AppLocker
In questo argomento viene descritto AppLocker e vengono fornite informazioni utili per aiutarti a decidere se l'organizzazione può trarre vantaggio dalla distribuzione dei criteri di controllo delle applicazioni di AppLocker. AppLocker consente di controllare le app e i file che gli utenti possono eseguire. Sono inclusi file eseguibili, script, file di Windows Installer, librerie a collegamento dinamico (file DLL), app in pacchetto e programmi di installazione di app in pacchetto.
AppLocker consente di:
Definire regole basate su attributi di file che rimangono invariate anche in caso di aggiornamento delle app, ad esempio nome dell'autore (derivato dalla firma digitale), nome del prodotto, nome di file e versione del file. Puoi anche creare regole basate sul percorso di file o sull'hash.
Assegnare una regola a un gruppo di sicurezza o a un singolo utente.
Creare eccezioni alle regole. Ad esempio, puoi creare una regola che consenta a tutti gli utenti di eseguire tutti i file binari di Windows, tranne l'Editor del Registro di sistema (regedit.exe).
Usare la modalità Controlla soltanto per distribuire i criteri e valutarne l'impatto prima dell'imposizione.
Creare regole in un server di gestione temporanea, testarle e quindi esportarle nell'ambiente di produzione e importarle in un oggetto Criteri di gruppo.
Semplificare la creazione e gestione delle regole di AppLocker tramite Windows PowerShell.
AppLocker consente di ridurre l'overhead amministrativo e i costi dell'organizzazione per la gestione delle risorse di elaborazione, riducendo il numero di chiamate al supporto tecnico risultanti dall'esecuzione di app non approvate da parte degli utenti. AppLocker si rivolge ai seguenti scenari di sicurezza delle applicazioni:
Inventario delle applicazioni
AppLocker è in grado di imporre i propri criteri nella modalità Controlla soltanto in uno scenario in cui tutte le attività di accesso alle app vengono registrate in registri eventi. Questi eventi possono essere raccolti per poter essere ulteriormente analizzati. Anche i cmdlet di Windows PowerShell consentono di analizzare questi dati a livello di programmazione.
Protezione contro software indesiderato
AppLocker consente di impedire l'esecuzione delle app escluse dall'elenco di app consentite. Quando vengono imposte le regole di AppLocker nell'ambiente di produzione, viene bloccata l'esecuzione di tutte le app non incluse nelle regole consentite.
Conformità alle licenze
AppLocker consente di creare regole che impediscono l'esecuzione di software senza licenza e che limitano l'uso del software concesso in licenza solo agli utenti autorizzati.
Standardizzazione del software
I criteri di AppLocker possono essere configurati in modo da consentire l'esecuzione solo delle app supportate o approvate nei computer inclusi in un gruppo aziendale. Ciò consente una distribuzione di app più uniforme.
Miglioramento della gestibilità
AppLocker include numerosi miglioramenti della gestibilità rispetto ai criteri di restrizione software. L'importazione ed esportazione dei criteri, la generazione automatica delle regole da più file, la distribuzione in modalità Controlla soltanto e i cmdlet di Windows PowerShell rappresentano solo alcuni dei miglioramenti rispetto ai criteri di restrizione software.
Funzionalità nuove e modificate
Per scoprire le novità di AppLocker per Windows 10, vedi Novità di AppLocker
Quando usare AppLocker
In molte organizzazioni le informazioni sono la risorsa più importante e pertanto è fondamentale garantire che solo gli utenti approvati abbiano accesso a tali informazioni. Le tecnologie di controllo dell'accesso, ad esempio Active Directory Rights Management Services (AD RMS) e gli elenchi di controllo di accesso (ACL), semplificano il controllo degli utenti autorizzati ad accedere a dati specifici.
Tuttavia, quando un utente esegue un processo, tale processo ha lo stesso livello di accesso ai dati dell'utente. Di conseguenza, le informazioni riservate potrebbero venire eliminate o divulgate all'esterno dell'organizzazione se un utente intenzionalmente o inconsapevolmente esegue software dannoso. AppLocker consente di ridurre questi tipi di violazione della sicurezza limitando i file che gli utenti o i gruppi sono autorizzati a eseguire.
Gli autori di software hanno iniziato a creare sempre più app che possono essere installate da utenti non amministratori. Questo può pregiudicare i criteri di sicurezza scritti di un'organizzazione ed eludere le tradizionali soluzioni di controllo delle app che si basano sull'impossibilità di utenti di installare le app. Grazie alla creazione di un elenco autorizzato di file e app approvati, AppLocker consente di impedire l'esecuzione di questo tipo di app in base agli utenti. Poiché AppLocker è in grado di controllare i file DLL, risulta utile anche per controllare gli utenti che possono installare ed eseguire i controlli ActiveX.
AppLocker è ideale per le organizzazioni che attualmente usano criteri di gruppo per gestire i propri PC.
Ecco alcuni esempi di scenari in cui AppLocker può essere usato:
I criteri di sicurezza dell'organizzazione determinano l'uso solo di software concesso in licenza e devi impedire agli utenti di eseguire software senza licenza e limitare l'uso di software concesso in licenza solo agli utenti autorizzati.
Un'app non è più supportata dall'organizzazione e devi evitare che tutti gli utenti la usino.
Il rischio che il software indesiderato possa essere introdotto nell'ambiente in uso è elevato e devi ridurre questo rischio.
La licenza di un'app è stata revocata o è scaduta nell'organizzazione e devi impedire a tutti gli utenti che la usino.
Una nuova app o una nuova versione di un'app viene distribuita e devi impedire agli utenti di eseguire la versione precedente.
All'interno dell'organizzazione non sono consentiti strumenti software specifici o solo utenti specifici devono avere accesso a tali strumenti.
Un singolo utente o un gruppo ristretto di utenti deve usare un'app specifica negata a tutti gli altri.
Alcuni computer dell'organizzazione sono condivisi da utenti con esigenze di uso di software diverse e devi proteggere app specifiche.
Oltre ad altre misure devi controllare l'accesso a dati sensibili tramite l'uso di app.
AppLocker consente di proteggere le risorse digitali all'interno dell'organizzazione, ridurre il rischio di introduzione di software dannoso nell'ambiente in uso e migliorare la gestione del controllo delle applicazioni e la manutenzione dei criteri di controllo delle applicazioni.
Requisiti di sistema
La configurazione e l'applicazione dei criteri di AppLocker possono essere eseguite solo in computer che eseguono versioni ed edizioni supportate del sistema operativo Windows. Per distribuire gli oggetti Criteri di gruppo contenenti i criteri di AppLocker, è necessario usare Criteri di gruppo. Per altre info, vedi Requisiti per l'uso di AppLocker.
Le regole di AppLocker possono essere create nei controller di dominio.
Installazione di AppLocker
AppLocker è incluso nelle edizioni Enterprise di Windows. Puoi creare regole di AppLocker per un singolo computer o per un gruppo di computer. Per un singolo computer, puoi creare regole usando l'editor Criteri di sicurezza locali (secpol.msc). Per un gruppo di computer, puoi creare regole all'interno di un oggetto Criteri di gruppo usando Console Gestione Criteri di gruppo (GPMC).
Nota
GPMC è disponibile nei computer client che eseguono Windows solo installando Strumenti di amministrazione remota del server. Nei computer che eseguono Windows Server, devi installare la funzionalità Gestione Criteri di gruppo.
Uso di AppLocker nelle installazioni Server Core
AppLocker non è supportato nelle installazioni Server Core.
Considerazioni sulla virtualizzazione
Puoi amministrare i criteri di AppLocker tramite un'istanza virtualizzata di Windows a condizione che soddisfi tutti i requisiti di sistema elencati in precedenza. Puoi anche eseguire Criteri di gruppo in un'istanza virtualizzata. Tuttavia, in questo caso rischi di perdere i criteri che hai creato e conservato se l'istanza virtualizzata viene rimossa o ha esito negativo.
Considerazioni sulla sicurezza
I criteri di controllo delle applicazioni specificano le app che possono essere eseguite nel computer locale.
Le varie forme che un software dannoso può assumere rendono estremamente difficile per gli utenti sapere gli elementi la cui esecuzione è sicura. Se attivato, il software dannoso può compromettere seriamente il contenuto di un'unità disco rigido, intasare una rete con richieste a causa di un attacco Denial of Service (DoS), inviare informazioni riservate a Internet o violare la sicurezza di un computer.
Come contromisura ti consigliamo di creare una progettazione affidabile dei criteri di controllo delle applicazioni nei PC dell'organizzazione e quindi sottoporre tali criteri a rigidi test in un ambiente di laboratorio prima di distribuirli in un ambiente di produzione. AppLocker può essere incluso in una strategia di controllo delle app perché puoi controllare i software per i quali l'esecuzione è consentita nei computer.
Un'implementazione difettosa dei criteri di controllo delle applicazioni può disabilitare applicazioni necessarie o consentire l'esecuzione di software dannosi o indesiderati. Pertanto, è importante che le organizzazioni destinino risorse sufficienti per gestire l'implementazione di tali criteri e risolvere i relativi problemi.
Per altre informazioni sui problemi di sicurezza specifici, vedi Considerazioni sulla sicurezza per AppLocker.
Quando usi AppLocker per creare i criteri di controllo delle applicazioni, devi fare riferimento alle seguenti considerazioni sulla sicurezza:
Chi dispone del diritto di impostare i criteri di AppLocker?
Come si fa a verificare che i criteri vengono imposti?
Quali eventi dovresti controllare?
Come riferimento per la fase di pianificazione della sicurezza, nella tabella seguente sono riportate le impostazioni di base per un PC con AppLocker installato:
| Impostazione | Valore predefinito |
|---|---|
Account creati |
Nessuna |
Metodo di autenticazione |
Non applicabile |
Interfacce di gestione |
AppLocker può essere gestito tramite Gestione Criteri di gruppo, uno snap-in Microsoft Management Console, e Windows PowerShell. |
Porte aperte |
Nessuna |
Sono necessari privilegi minimi |
Amministratore nel computer locale; amministratore del dominio o qualsiasi insieme di diritti che consentono di creare, modificare e distribuire gli oggetti Criteri di gruppo. |
Protocolli usati |
Non applicabile |
Attività pianificate |
Appidpolicyconverter.exe è inserito in un'attività pianificata per venire eseguito su richiesta. |
Criteri di sicurezza |
Nessun criterio richiesto AppLocker crea i criteri di sicurezza. |
Servizi di sistema richiesti |
Il servizio Identità applicazione (appidsvc) viene eseguito in LocalServiceAndNoImpersonation. |
Archiviazione delle credenziali |
Nessuna |
Contenuto della sezione
| Argomento | Descrizione |
|---|---|
Questo argomento, destinato ai professionisti IT, contiene i collegamenti alle procedure specifiche da usare per amministrare i criteri di AppLocker. |
|
Questa guida, destinata ai professionisti IT, introduce alcuni passaggi di progettazione e pianificazione necessari per distribuire i criteri di controllo delle applicazioni mediante AppLocker. |
|
Questo argomento, destinato ai professionisti IT, introduce i concetti e descrive i passaggi necessari per distribuire i criteri di AppLocker. |
|
Questo argomento introduttivo, destinato ai professionisti IT, fornisce i collegamenti agli argomenti disponibili nella documentazione tecnica. |