Panoramica tecnica di AppLocker
Si applica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Questa panoramica tecnica per i professionisti IT fornisce una descrizione di AppLocker. Queste informazioni sono utili per decidere se l'organizzazione può trarre vantaggio dalla distribuzione dei criteri di controllo delle applicazioni AppLocker. AppLocker consente agli amministratori di controllare quali applicazioni e file possono essere eseguiti dagli utenti Sono inclusi file eseguibili, script, file di Windows Installer, file DLL (Dynamic-Link Library), app in pacchetto e programmi di installazione app in pacchetto.
Suggerimento
Per salvare o stampare pagine di questa libreria in forma digitale, fare clic su Esporta (nell'angolo in alto a destra della pagina) e quindi seguire le istruzioni.
Funzionalità di AppLocker
Utilizzando AppLocker è possibile:
Definire regole basate su attributi di file che restano permanenti negli aggiornamenti delle applicazioni, ad esempio nome dell'autore (derivato dalla firma digitale), nome del prodotto, nome del file e versione del file. È inoltre possibile creare regole basate sul percorso e l'hash del file.
Assegnare una regola a un gruppo di sicurezza o a un singolo utente.
Creare eccezioni alle regole. È possibile, ad esempio, creare una regola che consenta a tutti gli utenti di eseguire tutti i file binari di Windows ad eccezione dell'editor del Registro di sistema (Regedit.exe).
Utilizzare la modalità di solo controllo per distribuire i criteri e comprenderne l'impatto prima di imporli.
Creare le regole in un server di gestione temporanea, sottoporle a test e quindi esportarle nell'ambiente di produzione e importarle in un oggetto Criteri di gruppo.
Semplificare la creazione e gestione delle regole di AppLocker tramite cmdlet di Windows PowerShell per AppLocker.
AppLocker consente di ridurre il sovraccarico amministrativo e il costo dell'organizzazione per la gestione delle risorse di elaborazione, diminuendo il numero di chiamate all'assistenza tecnica derivanti dall'esecuzione di applicazioni non approvate da parte degli utenti. AppLocker è concepito per gli scenari di sicurezza delle applicazioni seguenti:
Inventario delle applicazioni
AppLocker consente di imporre i criteri in una modalità solo controllo dove tutte le attività di accesso alle applicazioni vengono registrate nei registri eventi. Tali eventi possono essere raccolti per un'ulteriore analisi. I cmdlet di Windows PowerShell consentono inoltre di analizzare i dati a livello di programmazione.
Protezione da software indesiderato
AppLocker consente di impedire l'esecuzione delle applicazioni semplicemente escludendole dall'elenco delle applicazioni consentite. Quando le regole di AppLocker vengono imposte nell'ambiente di produzione, l'esecuzione delle applicazioni non incluse nelle regole di assenso viene bloccata.
Conformità delle licenze
AppLocker consente di creare regole che impediscono l'esecuzione di software non concesso in licenza e di limitare l'utilizzo del software concesso in licenza solo agli utenti autorizzati.
Standardizzazione del software
È possibile configurare i criteri di AppLocker in modo da consentire l'esecuzione delle sole applicazioni supportate o approvate nei computer all'interno di un gruppo aziendale. In tal modo è possibile eseguire una distribuzione delle applicazioni più uniforme.
Miglioramento della facilità di gestione
AppLocker include numerosi miglioramenti in termini di gestibilità rispetto al suo predecessore, Criteri restrizione software. L'importazione e l'esportazione di criteri, la generazione automatica di regole da più file, la distribuzione in modalità solo controllo e i cmdlet di Windows PowerShell sono solo alcuni dei miglioramenti rispetto a Criteri restrizione software.
Quando utilizzare AppLocker
In molte organizzazioni le informazioni rappresentano la risorsa più preziosa ed è imperativo garantire che solo utenti approvati dispongano dell'accesso a tali informazioni. Le tecnologie del controllo dell'accesso quali Active Directory Rights Management Services (AD RMS) e gli elenchi di controllo di accesso (ACL) contribuiscono al controllo degli utenti a cui è consentito l'accesso.
Quando tuttavia un utente esegue un processo, il processo dispone dello stesso livello di accesso ai dati dell'utente. Di conseguenza, è possibile che informazioni riservate vengano eliminate o trasmesse all'esterno dell'organizzazione se un utente, consapevolmente o meno, esegue software dannoso. AppLocker consente di ridurre questi tipi di violazioni di sicurezza limitando i file che possono essere eseguiti da utenti o gruppi.
Gli autori di software hanno iniziato a creare un maggior numero di applicazioni che possono essere installate dagli utenti non amministrativi. Ciò può compromettere i criteri di sicurezza scritti di un'organizzazione e aggirare le soluzioni di controllo delle applicazioni tradizionali che si basano sul blocco dell'installazione delle applicazioni per gli utenti. AppLocker contribuisce a impedire l'esecuzione di applicazioni per utente poiché permette agli amministratori di creare un elenco consentito di file e applicazioni approvati. Poiché AppLocker può controllare le DLL, è utile anche per il controllo degli utenti che possono installare ed eseguire i controlli ActiveX.
AppLocker è la soluzione ideale per le organizzazioni che attualmente utilizzano Criteri di gruppo per gestire i computer basati su Windows. Dal momento che AppLocker si basa su Criteri di gruppo per la creazione e la distribuzione, è consigliabile avere esperienza con Criteri di gruppo se si prevede di usare AppLocker.
Di seguito sono riportati esempi di scenari in cui è possibile utilizzare AppLocker:
I criteri di sicurezza dell'organizzazione impongono l'utilizzo del solo software concesso in licenza, pertanto è necessario impedire agli utenti di eseguire software non concesso in licenza e di limitare l'uso del software concesso in licenza ai soli utenti autorizzati.
Un'applicazione non è più supportata dall'organizzazione, pertanto è necessario impedirne l'utilizzo da parte degli utenti.
Il rischio di introduzione di software indesiderato nell'ambiente è elevato, pertanto è necessario contenere questa minaccia.
La licenza per un'applicazione è stata revocata o è scaduta, quindi è necessario impedirne l'utilizzo da parte degli utenti.
Una nuova applicazione o una nuova versione di un'applicazione viene distribuita ed è necessario impedire agli utenti di eseguire la versione precedente.
Strumenti software specifici non sono consentiti all'interno dell'organizzazione oppure solo utenti specifici dispongono dell'accesso a questi strumenti.
Un solo utente o un piccolo gruppo di utenti deve utilizzare una specifica applicazione che è bloccata per tutti gli altri utenti.
Alcuni computer dell'organizzazione sono condivisi da persone che hanno esigenze diverse per l'utilizzo del software ed è necessario proteggere applicazioni specifiche.
Oltre ad altre misure, è necessario controllare l'accesso ai dati riservati tramite l'utilizzo dell'applicazione.
AppLocker consente di proteggere le risorse digitali all'interno dell'organizzazione, ridurre la minaccia dell'introduzione di software dannosi nell'ambiente e migliorare la gestione del controllo delle applicazioni e la manutenzione dei criteri di controllo delle applicazioni.
Versioni, interoperabilità e differenze in termini di funzionalità
Versioni supportate e considerazioni sull'interoperabilità
È possibile configurare e applicare i criteri di AppLocker solo su computer che eseguono le versioni e le edizioni supportate del sistema operativo Windows. Per altre informazioni, vedere Requisiti per l'utilizzo di AppLocker.
Differenze di funzionalità nelle diverse versioni
Nella tabella seguente sono descritte le differenze delle principali funzionalità o funzioni di AppLocker base alla versione del sistema operativo:
| Funzione o funzionalità | Windows Server 2008 R2 e Windows 7 | R2 per Windows Server 2012, Windows Server 2012, Windows 8.1 e Windows 8 |
|---|---|---|
| Possibilità di impostare regole per app in pacchetto e programmi di installazione app in pacchetto. | No | Sì |
| I criteri di AppLocker vengono gestiti tramite Criteri di gruppo e solo l'amministratore del computer può aggiornare i criteri di AppLocker. | Sì | Sì |
| AppLocker consente la personalizzazione dei messaggi di errore, in modo che gli amministratori possano indirizzare gli utenti a una pagina Web di guida. | Sì | Sì |
| Possibilità di funzionare in abbinamento con Criteri restrizione software (usando oggetti Criteri di gruppo separati). | Sì | Sì |
| AppLocker supporta un piccolo set di cmdlet di Windows PowerShell per semplificare l'amministrazione e la gestione. | Sì | Sì |
| Le regole di AppLocker consentono di controllare i formati di file seguenti. | - exe - .com - PS1 - bat - cmd - vbs - js - msi - msp - dll - ocx |
- exe - .com - PS1 - bat - cmd - vbs - js - msi - msp - mst - dll - ocx - appx |
Per informazioni sul confronto delle funzioni di controllo delle applicazioni in Criteri restrizione software e AppLocker e sull'uso combinato delle due funzionalità, vedere Utilizzo di AppLocker e criteri di restrizione Software nello stesso dominio.
Requisiti di sistema
È possibile configurare e applicare i criteri di AppLocker solo su computer che eseguono le versioni e le edizioni supportate del sistema operativo Windows. La funzionalità Criteri di gruppo è necessaria per distribuire oggetti Criteri di gruppo che contengono criteri di AppLocker. Per altre informazioni, vedere Requisiti per l'utilizzo di AppLocker.
È possibile creare regole di AppLocker nei controller di dominio.
Nota
La possibilità di creare e imporre regole per app in pacchetto e programmi di installazione app in pacchetto non è disponibile in Windows Server 2008 R2 e Windows 7.
Installazione di AppLocker
AppLocker è incluso nelle edizioni di Windows di classe enterprise. È possibile creare regole di AppLocker per un solo computer o per un gruppo di computer. Per un singolo computer è possibile creare le regole usando l'editor Criteri di protezione locali (secpol.msc). Per un gruppo di computer è possibile creare le regole in un oggetto Criteri di gruppo mediante la Console Gestione Criteri di gruppo.
Nota
La Console Gestione Criteri di gruppo è disponibile nei computer client che eseguono Windows solo tramite l'installazione degli Strumenti di amministrazione remota del server. Nel computer che esegue Windows Server è necessario installare la funzionalità Gestione Criteri di gruppo.
Utilizzo di AppLocker nei componenti di base del server
È possibile usare Windows PowerShell per gestire AppLocker nelle installazioni dei componenti di base del server con i cmdlet di AppLocker e, se amministrato all'interno di un oggetto Criteri di gruppo, con i cmdlet PowerShell di Criteri di gruppo. Per altre informazioni, vedere Guida comandi di Windows PowerShell per AppLocker.
Considerazioni sulla virtualizzazione
È possibile amministrare i criteri di AppLocker usando un'istanza virtualizzata di Windows purché soddisfi tutti i requisiti di sistema riportati in precedenza. È inoltre possibile eseguire Criteri di gruppo in un'istanza virtualizzata. Se, tuttavia, l'istanza viene rimossa o ha esito negativo, si rischia di perdere tutti i criteri creati e gestiti.
Considerazioni sulla sicurezza
I criteri di controllo delle applicazioni consentono di specificare quali programmi è possibile eseguire nel computer locale.
La varietà di forme che il software dannoso può assumere rende difficile agli utenti comprendere quali sono i programmi sicuri da eseguire. Se attivato, il software dannoso può danneggiare i contenuti presenti in un'unità disco rigido, inondare la rete di richieste per provocare un attacco Denial of Service, inviare informazioni riservate su Internet o compromettere la sicurezza di un computer.
La contromisura prevede la creazione di una progettazione adatta per i criteri di controllo delle applicazioni nei computer degli utenti finali dell'organizzazione e di eseguire il test approfondito dei criteri in un ambiente di prova prima di distribuirli nell'ambiente di produzione. AppLocker può essere incluso nella strategia di controllo delle applicazioni perché consente di controllare il software che è possibile eseguire nei computer dell'organizzazione.
Un'implementazione dei criteri di controllo delle applicazioni difettosa può comportare la disabilitazione di applicazioni necessarie o consentire l'esecuzione di software dannoso o imprevisto. È pertanto importante che le organizzazioni dedichino risorse sufficienti alla gestione e alla risoluzione dei problemi relativi all'implementazione di tali criteri.
Per altre informazioni su problemi di sicurezza specifici, vedere Considerazioni sulla sicurezza per AppLocker.
Durante l'uso di AppLocker per la creazione di criteri di controllo delle applicazioni, prestare attenzione alle considerazioni sulla sicurezza seguenti:
Chi ha i diritti per impostare i criteri di AppLocker?
Come è possibile verificare che i criteri siano imposti?
Quali eventi è necessario controllare?
A titolo di riferimento per la pianificazione della sicurezza, nella tabella seguente vengono descritte le impostazioni di base per un computer client in cui è installata la funzionalità AppLocker:
| Impostazione | Valore predefinito |
|---|---|
| Account creati | Nessuno |
| Metodo di autenticazione | Non applicabile |
| Interfacce di gestione | AppLocker può essere gestito tramite uno snap-in di Microsoft Management Console, Gestione Criteri di gruppo e Windows PowerShell |
| Porte aperte | Nessuno |
| Privilegi minimi necessari | Amministratore nel computer locale, Amministratore di dominio o qualsiasi insieme di diritti che consentono di creare, modificare e distribuire Oggetti Criteri di gruppo. |
| Protocolli utilizzati | Non applicabile |
| Attività pianificate | Appidpolicyconverter.exe viene collocato in un'attività pianificata per l'esecuzione su richiesta. |
| Criteri di sicurezza | Non necessari. I criteri di sicurezza vengono creati da AppLocker. |
| Servizi di sistema necessari | Il Servizio identità applicazione (appidsvc) viene eseguito in LocalServiceAndNoImpersonation. |
| Archivio di credenziali | Nessuno |
Gestione dei criteri di AppLocker
Per informazioni sulla gestione dei criteri di Applocker, vedere gli argomenti seguenti:
Vedere anche
| Resource | Windows Server 2008 R2 e Windows 7 | R2 per Windows Server 2012, Windows Server 2012, Windows 8.1 e Windows 8 |
|---|---|---|
| Valutazione del prodotto | Domande frequenti Guida dettagliata di AppLocker |
Domande frequenti Guida dettagliata di AppLocker |
| Procedure | Guida operativa di AppLocker | Amministrare AppLocker Gestione delle app in pacchetto con AppLocker |
| Scripting | Utilizzo dei cmdlet di Windows PowerShell per AppLocker | Utilizzare i cmdlet PowerShell di Windows AppLocker |
| Contenuti tecnici | Documentazione tecnica su AppLocker | Documentazione tecnica su AppLocker |
| Progettazione, pianificazione e distribuzione | Guida alla progettazione dei criteri di AppLocker Guida alla distribuzione dei criteri di AppLocker |
Guida alla progettazione dei criteri di AppLocker Guida alla distribuzione dei criteri di AppLocker |