Introduzione ad AppLocker

Criteri di restrizione software è stato introdotto in Windows XP per permettere agli amministratori di controllare il software di cui è consentita l'esecuzione nei computer che gestiscono. In Windows Server 2008 R2 e in alcune edizioni di Windows 7 è disponibile la versione più avanzata di Criteri di restrizione software, ovvero AppLocker.

Regole dell'entità di pubblicazione

In AppLocker è possibile creare regole per uno specifico nome di prodotto, ad esempio per consentire l'esecuzione delle versioni di Adobe Acrobat successive alla 7.0. Con una regola di questo tipo non è necessario modificare la regola hash ogni volta che l'applicazione viene aggiornata né verificare il diritto associato al percorso dell'eseguibile o il diritto di accesso di un utente per la scrittura su tale percorso. Una regola di questo tipo può essere generale o specifica, a seconda dei criteri selezionati: entità di pubblicazione, nome prodotto, nome file o versione. Le informazioni su cui si basa la regola vengono raccolte dalla firma digitale dell'applicazione.

Struttura di regole semplificata

In AppLocker non esistono complesse regole di precedenza per diversi tipi di regola, ad esempio percorso o hash. Tutte le regole di negazione hanno la precedenza sulle regole di assenso, a prescindere dal tipo di regola. Se si crea una regola di assenso in AppLocker, sarà consentita l'esecuzione degli elementi consentiti, a meno che non esista una regola di negazione che nega espressamente l'elemento.

Regole utente che possono essere imposte indipendentemente dal fatto che l'utente abbia effettuato l'accesso in modo interattivo o meno

Con Criteri di restrizione software è possibile utilizzare regole mirate per determinati utenti impostando tali regole in un criterio utente specifico. Questo comporta che un amministratore del supporto tecnico che amministra il desktop di un utente da una postazione remota è soggetto alle regole predefinite del computer e non può eseguire strumenti di amministrazione o altri programmi specificatamente consentiti. In AppLocker le regole utente vengono imposte indipendentemente dal fatto che l'utente abbia effettuato l'accesso in modo interattivo o meno.

Possibilità di impostare criteri separati per file EXE, file MSI, script e DLL

In Criteri di restrizione software, se si consente l'esecuzione di file in un determinato percorso, possono essere eseguiti anche i file MSI o gli script nello stesso percorso. In AppLocker l'amministratore desktop deve solo creare regole per lo specifico scenario di blocco. Questo significa che le regole per gli eseguibili vengono applicate al codice eseguibile, mentre le regole percorso create per i programmi eseguibili non vengono applicate alle DLL. Per controllare il comportamento delle DLL, è necessario creare una regola DLL. Questa suddivisione consente agli amministratori desktop di determinare più facilmente le modalità di imposizione delle proprie regole.

Modalità di solo controllo

In AppLocker è possibile abilitare la modalità di solo controllo, che consente di verificare in che modo le regole verrebbero applicate senza imporle effettivamente.

Creazione guidata delle regole

In AppLocker è possibile utilizzare una procedura di creazione guidata regole per generare regole che consentano l'esecuzione di tutte le applicazioni in una cartella specifica.

Per ulteriori informazioni sulle funzionalità nuove e modificate, vedere Novità di AppLocker in Windows Server 2008 R2.

Per ulteriori informazioni sull'utilizzo di AppLocker, vedere il file della Guida Applocker_help.chm.