AppLocker
Questo articolo fornisce una descrizione di AppLocker e consente di decidere se l'organizzazione può trarre vantaggio dalla distribuzione dei criteri di AppLocker. AppLocker consente di controllare le app e i file che gli utenti possono eseguire. Sono inclusi file eseguibili, script, file di Windows Installer, librerie a collegamento dinamico (file DLL), app in pacchetto e programmi di installazione di app in pacchetto. AppLocker viene usato anche da alcune funzionalità di Controllo app per le aziende.
Nota
AppLocker è una funzionalità di sicurezza avanzata e non considerata una funzionalità di sicurezza di Windows difendibile. Il controllo delle app per le aziende deve essere usato quando l'obiettivo è fornire una protezione affidabile da una minaccia e non ci sono limitazioni by-design che impedirebbero alla funzionalità di sicurezza di raggiungere questo obiettivo.
Nota
Per impostazione predefinita, i criteri di AppLocker si applicano solo al codice avviato nel contesto di un utente. In Windows 10, Windows 11 e Windows Server 2016 o versioni successive, è possibile applicare i criteri di AppLocker ai processi non utente, inclusi quelli in esecuzione come SYSTEM. Per altre informazioni, vedere AppLocker rule collection extensions .for more information, see AppLocker rule collection extensions.
AppLocker consente di:
- Definire regole basate su attributi di file che rimangono invariate anche in caso di aggiornamento delle app, ad esempio nome dell'autore (derivato dalla firma digitale), nome del prodotto, nome di file e versione del file. Puoi anche creare regole basate sul percorso di file o sull'hash.
- Assegnare una regola a un gruppo di sicurezza o a un singolo utente.
- Creare eccezioni alle regole. Ad esempio, puoi creare una regola che consenta a tutti gli utenti di eseguire tutti i file binari di Windows, tranne l'Editor del Registro di sistema (regedit.exe).
- Usare la modalità di solo controllo per distribuire i criteri e comprenderne l'effetto prima di applicarli.
- Creare regole in un server di gestione temporanea, testarle e quindi esportarle nell'ambiente di produzione e importarle in un oggetto Criteri di gruppo.
- Creare e gestire le regole di AppLocker usando Windows PowerShell.
AppLocker consente di impedire agli utenti di eseguire app non approvate. AppLocker risolve gli scenari di controllo delle app seguenti:
- Inventario applicazioni: AppLocker ha la possibilità di applicare i criteri in una modalità di solo controllo in cui tutte le attività di avvio dell'app sono consentite ma registrate nei log eventi. Questi eventi possono essere raccolti per poter essere ulteriormente analizzati. Anche i cmdlet di Windows PowerShell consentono di analizzare questi dati a livello di programmazione.
- Protezione da software indesiderato: AppLocker ha la possibilità di negare l'esecuzione delle app quando le escludi dall'elenco delle app consentite. Quando le regole di AppLocker vengono applicate nell'ambiente di produzione, l'esecuzione di tutte le app non incluse nelle regole consentite viene bloccata.
- Conformità alle licenze: AppLocker consente di creare regole che impediscono l'esecuzione del software senza licenza e di limitare il software concesso in licenza agli utenti autorizzati.
- Standardizzazione del software: i criteri di AppLocker possono essere configurati per consentire l'esecuzione solo di app supportate o approvate nei computer all'interno di un gruppo aziendale. Questa configurazione consente una distribuzione dell'app più uniforme.
Quando utilizzare AppLocker
In molte organizzazioni le informazioni rappresentano la risorsa più preziosa ed è imperativo garantire che solo utenti approvati dispongano dell'accesso a tali informazioni. Le tecnologie di controllo dell'accesso, ad esempio Active Directory Rights Management Services (AD RMS) e gli elenchi di controllo di accesso (ACL), semplificano il controllo degli utenti autorizzati ad accedere a dati specifici.
Tuttavia, quando un utente esegue un processo, tale processo ha lo stesso livello di accesso ai dati dell'utente. Di conseguenza, le informazioni sensibili potrebbero essere facilmente eliminate o trasmesse all'esterno dell'organizzazione se un utente esegue software non autorizzato, incluso il malware. AppLocker consente di attenuare questi tipi di problemi di sicurezza limitando i file che gli utenti o i gruppi possono eseguire. Poiché AppLocker può controllare DLL e script, è anche utile controllare chi può installare ed eseguire i controlli ActiveX.
AppLocker è ideale per le organizzazioni che attualmente usano criteri di gruppo per gestire i propri PC.
Ecco alcuni esempi di scenari in cui AppLocker può essere usato:
- I criteri di sicurezza dell'organizzazione determinano l'uso solo di software concesso in licenza e devi impedire agli utenti di eseguire software senza licenza e limitare l'uso di software concesso in licenza solo agli utenti autorizzati.
- Un'app non è più supportata dall'organizzazione e devi evitare che tutti gli utenti la usino.
- Il rischio che il software indesiderato possa essere introdotto nell'ambiente in uso è elevato e devi ridurre questo rischio.
- La licenza per un'app viene revocata o scaduta nell'organizzazione, quindi è necessario impedirne l'uso da parte di tutti.
- Una nuova app o una nuova versione di un'app viene distribuita e devi impedire agli utenti di eseguire la versione precedente.
- Strumenti software specifici non sono consentiti all'interno dell'organizzazione o solo utenti specifici devono avere accesso a tali strumenti.
- Un singolo utente o un gruppo ristretto di utenti deve usare un'app specifica negata a tutti gli altri.
- Alcune persone dell'organizzazione che richiedono software diverso condividono un computer ed è necessario proteggere app specifiche.
- Oltre ad altre misure devi controllare l'accesso a dati sensibili tramite l'uso di app.
AppLocker consente di proteggere le risorse digitali all'interno dell'organizzazione, ridurre il rischio di introduzione di software dannoso nell'ambiente in uso e migliorare la gestione del controllo delle applicazioni e la manutenzione dei criteri di controllo delle applicazioni.
Installazione di AppLocker
AppLocker è incluso in tutte le edizioni di Windows tranne Windows 10 versione 1809 o precedente. Puoi creare regole di AppLocker per un singolo computer o per un gruppo di computer. Per un singolo computer, puoi creare regole usando l'editor Criteri di sicurezza locali (secpol.msc). Per un gruppo di computer, puoi creare regole all'interno di un oggetto Criteri di gruppo usando Console Gestione Criteri di gruppo (GPMC).
Nota
Console Gestione Criteri di gruppo è disponibile nei computer client che eseguono Windows solo installando gli strumenti di amministrazione remota del server. Nei computer che eseguono Windows Server, devi installare la funzionalità Gestione Criteri di gruppo.
Uso di AppLocker nelle installazioni Server Core
AppLocker nelle installazioni server core non è supportato.
Considerazioni sulla virtualizzazione
Puoi amministrare i criteri di AppLocker tramite un'istanza virtualizzata di Windows a condizione che soddisfi tutti i requisiti di sistema elencati in precedenza. Puoi anche eseguire Criteri di gruppo in un'istanza virtualizzata. Tuttavia, si rischia di perdere i criteri creati e mantenuti se l'istanza virtualizzata viene rimossa o ha esito negativo.
Considerazioni sulla sicurezza
I criteri di controllo delle applicazioni specificano le app che possono essere eseguite nel computer locale. Le varie forme che un software dannoso può assumere rendono estremamente difficile per gli utenti sapere gli elementi la cui esecuzione è sicura. Se attivato, il software dannoso può compromettere seriamente il contenuto di un'unità disco rigido, intasare una rete con richieste a causa di un attacco Denial of Service (DoS), inviare informazioni riservate a Internet o violare la sicurezza di un computer.
La contromisura consiste nel creare una progettazione audio per i criteri di controllo delle applicazioni nei PC dell'organizzazione. AppLocker può essere incluso in una strategia di controllo delle app perché puoi controllare i software per i quali l'esecuzione è consentita nei computer.
Un'implementazione difettosa dei criteri di controllo delle applicazioni può disabilitare applicazioni necessarie o consentire l'esecuzione di software dannosi o indesiderati. È consigliabile testare accuratamente i criteri in un ambiente lab prima di distribuirli nell'ambiente di produzione. È anche importante che le organizzazioni dedichino risorse sufficienti per gestire e risolvere i problemi di implementazione di tali criteri.
Per altre informazioni su problemi di sicurezza specifici, vedere Considerazioni sulla sicurezza per AppLocker. Durante l'uso di AppLocker per la creazione di criteri di controllo delle applicazioni, prestare attenzione alle seguenti considerazioni sulla sicurezza:
- Chi dispone del diritto di impostare i criteri di AppLocker?
- Come si fa a verificare che i criteri vengono imposti?
- Quali eventi dovresti controllare?
Come riferimento per la fase di pianificazione della sicurezza, nella tabella seguente sono riportate le impostazioni di base per un PC con AppLocker installato:
Impostazione | Valore predefinito |
---|---|
Account creati | Nessuna |
Metodo di autenticazione | Non applicabile |
Interfacce di gestione | AppLocker può essere gestito tramite Gestione Criteri di gruppo, uno snap-in Microsoft Management Console, e Windows PowerShell. |
Porte aperte | Nessuna |
Sono necessari privilegi minimi | Amministratore nel computer locale; amministratore del dominio o qualsiasi insieme di diritti che consentono di creare, modificare e distribuire gli oggetti Criteri di gruppo. |
Protocolli usati | Non applicabile |
Attività pianificate | Appidpolicyconverter.exe è inserito in un'attività pianificata per venire eseguito su richiesta. |
Criteri di sicurezza | Nessun criterio richiesto AppLocker crea i criteri di sicurezza. |
Servizi di sistema richiesti | Il servizio Identità applicazione (appidsvc) viene eseguito in LocalServiceAndNoImpersonation. |
Archiviazione delle credenziali | Nessuno |
Contenuto della sezione
Articolo | Descrizione |
---|---|
Amministrare AppLocker | Questo articolo per i professionisti IT fornisce collegamenti a procedure specifiche da usare durante l'amministrazione dei criteri di AppLocker. |
Guida alla progettazione di AppLocker | Questo articolo per il professionista IT presenta i passaggi di progettazione e pianificazione necessari per distribuire i criteri di controllo delle applicazioni usando AppLocker. |
Guida alla distribuzione di AppLocker | Questo articolo per i professionisti IT presenta i concetti e descrive i passaggi necessari per distribuire i criteri di AppLocker. |
Documentazione tecnica su AppLocker | Questo articolo di panoramica per i professionisti IT fornisce collegamenti agli articoli di riferimento tecnico. |