Selezionare i tipi di regole da creare
Si applica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Questo argomento vengono elencate le risorse che è possibile utilizzare quando si selezionano le regole di criteri di controllo dell'applicazione tramite AppLocker.
Quando si stabilisce quali tipi di regole da creare per ognuno dei gruppi, è necessario determinare anche quale impostazione di imposizione da utilizzare per ogni gruppo. Diversi tipi di regole sono più adatte per alcune applicazioni, a seconda della modalità di distribuzione che le applicazioni in un gruppo aziendale specifico.
Gli argomenti seguenti forniscono ulteriori informazioni sulle regole di AppLocker che possono aiutare a decidere quali regole da utilizzare per le applicazioni:
Informazioni sulle azioni di negazione e assenso per le regole di AppLocker
Informazioni sui tipi di condizione delle regole di AppLockerInformazioni sui tipi di condizione regola di AppLocker
Selezionare la regola di raccolta
Le regole create sarà in uno degli insiemi di regole seguenti:
File eseguibili, con estensione exe e com
File di Windows Installer: file con estensione msi, msp e. mst
Script, con estensione ps1, bat, cmd, vbs e js
App in pacchetto e incluso nel pacchetto di programmi di installazione app:. AppX
DLL, con estensione dll e ocx
Nota
tipi di file con estensione AppX e. mst non sono applicabili per l'esecuzione in Windows Server 2008 R2 e Windows 7 di AppLocker.
Per impostazione predefinita, le regole consentirà un file da eseguire in base all'utente o di privilegi di gruppo. Se si usano regole DLL, è necessario creare una regola di assenso DLL per ogni DLL usata in tutte le applicazioni consentite. Per impostazione predefinita, la raccolta regole DLL non è abilitata.
Nell'esempio di Woodgrove Bank, l'applicazione line-of-business per il gruppo di business cassieri Bank è c:\Programmi\Microsoft Files\Woodgrove\Teller.exe e l'applicazione deve essere incluso in una regola. Inoltre, poiché questa regola fa parte di un elenco delle applicazioni consentite, tutti i file di Windows in C:\Windows devono essere inclusi anche.
Determinare la condizione della regola
Una condizione della regola è criteri su cui è basato su una regola di AppLocker e può essere solo una delle condizioni delle regole nella tabella seguente.
Condizione della regola |
Scenario di utilizzo |
Risorse |
|---|---|---|
Autore |
Per usare una condizione di autore, i file devono essere firmati digitalmente dall'autore di software oppure è necessario eseguire l'operazione usando un certificato interno. Quando viene rilasciata una nuova versione del file, può essere necessario aggiornare le regole specificate per il livello di versione. |
Per altre informazioni su questa condizione della regola, vedere Informazioni sulla condizione della regola dell'entità di pubblicazione in AppLocker. |
Path |
Qualsiasi file può essere assegnato a questa condizione della regola; tuttavia, dato che le regole di percorso specificano percorsi all'interno del file system, la regola interesserà anche qualsiasi sottodirectory (a meno che non venga esplicitamente esclusa). |
Per altre informazioni su questa condizione della regola, vedere Informazioni sulla condizione della regola percorso in AppLocker. |
Hash file |
Tutti i file possono essere assegnati a questa condizione della regola. Tuttavia, è necessario aggiornare la regola ogni volta che viene rilasciata una nuova versione del file perché il valore hash è parzialmente basato sulla versione. |
Per altre informazioni su questa condizione della regola, vedere Informazioni sulla condizione della regola Hash file in AppLocker. |
Nell'esempio di Woodgrove Bank, l'applicazione line-of-business per il gruppo aziendale cassieri Bank viene firmato e si trova in c:\Programmi\Microsoft Files\Woodgrove\Teller.exe. Pertanto, la regola può essere definita con una condizione di autore. Se viene definita la regola a una versione specifica e versioni successive (ad esempio, Teller.exe versione 8.0 e versioni successive), quindi in questo modo tutti gli aggiornamenti dell'applicazione in esecuzione senza interruzione dell'accesso agli utenti se l'applicazione del firmati e nome attributi rimanere lo stesso.
Determinare la modalità consentire l'esecuzione dei file system
Poiché le regole di AppLocker compila un elenco delle applicazioni consentite, è necessario creare una o più regole per consentire tutti i file di Windows per l'esecuzione. AppLocker fornisce un mezzo per verificare i file di sistema sono considerati correttamente nella raccolta regole generando le regole predefinite per ogni raccolta regole. È possibile usare le regole predefinite come modello per la creazione di regole personalizzate. Queste regole sono tuttavia concepite per funzionare solo come criteri iniziali quando si testano regole di AppLocker per la prima volta, in modo da consentire l'esecuzione dei file di sistema nelle cartelle di Windows. Quando viene creata una regola predefinita, viene indicato con "(regola predefinita)" nel nome visualizzato nell'insieme di regole.
È inoltre possibile creare una regola per i file di sistema in base alla condizione di percorso. Nell'esempio precedente, per il gruppo cassieri Bank, tutti i file di Windows si trovano sotto C:\Windows e possono essere definiti con il tipo di condizione regola percorso. Ciò consentirà l'accesso a questi file ogni volta che vengono applicati gli aggiornamenti e modificare i file. Per una maggiore sicurezza dell'applicazione, potrebbe essere necessario modificare le regole create dalla raccolta regole predefinite integrata. Ad esempio, la regola predefinita per consentire a tutti gli utenti di eseguire file con estensione nella cartella Windows si basa su una condizione relativa al percorso che permette l'esecuzione di tutti i file presenti nella cartella Windows. La cartella Windows contiene una sottocartella Temp per cui il gruppo User dispone delle autorizzazioni seguenti:
Visita cartella/Esecuzione file
Creazione file/Scrittura dati
Creazione cartelle/Aggiunta dati
Queste impostazioni delle autorizzazioni vengono applicate a questa cartella per garantire la compatibilità delle applicazioni. Dal momento, però, che qualsiasi utente può creare file in questo percorso, consentire l'esecuzione delle applicazioni da questo percorso potrebbe essere in conflitto con i criteri di sicurezza dell'organizzazione.
Passaggi successivi
Dopo aver selezionato i tipi di regole da creare, registrare i risultati come spiegato in Documentare le regole di AppLocker.
Dopo la registrazione dei risultati per le regole di AppLocker creare, è necessario considerare il modo applicare le regole. Per informazioni su come eseguire questa operazione, vedere Determinare i criteri di gruppo di struttura e imposizione della regola.