Uso delle regole di AppLocker
Questo articolo per i professionisti IT descrive i tipi di regole di AppLocker e come usarli per i criteri di controllo delle applicazioni.
Raccolte di regole
I criteri di AppLocker sono organizzati in raccolte di regole, inclusi file eseguibili, script, file di Windows Installer, app in pacchetto e programmi di installazione di app in pacchetto e file DLL. Queste raccolte offrono un modo semplice per distinguere le regole per i diversi tipi di app. Nella tabella seguente sono elencati i formati di file inclusi in ogni raccolta di regole.
Raccolta di regole | Formati di file associati |
---|---|
File eseguibili | .exe .com |
Script | .ps1 .bat .cmd .vbs .js |
File di Windows Installer | .msi .msp .mst |
App in pacchetto e programmi di installazione di app in pacchetto | .appx |
File DLL | .dll .ocx |
Nota
Le regole di AppLocker per i file eseguibili si applicano effettivamente a tutti i file eseguibili portabili (PE), indipendentemente dall'estensione del file che gli utenti malintenzionati possono modificare facilmente. Le informazioni sull'estensione di file elencate nella tabella precedente per i file eseguibili sono solo illustrative.
La raccolta di regole DLL non è abilitata per impostazione predefinita. Per informazioni su come abilitare la raccolta di regole DLL, vedere Raccolte di regole DLL.
Importante
Se si usano regole DLL, è necessario creare una regola di autorizzazione che copra ogni DLL usata da tutte le app consentite.
Quando vengono usate regole DLL, AppLocker deve controllare ogni DLL caricata da un'applicazione. Pertanto, gli utenti possono riscontrare una riduzione delle prestazioni se vengono usate regole DLL. Tuttavia, questo impatto sulle prestazioni è in genere impercettibile a meno che un dispositivo non sia già vincolato alle risorse.
Modalità di imposizione
I criteri di AppLocker impostano una modalità di imposizione per ogni raccolta di regole inclusa nei criteri. Queste modalità di imposizione sono descritte nella tabella seguente.
Modalità di imposizione | Descrizione |
---|---|
Non configurato | Nonostante il nome, questa modalità di imposizione non significa che le regole vengano ignorate. Al contrario, se sono presenti regole in una raccolta di regole "non configurata", le regole verranno applicate a meno che un criterio con precedenza superiore non modificherà la modalità di imposizione in Solo controllo. Poiché questa modalità di imposizione può creare confusione per gli autori di criteri, è consigliabile evitare di usare questo valore nei criteri di AppLocker. È invece consigliabile scegliere in modo esplicito tra le due opzioni rimanenti. |
Applicare le regole | Le regole vengono applicate. Quando un utente esegue un'app interessata da una regola di AppLocker, il file binario dell'app viene bloccato. Le informazioni sul file binario sono state aggiunte al registro eventi di AppLocker. |
Solo controllo | Le regole vengono controllate ma non applicate. Quando un utente esegue un'app interessata da una regola di AppLocker, l'esecuzione del file binario dell'app è consentita. Tuttavia, le informazioni sul file binario vengono aggiunte al registro eventi di AppLocker. La modalità di imposizione solo controllo consente di identificare le app interessate dai criteri prima dell'applicazione dei criteri. |
Quando i criteri di AppLocker vengono uniti, le regole di tutti i criteri vengono aggiunte ai criteri effettivi e viene selezionata una singola modalità di imposizione per ogni raccolta di regole. Se più criteri di AppLocker vengono applicati a un dispositivo tramite Criteri di gruppo, l'impostazione della modalità di imposizione applicata viene selezionata in base alla precedenza Criteri di gruppo. Se si applicano criteri di AppLocker in locale usando il cmdlet di PowerShell Set-AppLockerPolicy con l'opzione -merge , viene scelta la modalità di imposizione più restrittiva tra i criteri locali esistenti e i criteri uniti.
Condizioni delle regole
Le condizioni delle regole sono criteri che consentono ad AppLocker di identificare le app a cui si applica la regola. Le tre condizioni principali delle regole sono l'autore, il percorso e l'hash dei file.
- Server di pubblicazione: identifica un'app in base alla firma digitale
- Percorso: identifica un'app in base alla posizione nel file system del computer o in rete
- Hash file: rappresenta l'hash authenticode crittografico calcolato del sistema del file identificato
Pubblicato da
Questa condizione identifica un'app in base alla firma digitale e agli attributi estesi, se disponibili. La firma digitale contiene informazioni sulla società che ha creato l'app (l'editore). File eseguibili, DLL, programmi di installazione di Windows, app in pacchetto e programmi di installazione di app in pacchetto includono anche attributi estesi, ottenuti dalla risorsa binaria. Questi attributi includono spesso il nome del prodotto, il nome del file originale e il numero di versione del file come definito dal server di pubblicazione. Se sono presenti app in pacchetto e programmi di installazione di app in pacchetto, questi attributi estesi contengono il nome e la versione del pacchetto dell'app.
Nota
Le regole create nelle app in pacchetto e nella raccolta di regole dei programmi di installazione delle app in pacchetto possono avere condizioni di pubblicazione solo perché Windows non supporta app in pacchetto non firmate e programmi di installazione di app in pacchetto.
Quando possibile, usare una condizione della regola di pubblicazione perché sono più resilienti agli aggiornamenti delle app e a una modifica del percorso dei file.
Quando si seleziona un file di riferimento per una condizione di pubblicazione, la procedura guidata crea una regola che specifica il server di pubblicazione, il prodotto, il nome file e il numero di versione. È possibile rendere la regola più generica spostando verso l'alto il dispositivo di scorrimento o usando un carattere jolly (*) nei campi prodotto, nome file o numero di versione.
Nota
Per immettere valori personalizzati per uno dei campi di una condizione di regola del server di pubblicazione nella Creazione guidata regole, è necessario selezionare la casella di controllo Usa valori personalizzati . Quando questa casella di controllo è selezionata, non è possibile usare il dispositivo di scorrimento.
La versione del file e la versione del pacchetto controllano se un utente può eseguire una versione specifica, versioni precedenti o versioni successive dell'app. È possibile scegliere un numero di versione e quindi configurare le opzioni seguenti:
- Esattamente. La regola si applica solo a questa versione dell'app
- E sopra. La regola si applica a questa versione e a tutte le versioni successive.
- E di seguito. La regola si applica a questa versione e a tutte le versioni precedenti.
Nella tabella seguente viene descritto come viene applicata una condizione del server di pubblicazione.
Opzione | La condizione del server di pubblicazione consente o nega... |
---|---|
Tutti i file firmati | Tutti i file firmati da un autore. |
Solo autore | Tutti i file firmati dall'autore indicato. |
Nome del prodotto e del server di pubblicazione | Tutti i file per il prodotto specificato firmato dal server di pubblicazione denominato. |
Nome del server di pubblicazione e del prodotto e nome file | Qualsiasi versione del file o pacchetto denominato per il prodotto denominato firmato dal server di pubblicazione. |
Server di pubblicazione, nome del prodotto, nome file e versione del file |
Esattamente Versione specificata del file o pacchetto denominato per il prodotto denominato firmato dal server di pubblicazione. |
Server di pubblicazione, nome del prodotto, nome file e versione del file |
E sopra Versione specificata del file o del pacchetto denominato e di eventuali nuove versioni per il prodotto firmato dal server di pubblicazione. |
Server di pubblicazione, nome del prodotto, nome file e versione del file |
E di seguito Versione specificata del file o del pacchetto denominato e qualsiasi versione precedente per il prodotto firmato dal server di pubblicazione. |
Personalizzata | È possibile modificare i campi Server di pubblicazione, Nome prodotto, Nome file, Nome pacchettoversione e Versione pacchetto per creare una regola personalizzata. |
Percorso
Questa condizione della regola identifica un'applicazione in base al percorso nel file system del computer o in rete.
AppLocker usa variabili di percorso personalizzate per percorsi noti, ad esempio Programmi e Windows.
La tabella seguente descrive in dettaglio queste variabili di percorso.
Directory o disco di Windows | Variabile di percorso di AppLocker | Variabile di ambiente Windows |
---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 e SysWOW64 | %SYSTEM32% | %SystemDirectory% |
Directory di installazione di Windows | %OSDRIVE% | %SystemDrive% |
Programmi | %PROGRAMFILES% | %ProgramFiles% e %ProgramFiles(x86)% |
Supporti rimovibili (ad esempio, un CD o un DVD) | %REMOVABLE% | |
Dispositivo di archiviazione rimovibile (ad esempio, un'unità flash USB) | %HOT% |
Importante
Poiché una condizione della regola di percorso può essere configurata per includere un numero elevato di cartelle e file, le condizioni del percorso devono essere pianificate con attenzione. Ad esempio, se una regola di percorso include un percorso di cartella che consente ai non amministratori di scrivere dati, un utente (o malware in esecuzione come utente standard) può copiare i file non approvati in tale percorso ed eseguire i file. Per questo motivo, è consigliabile evitare di creare condizioni di percorso per posizioni scrivibili utente standard, ad esempio un profilo utente.
Hash del file
Quando si sceglie la condizione della regola hash del file, il sistema calcola l'hash di crittografia Authenticode del file identificato. Il vantaggio di questa condizione della regola è che, poiché ogni file ha un hash univoco, una condizione della regola hash del file si applica a un solo file. Lo svantaggio è che ogni volta che il file viene aggiornato (ad esempio un aggiornamento della sicurezza o un aggiornamento) le modifiche hash del file. Di conseguenza, è necessario aggiornare manualmente le regole hash dei file.
Regole predefinite di AppLocker
I criteri di AppLocker creati con l'editor Criteri di gruppo AppLocker possono includere regole predefinite. Le regole predefinite hanno lo scopo di garantire che i file necessari per il corretto funzionamento di Windows siano consentiti in una raccolta di regole di AppLocker. Per informazioni in background, vedere Informazioni sulle regole predefinite di AppLocker e per i passaggi, vedere Creare regole predefinite di AppLocker.
I tipi di regola predefiniti eseguibili includono:
- Consentire ai membri del gruppo Administrators locale di eseguire tutte le app.
- Consenti ai membri del gruppo Everyone di eseguire app che si trovano nella cartella Windows.
- Consentire ai membri del gruppo Everyone di eseguire le app che si trovano nella cartella Programmi.
I tipi di regola predefiniti dello script includono:
- Consentire ai membri del gruppo Administrators locale di eseguire tutti gli script.
- Consentire ai membri del gruppo Everyone di eseguire script che si trovano nella cartella Programmi.
- Consenti ai membri del gruppo Everyone di eseguire script che si trovano nella cartella Windows.
I tipi di regole predefiniti di Windows Installer includono:
- Consentire ai membri del gruppo Administrators locale di eseguire tutti i file di Windows Installer.
- Consenti ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer firmati digitalmente.
- Consenti ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer che si trovano nella cartella Windows\Installer.
Tipi di regola predefiniti dll:
- Consentire ai membri del gruppo Administrators locale di eseguire tutte le DLL.
- Consentire ai membri del gruppo Everyone di eseguire DLL che si trovano nella cartella Programmi.
- Consenti ai membri del gruppo Everyone di eseguire DLL che si trovano nella cartella Windows.
Tipi di regole predefinite delle app in pacchetto:
- Consentire ai membri del gruppo Everyone di installare ed eseguire tutte le app in pacchetto firmate e i programmi di installazione delle app in pacchetto.
Comportamento delle regole di AppLocker
Se non vengono definite regole di AppLocker per una raccolta di regole specifica, tutti i file coperti da tale raccolta di regole possono essere eseguiti. Tuttavia, se esiste una regola per una raccolta di regole specifica, vengono eseguiti solo i file corrispondenti ad almeno una regola consentita e non corrispondenti a regole di negazione. Ad esempio, se si crea una regola eseguibile che consente l'esecuzione di .exe file in %SystemDrive%\FilePath , è possibile eseguire solo i file eseguibili che si trovano in tale percorso.
È possibile configurare una regola per l'uso di azioni consentite o negate:
- Consenti. È possibile specificare quali file possono essere eseguiti nell'ambiente e per quali utenti o gruppi di utenti. È anche possibile configurare le eccezioni per identificare i file esclusi dalla regola.
- Negare. È possibile specificare quali file non possono essere eseguiti nell'ambiente e per quali utenti o gruppi di utenti. È anche possibile configurare le eccezioni per identificare i file esclusi dalla regola.
Per una procedura consigliata, usare consenti azioni con eccezioni. Anche se è possibile usare una combinazione di azioni consenti e nega, le azioni negate vincono sempre. Non è possibile usare altre regole per consentire un file corrispondente a una regola di negazione.
Eccezioni delle regole
È possibile applicare le regole di AppLocker a singoli utenti o a un gruppo di utenti. Se si applica una regola a un gruppo di utenti, la regola influisce su tutti gli utenti del gruppo. Se è necessario consentire a un subset di un gruppo di utenti di usare un'app, è possibile creare una regola speciale per tale subset. Ad esempio, la regola "Consenti a tutti di eseguire Windows tranne registro Editor" consente a tutti gli utenti dell'organizzazione di eseguire il sistema operativo Windows, ma non consente a nessuno di eseguire Editor del Registro di sistema.
L'effetto di questa regola impedirebbe agli utenti, ad esempio al personale dell'Help Desk, di eseguire un programma necessario per le attività di supporto. Per risolvere questo problema, creare una seconda regola che si applica al gruppo di utenti dell'Help Desk: "Consenti all'Help Desk di eseguire il registro Editor". Se invece è stata usata una regola di negazione che impedisce a tutti gli utenti di eseguire Editor del Registro di sistema, la seconda regola in realtà non consente agli utenti dell'help desk di eseguire il Registro di sistema Editor.
Raccolta di regole DLL
Poiché la raccolta di regole DLL non è abilitata per impostazione predefinita, è necessario eseguire la procedura seguente prima di poter creare e applicare regole DLL.
L'appartenenza al gruppo Administrators locale, o equivalente, è il minimo necessario per completare questa procedura.
Per abilitare la raccolta di regole DLL
- Selezionare Start, digitare secpol.msc e quindi selezionare INVIO.
- Se viene visualizzata la finestra di dialogo Controllo account utente , verificare che l'azione visualizzata sia quella desiderata e quindi selezionare Sì.
- Nell'albero della console fare doppio clic su Criteri di controllo applicazione, fare clic con il pulsante destro del mouse su AppLocker e quindi scegliere Proprietà.
- Selezionare la scheda Avanzate , selezionare la casella di controllo Abilita la raccolta di regole DLL e quindi selezionare OK.
Importante
Prima di applicare le regole DLL, assicurarsi che siano presenti regole di autorizzazione per ogni DLL necessaria per tutte le app consentite.
Procedure guidate di AppLocker
È possibile creare regole usando due procedure guidate di AppLocker:
- La Creazione guidata regole consente di creare una regola alla volta.
- La Generazione guidata regole consente di creare più regole contemporaneamente. È possibile selezionare una cartella e consentire alla procedura guidata di creare regole per tutti i file pertinenti trovati. In alternativa, per le app in pacchetto, consentire alla procedura guidata di creare regole per tutte le app in pacchetto installate nel computer. È anche possibile specificare l'utente o il gruppo a cui applicare le regole. Questa procedura guidata genera automaticamente solo regole di autorizzazione.
Altre considerazioni
- Per impostazione predefinita, le regole di AppLocker non consentono agli utenti di aprire o eseguire file non consentiti. Gli amministratori devono mantenere un elenco aggiornato delle applicazioni consentite.
- Esistono due tipi di condizioni di AppLocker che non vengono mantenute dopo un aggiornamento di un'app:
- Una condizione hash del file Le condizioni delle regole hash dei file possono essere usate con qualsiasi app perché viene generato un valore hash di crittografia del file dell'app al momento della creazione della regola. Tuttavia, il valore hash è specifico di quella versione esatta del file. Se è necessario consentire più versioni del file, sono necessarie singole condizioni di hash del file per ogni versione del file.
- Una condizione del server di pubblicazione con un set di versioni del prodotto specifico Se si crea una condizione della regola di pubblicazione che usa l'opzione Esattamente versione, la regola non può essere mantenuta se è installata una nuova versione dell'app. È necessario creare una nuova condizione del server di pubblicazione oppure modificare la versione nella regola per essere resa meno specifica.
- Se un'app non è firmata digitalmente, non è possibile usare una condizione della regola di pubblicazione per l'app.
- Se vengono applicate regole per la raccolta di regole EXE, è necessario creare regole nella raccolta di regole delle app in pacchetto e dei programmi di installazione delle app in pacchetto. In caso contrario, tutte le app in pacchetto e i programmi di installazione delle app in pacchetto vengono bloccati.
- Un URL configurato personalizzato può essere incluso nel messaggio visualizzato quando un'app viene bloccata.
- Si prevede un aumento del numero di chiamate al supporto tecnico quando gli utenti riscontrano app non consentite.
Contenuto della sezione
Articolo | Descrizione |
---|---|
Creare una regola che usa una condizione Hash file | Questo articolo per i professionisti IT illustra come creare una regola di AppLocker con una condizione di hash del file. |
Creare una regola che usa una condizione Percorso | Questo articolo per i professionisti IT illustra come creare una regola di AppLocker con una condizione di percorso. |
Creare una regola che usa una condizione Autore | Questo articolo per i professionisti IT illustra come creare una regola di AppLocker con una condizione di pubblicazione. |
Creare le regole predefinite di AppLocker | Questo articolo per i professionisti IT descrive la procedura per creare un set standard di regole di AppLocker che consentono l'esecuzione dei file di sistema di Windows. |
Aggiungere eccezioni per una regola di AppLocker | Questo articolo per professionisti IT descrive i passaggi per specificare quali app possono o non possono essere eseguite come eccezioni a una regola di AppLocker. |
Creare una regola per le app in pacchetto | Questo articolo per i professionisti IT illustra come creare una regola di AppLocker per le app in pacchetto con una condizione di pubblicazione. |
Eliminare una regola di AppLocker | Questo articolo per professionisti IT descrive i passaggi per eliminare una regola di AppLocker. |
Modificare le regole di AppLocker | Questo articolo per i professionisti IT descrive i passaggi per modificare una regola del server di pubblicazione, una regola del percorso e una regola hash dei file in AppLocker. |
Abilitare la raccolta regole DLL | Questo articolo per i professionisti IT descrive i passaggi per abilitare la funzionalità di raccolta di regole DLL per AppLocker. |
Imporre le regole di AppLocker | Questo articolo per professionisti IT descrive come applicare le regole di controllo delle applicazioni usando AppLocker. |
Eseguire la procedura guidata Genera regole automaticamente | Questo articolo per professionisti IT descrive i passaggi per eseguire la procedura guidata per creare regole di AppLocker in un dispositivo di riferimento. |