni con una gestione delle applicazioni ben gestita con obiettivi di criteri di controllo delle applicazioni semplici. Ad esempio, AppLocker può trarre vantaggio da un ambiente in cui i non dipendenti hanno accesso ai computer connessi alla rete aziendale, ad esempio un istituto di istruzione o una libreria.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Gli utenti vengono eseguiti senza diritti amministrativi. | Le app vengono installate usando una tecnologia di distribuzione dell'installazione. |
AppLocker può contribuire a ridurre il costo totale di proprietà per i gruppi aziendali che in genere usano un set limitato di app, ad esempio risorse umane e reparti finanziari. Allo stesso tempo, questi reparti accedono a informazioni altamente sensibili, molte delle quali contengono informazioni riservate e proprietarie. Usando AppLocker per creare regole per app specifiche che possono essere eseguite, è possibile limitare l'accesso di applicazioni non autorizzate a queste informazioni. Nota: AppLocker può essere efficace anche per creare desktop standardizzati nelle organizzazioni in cui gli utenti vengono eseguiti come amministratori. È tuttavia importante notare che gli utenti con credenziali amministrative possono aggiungere nuove regole ai criteri di AppLocker locali. |
Gli utenti devono essere in grado di installare le applicazioni in base alle esigenze. |
Gli utenti hanno attualmente accesso amministratore e sarebbe difficile modificare questo privilegio. | L'applicazione delle regole di AppLocker non è adatta per i gruppi aziendali che devono essere in grado di installare le app in base alle esigenze e senza l'approvazione del reparto IT. Se una o più unità organizzative dell'organizzazione hanno questo requisito, è possibile scegliere di non applicare le regole dell'applicazione in tali unità organizzative usando AppLocker o di implementare l'impostazione Controlla solo l'imposizione tramite AppLocker. |
La struttura in Active Directory Domain Services è basata sulla gerarchia dell'organizzazione?
La progettazione di criteri di controllo delle applicazioni basati su una struttura organizzativa già integrata in Active Directory Domain Services (Ad DS) è più semplice rispetto alla conversione della struttura esistente in una struttura organizzativa. Poiché l'efficacia dei criteri di controllo delle applicazioni dipende dalla possibilità di aggiornare i criteri, considerare il lavoro dell'organizzazione da eseguire prima dell'inizio della distribuzione.
Risposte possibili | Considerazioni per la progettazione |
---|---|
Sì | Le regole di AppLocker possono essere sviluppate e implementate tramite Criteri di gruppo, in base alla struttura di Active Directory Domain Services. |
No | Il reparto IT deve creare uno schema per identificare il modo in cui i criteri di controllo delle applicazioni possono essere applicati all'utente o al computer corretto. |
Registrare i risultati
Il passaggio successivo del processo consiste nel registrare e analizzare le risposte alle domande precedenti. Se AppLocker è la soluzione giusta per gli obiettivi, è possibile impostare gli obiettivi dei criteri di controllo dell'applicazione e pianificare le regole di AppLocker. Questo processo culmina nella creazione del documento di pianificazione.