Usare un dispositivo di riferimento per creare e gestire criteri di AppLocker
Questo articolo per il professionista IT descrive i passaggi per creare e gestire i criteri di AppLocker usando un computer di riferimento.
Background e prerequisiti
Un dispositivo di riferimento di AppLocker è un dispositivo di base che è possibile usare per configurare i criteri e quindi può essere usato per gestire i criteri di AppLocker. Per la procedura per configurare un dispositivo di riferimento, vedere Configurare il dispositivo di riferimento appLocker.
Un dispositivo di riferimento appLocker usato per creare e gestire i criteri di AppLocker deve contenere le app corrispondenti per ogni unità organizzativa (OU) per simulare l'ambiente di produzione.
È possibile eseguire il test dei criteri di AppLocker nel dispositivo di riferimento usando l'impostazione Controlla solo la modalità di imposizione o Windows PowerShell cmdlet.
Passaggio 1: Generare automaticamente regole nel dispositivo di riferimento
Con AppLocker è possibile generare automaticamente regole per tutti i file all'interno di una cartella. AppLocker analizza la cartella specificata e crea i tipi di condizione scelti per ogni file in tale cartella. Per informazioni su come generare automaticamente le regole, vedere Eseguire la procedura guidata Genera automaticamente regole.
Nota
Se si esegue questa procedura guidata per creare le prime regole per un oggetto Criteri di gruppo, verrà richiesto di creare le regole predefinite che consentono l'esecuzione di file di sistema critici. È possibile modificare le regole predefinite in qualsiasi momento. Se l'organizzazione usa regole personalizzate per consentire l'esecuzione dei file di sistema di Windows, assicurarsi di eliminare le regole predefinite dopo aver creato le regole personalizzate.
Passaggio 2: Creare le regole predefinite nel dispositivo di riferimento
AppLocker include regole predefinite per ogni raccolta di regole. Queste regole hanno lo scopo di garantire che i file necessari per il corretto funzionamento di Windows siano consentiti in una raccolta di regole di AppLocker. È necessario eseguire le regole predefinite per ogni raccolta di regole. Per informazioni sulle regole predefinite e sulle considerazioni per usarle, vedi Informazioni sulle regole predefinite di AppLocker. Per la procedura per creare regole predefinite, vedere Creare regole predefinite di AppLocker.
Importante
È possibile usare le regole predefinite come modello quando si creano regole personalizzate. In questo modo è possibile eseguire i file all'interno della directory di Windows. Tuttavia, queste regole hanno lo scopo di funzionare solo come criterio iniziale quando si testano per la prima volta le regole di AppLocker.
Passaggio 3: Modificare le regole e la raccolta di regole nel dispositivo di riferimento
Se i criteri di AppLocker sono attualmente in esecuzione nell'ambiente di produzione, esportare i criteri dagli oggetti Criteri di gruppo corrispondenti e salvarli nel dispositivo di riferimento. Per informazioni su come esportare e salvare i criteri, vedere Esportare un criterio di AppLocker da un oggetto Criteri di gruppo. Se non vengono distribuiti criteri di AppLocker, creare le regole e sviluppare i criteri usando le procedure seguenti:
- Creare una regola che usa una condizione Autore
- Creare una regola che usa una condizione Hash file
- Creare una regola che usa una condizione Percorso
- Modificare le regole di AppLocker
- Aggiungere eccezioni per una regola di AppLocker
- Eliminare una regola di AppLocker
- Abilitare la raccolta regole DLL
- Imporre le regole di AppLocker
Passaggio 4: Testare e aggiornare i criteri di AppLocker nel dispositivo di riferimento
È consigliabile testare ogni set di regole per assicurarsi che eseguano le prestazioni previste. Il cmdlet Test-AppLockerPolicy Windows PowerShell può essere usato per determinare se le app nel dispositivo di riferimento sono bloccate dalle regole nelle raccolte di regole. Eseguire i passaggi in ogni dispositivo di riferimento usato per definire i criteri di AppLocker. Assicurarsi che il dispositivo di riferimento sia aggiunto al dominio e che stia ricevendo i criteri di AppLocker dall'oggetto Criteri di gruppo appropriato. Poiché le regole di AppLocker vengono ereditate dagli oggetti Criteri di gruppo collegati, è necessario distribuire tutte le regole per testare contemporaneamente tutti gli oggetti Criteri di gruppo di test. Per completare questo passaggio, usare le procedure seguenti:
- Testare un criterio di AppLocker con Test-AppLockerPolicy
- Individuare l'effetto di un criterio di AppLocker
Warning
Se l'impostazione della modalità di imposizione nella raccolta regole è impostata su Imponi regole o Non configurata, i criteri verranno applicati al completamento del passaggio successivo. Impostare l'impostazione della modalità di imposizione sulla raccolta di regole su Controlla solo se non si è pronti per bloccare l'esecuzione di file.
Passaggio 5: Esportare e importare i criteri nell'ambiente di produzione
Dopo aver testato i criteri di AppLocker, è possibile importarli nell'oggetto Criteri di gruppo (o importati in singoli computer non gestiti da Criteri di gruppo) e verificarne l'efficacia prevista. Per eseguire queste attività, eseguire le procedure seguenti:
- Esportare criteri di AppLocker in un file XML
- Importare un criterio di AppLocker in un oggetto Criteri di gruppo o
- Individuare l'effetto di un criterio di AppLocker
Se l'impostazione di imposizione dei criteri di AppLocker è Solo controllo e si è certi che i criteri soddisfino la finalità, è possibile modificarla in Imponi regole. Per informazioni su come modificare l'impostazione di imposizione, vedi Configurare un criterio di AppLocker per applicare le regole.
Passaggio 6: Monitorare l'effetto dei criteri nell'ambiente di produzione
Se sono necessari altri miglioramenti o aggiornamenti dopo la distribuzione di un criterio, usare le procedure seguenti appropriate per monitorare e aggiornare i criteri:
- Monitorare l'uso delle app con AppLocker
- Modificare i criteri di AppLocker
- Aggiornare i criteri di AppLocker