Raccolte di regole
Lo snap-in Microsoft Management Console (MMC) di AppLocker è organizzato in quattro aree definite raccolte di regole e suddivise in file eseguibili, script, file di Windows Installer e file DLL. Grazie a tali raccolte l'amministratore può differenziare facilmente le regole per i diversi tipi di applicazioni. Nella tabella seguente sono elencati i formati di file inclusi in ogni raccolta di regole.
 | Nota |
Per impostazione predefinita, la raccolta di regole DLL non è abilitata. Per informazioni su come abilitarla, vedere Imporre le regole di AppLocker. |
| Raccolta regole | Formati file associati |
|---|---|
Eseguibile |
exe com |
Script |
ps1 bat cmd vbs js |
Windows Installer |
msi msp |
DLL |
dll ocx |
 | Importante |
Se si utilizzano regole DLL, è necessario creare una regola di assenso DLL per ogni DLL utilizzata in tutte le applicazioni consentite. |
 | Attenzione |
Quando si utilizzano regole DLL, AppLocker deve controllare ogni DLL caricata in un'applicazione. È pertanto possibile che gli utenti rilevino un calo delle prestazioni se vengono utilizzate regole DLL. |
Condizioni per le regole
Le condizioni per le regole sono criteri sui quali si basano le regole di AppLocker. Per creare una regola di AppLocker sono necessarie condizioni primarie. Le tre condizioni primarie per le regole sono autore, percorso e hash file.
Autore
Questa condizione identifica un'applicazione in base alla firma digitale e agli attributi estesi a essa associati. La firma digitale contiene informazioni sulla società che ha creato l'applicazione (autore). Gli attributi estesi, ottenuti dalla risorsa binaria, contengono il nome del prodotto di cui fa parte l'applicazione e il numero di versione dell'applicazione. L'autore può essere una società di sviluppo software, ad esempio Microsoft, o il reparto IT dell'organizzazione.
| Nota |
Se possibile, utilizzare una condizione di autore. Tali condizioni possono essere create per garantire il funzionamento delle applicazioni anche se la posizione dell'applicazione cambia o se l'applicazione viene aggiornata. |
Quando si seleziona un file di riferimento per una condizione di autore, durante la procedura guidata viene creata una regola che specifica l'autore, il prodotto, il nome file e il numero di versione. È possibile rendere più generica la regola spostando il dispositivo di scorrimento verso il basso o utilizzando un carattere jolly (*) nel campo relativo al prodotto, al nome file o al numero di versione.
| Nota |
Per immettere valori personalizzati durante la creazione di una regola nella procedura guidata Crea regole, è necessario selezionare la casella di controllo Usa valori personalizzati. Quando si seleziona questa casella di controllo, non è possibile utilizzare il dispositivo di scorrimento per rendere la regola più o meno specifica. |
La versione file controlla se un utente può eseguire una versione specifica, versioni precedenti o versioni successive. È possibile scegliere un numero di versione e quindi configurare le opzioni seguenti:
- Corrispondenza esatta. La regola viene applicata solo alla versione corrente dell'applicazione.
- E versioni successive. La regola viene applicata alla versione corrente e a tutte le versioni successive.
- E versioni precedenti. La regola viene applicata alla versione corrente e a tutte le versioni precedenti.
Nella tabella seguente viene descritta la modalità di applicazione di una condizione di autore.
| Opzione | La condizione di autore consente o nega… | |
|---|---|---|
Tutti i file firmati | Tutti i file firmati da un autore. | |
Solo autore | Tutti i file firmati dall'autore denominato. | |
Autore e nome di prodotto | Tutti i file del prodotto specificato firmati dall'autore denominato. | |
Autore, nome di prodotto e nome di file | Una versione del file denominato per il prodotto denominato firmato dall'autore. | |
Autore, nome di prodotto, nome di file e versione del file | Corrispondenza esatta | La versione specificata del file denominato per il prodotto denominato firmato dall'autore. |
Autore, nome di prodotto, nome di file e versione del file | E versioni successive | La versione specificata del file denominato e tutte le nuove versioni del prodotto firmate dall'autore. |
Autore, nome di prodotto, nome di file e versione del file | E versioni precedenti | La versione specificata del file denominato e tutte le versioni precedenti del prodotto firmate dall'autore. |
Personalizzata | È possibile modificare i campi Autore, Nome prodotto, Nome file e Versione per creare una regola personalizzata. | |
Percorso
Questa condizione identifica un'applicazione in base alla relativa posizione nel file system del computer o nella rete.
In AppLocker vengono utilizzate variabili di percorso per le directory di Windows.
| Nota |
Sebbene due di queste variabili di percorso utilizzino un formato identico a quello delle variabili di ambiente di Windows, non sono variabili di ambiente. AppLocker è in grado di interpretare solo le variabili di percorso di AppLocker. |
Nella tabella seguente sono contenute informazioni dettagliate sulle variabili di percorso.
| Directory o unità di Windows | Variabile di percorso di AppLocker | Variabile di ambiente di Windows |
|---|---|---|
Windows | %WINDIR% | %SystemRoot% |
System32 | %SYSTEM32% | %SystemDirectory% |
Directory di installazione di Windows | %OSDRIVE% | %SystemDrive% |
File di programma | %PROGRAMFILES% | %ProgramFiles% e %ProgramFiles(x86)% |
Supporti rimovibili, ad esempio CD o DVD | %REMOVABLE% | |
Dispositivo di archiviazione rimovibile, ad esempio un'unità flash USB | %HOT% |
| Importante |
Le condizioni di percorso possono essere configurate in modo da includere un numero elevato di cartelle e file ed è pertanto consigliabile pianificarle con molta attenzione. Se, ad esempio, una regola di assenso con una condizione di percorso include un percorso di cartella in cui gli utenti non amministratori possono scrivere dati, è possibile che un utente effettui una copia di file non approvati in tale percorso ed esegua quindi i file. Per questo motivo è consigliabile non creare condizioni di percorso per posizioni scrivibili dagli utenti standard, ad esempio un profilo utente. |
Hash file
Quando si sceglie una condizione di hash file, nel sistema viene calcolato un hash di crittografia del file identificato.
Regole di AppLocker predefinite
AppLocker consente di generare regole predefinite per ogni tipo di regola.
Tipi di regole eseguibili predefinite:
- Consente ai membri del gruppo Administrators locale di eseguire tutte le applicazioni.
- Consente ai membri del gruppo Everyone di eseguire le applicazioni memorizzate nella cartella Windows.
- Consente ai membri del gruppo Everyone di eseguire le applicazioni memorizzate nella cartella Programmi.
Tipi di regole di Windows Installer predefinite:
- Consente ai membri del gruppo Administrators locale di eseguire tutti i file di Windows Installer.
- Consente ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer firmati digitalmente.
- Consente ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer nella directory Windows\Installer.
Tipi di regole script predefinite:
- Consente ai membri del gruppo Administrators locale di eseguire tutti gli script.
- Consente ai membri del gruppo Everyone di eseguire gli script presenti nella cartella Programmi.
- Consente ai membri del gruppo Everyone di eseguire gli script presenti nella cartella Windows.
Tipi di regole DLL predefinite:
- Consente ai membri del gruppo Administrators locale di caricare tutte le DLL.
- Consente ai membri del gruppo Everyone di caricare le DLL presenti nella cartella Programmi.
- Consente ai membri del gruppo Everyone di caricare le DLL presenti nella cartella Windows.
Per ulteriori informazioni, vedere Creare regole predefinite di AppLocker.
Comportamento delle regole di AppLocker
Se per una determinata raccolta di regole non esistono regole di AppLocker, è consentita l'esecuzione di tutti i file con tale formato. Quando, tuttavia, si crea una regola di AppLocker per una specifica raccolta di regole, sarà possibile eseguire solo i file esplicitamente consentiti nella regola. Se, ad esempio, si crea una regola di eseguibile che consente l'esecuzione dei file exe nel percorso %SystemDrive%\FilePath, sarà consentita l'esecuzione solo dei file eseguibili contenuti nel percorso specificato.
È possibile configurare una regola per l'utilizzo di un'azione di assenso o negazione:
- Consenti. È possibile specificare i file per i quali è consentita l'esecuzione nel proprio ambiente, nonché gli utenti o i gruppi di utenti che possono eseguirli. È inoltre possibile configurare eccezioni per identificare i file esclusi dalla regola.
- Nega. È possibile specificare i file per i quali not è consentita l'esecuzione nel proprio ambiente, nonché gli utenti o i gruppi di utenti che non possono eseguirli. È inoltre possibile configurare eccezioni per identificare i file esclusi dalla regola.
| Importante |
È possibile utilizzare una combinazione di azioni di assenso e negazione. È tuttavia consigliabile utilizzare azioni di assenso con eccezioni in quanto le azioni di negazione sostituiscono le azioni di assenso in tutti i casi. Le azioni di negazione possono inoltre essere aggirate. |
Eccezioni alle regole
È possibile applicare regole di AppLocker a singoli utenti o a un gruppo di utenti. Se si applica una regola a un gruppo di utenti, la regola avrà effetto su tutti gli utenti del gruppo. Se si desidera consentire l'utilizzo di un'applicazione a un sottoinsieme di un gruppo di utenti, è possibile creare una regola speciale per tale sottoinsieme. La regola "Consenti al gruppo Everyone di eseguire Windows tranne l'editor del Registro di sistema" consente, ad esempio, l'esecuzione di Windows a tutti gli utenti dell'organizzazione ma impedisce di eseguire l'Editor del Registro di sistema. Questa regola avrebbe come effetto quello di impedire a utenti come il personale del supporto tecnico di eseguire un programma indispensabile per le proprie attività di supporto. Per risolvere questo problema, è necessario creare una seconda regola applicabile al gruppo di utenti del supporto tecnico: "Consenti al supporto tecnico di eseguire l'editor del Registro di sistema". Se si crea una regola di negazione che non consente agli utenti di eseguire l'editor del Registro di sistema, tale regola sostituirà la seconda regola che ne consente invece l'esecuzione da parte del gruppo di utenti del supporto tecnico.
Procedure guidate di AppLocker
È possibile creare regole personalizzate in due modi diversi:
- La procedura guidata Crea regole consente di creare una regola alla volta. Per ulteriori informazioni, vedere Creare una regola di AppLocker.
- La procedura guidata Genera regole automaticamente consente di selezionare una cartella, un utente o un gruppo al quale applicare la regola e quindi creare molte regole contemporaneamente per tale cartella. Utilizzando tale procedura è possibile generare automaticamente solo regole di assenso. Per ulteriori informazioni, vedere Generare automaticamente regole di AppLocker.
Ulteriori considerazioni
- Per impostazione predefinita, le regole di AppLocker non consentono agli utenti di aprire o eseguire file che non sono specificamente consentiti. Gli amministratori devono mantenere un elenco aggiornato delle applicazioni consentite.
- Esistono due tipi di condizioni di AppLocker che non vengono mantenute in seguito a un aggiornamento:
- Condizione di hash file. Le condizioni di hash file possono essere utilizzate con qualsiasi applicazione in quanto durante la creazione della regola viene generato un valore hash di crittografia dell'applicazione. Il valore hash è tuttavia specifico di quella determinata versione dell'applicazione. Se nell'organizzazione vengono utilizzate diverse versioni dell'applicazione, è necessario creare condizioni di hash file per ogni versione in uso e per tutte le eventuali nuove versioni rilasciate.
- Una condizione di autore con una specifica versione di prodotto impostata. Se si crea una condizione di autore che utilizza l'opzione di condizione file Corrispondenza esatta, non è possibile rendere persistente la regola se viene installata una nuova versione dell'applicazione. Sarà necessario creare una nuova condizione di autore o modificare la versione della regola in modo da renderla meno specifica.
- Condizione di hash file. Le condizioni di hash file possono essere utilizzate con qualsiasi applicazione in quanto durante la creazione della regola viene generato un valore hash di crittografia dell'applicazione. Il valore hash è tuttavia specifico di quella determinata versione dell'applicazione. Se nell'organizzazione vengono utilizzate diverse versioni dell'applicazione, è necessario creare condizioni di hash file per ogni versione in uso e per tutte le eventuali nuove versioni rilasciate.
- Se un'applicazione non dispone di una firma digitale, non è possibile utilizzare una condizione di autore.
- Le regole di AppLocker non possono essere utilizzate per gestire i computer che eseguono un sistema operativo Windows precedente a Windows 7. In questi casi è necessario utilizzare Criteri restrizione software.
- Se si definiscono regole di AppLocker in un oggetto Criteri di gruppo, verranno applicate solo queste regole. Per garantire l'interoperabilità tra le regole di Criteri restrizione software e le regole di AppLocker, definire le regole di Criteri restrizione software e le regole di AppLocker in oggetti Criteri di gruppo diversi.
- Quando una regola di AppLocker è impostata su Controlla soltanto, la regola non viene imposta. Quando un utente esegue un'applicazione inclusa nella regola, l'applicazione viene aperta ed eseguita normalmente e vengono aggiunte informazioni sull'applicazione nel registro eventi di AppLocker.
- È possibile includere nel messaggio un URL configurato personalizzato da visualizzare quando un'applicazione viene bloccata.
- È prevedibile un incremento nel numero di chiamate al supporto tecnico relative alle applicazioni bloccate. Quando gli utenti cominciano a capire che non possono eseguire applicazioni non consentite, il numero di chiamate al supporto tecnico dovrebbe ridursi.
Ulteriori riferimenti