Che cos'è AppLocker?
Questo argomento, destinato ai professionisti IT, descrive che cosa è AppLocker e le differenze tra le sue funzionalità e i criteri di restrizione software.
AppLocker migliora le funzionalità di controllo delle app e la funzionalità dei criteri di restrizione software. AppLocker include nuove funzionalità ed estensioni che ti consentono di creare regole per autorizzare o negare l'esecuzione delle app in base alle identità univoche dei file, nonché di specificare gli utenti o i gruppi che possono eseguire tali app.
Mediante AppLocker puoi:
Controllare i seguenti tipi di app: file eseguibili (con estensione EXE e COM), script (con estensione JS, PS1, VBS, CMD e BAT), file di Windows Installer (con estensione MST, MSI e MSP) e file DLL (con estensione DLL e OCX), nonché app in pacchetto e programmi di installazione di app in pacchetto (con estensione APPX).
Definire regole basate su attributi di file derivati dalla firma digitale, tra cui autore, nome del prodotto, nome di file e versione del file. Ad esempio, puoi creare regole basate sull'attributo Autore che rimarranno valide anche in seguito agli aggiornamenti oppure puoi creare regole per una versione specifica di un file.
Assegnare una regola a un gruppo di sicurezza o a un singolo utente.
Creare eccezioni alle regole. Ad esempio, puoi creare una regola che consenta l'esecuzione di tutti i processi di Windows, tranne l'Editor del Registro di sistema (regedit.exe).
Usare la modalità Controlla soltanto per distribuire i criteri e valutarne l'impatto prima dell'imposizione.
Importare ed esportare le regole. Il processo di importazione ed esportazione interessa tutti i criteri. Ad esempio, in caso di esportazione dei criteri, vengono esportate tutte le regole da tutte le raccolte regole, incluse le impostazioni di imposizione per le raccolte di regola. In caso di importazione dei criteri, vengono sovrascritti tutti i dati inclusi nei criteri esistente.
Semplificare la creazione e gestione delle regole di AppLocker tramite i cmdlet di Windows PowerShell.
AppLocker consente di ridurre l'overhead amministrativo e i costi dell'organizzazione per la gestione delle risorse di elaborazione, riducendo il numero di chiamate al supporto tecnico risultanti dall'esecuzione di app non approvate da parte degli utenti.
Per informazioni sugli scenari di controllo delle applicazioni gestiti da AppLocker, vedi Scenari di utilizzo dei criteri di AppLocker.
Quali funzionalità sono diverse tra i criteri di restrizione software e AppLocker?
Differenze tra funzionalità
Nella tabella seguente vengono confrontati AppLocker e i criteri di restrizione software.
| Funzionalità | Criteri di restrizione software | AppLocker |
|---|---|---|
Ambito delle regole |
Tutti gli utenti |
Utente o gruppo specifico |
Condizioni delle regole fornite |
Hash del file, percorso, certificato, percorso del Registro di sistema e area Internet |
Hash file, Percorso e Autore |
Tipi di regola forniti |
Definiti dai livelli di sicurezza:
|
Consenti o Nega |
Azione della regola predefinita |
Senza restrizioni |
Negazione implicita |
Modalità Controlla soltanto |
No |
Sì |
Procedura guidata per creare più regole contemporaneamente |
No |
Sì |
Importazione o esportazione dei criteri |
No |
Sì |
Raccolta regole |
No |
Sì |
Supporto di Windows PowerShell |
No |
Sì |
Messaggi di errore personalizzati |
No |
Sì |
Differenze tra funzioni di controllo delle applicazioni
Nella tabella seguente vengono confrontate le funzioni di controllo delle applicazioni dei criteri di restrizione software e di AppLocker.
| Funzione di controllo delle applicazioni | Criteri di restrizione software | AppLocker |
|---|---|---|
Ambito a livello di sistema operativo |
I criteri di restrizione software possono essere applicati a tutti i sistemi operativi Windows a partire da Windows XP e Windows Server 2003. |
I criteri di AppLocker si applicano solo alle versioni ed edizioni supportate dei sistemi operativi elencati in Requisiti per l'uso di AppLocker. Questi sistemi possono usare anche i criteri di restrizione software. NotaUsa oggetti Criteri di gruppo diversi per le regole dei criteri di restrizione software e quelle di AppLocker. |
Supporto degli utenti |
I criteri di restrizione software consente agli utenti di installare applicazioni come amministratore. |
I criteri di AppLocker vengono gestiti tramite i Criteri di gruppo e solo l'amministratore del dispositivo può aggiornare i criteri di AppLocker. AppLocker consente la personalizzazione dei messaggi di errore per indirizzare gli utenti a una pagina Web per ottenere informazioni di supporto. |
Manutenzione dei criteri |
I criteri di restrizione software vengono aggiornati tramite lo snap-in Criteri di sicurezza locali o Console Gestione Criteri di gruppo. |
I criteri di AppLocker vengono aggiornati tramite lo snap-in Criteri di sicurezza locali o Console Gestione Criteri di gruppo. AppLocker supporta un set ridotto di cmdlet di PowerShell a supporto delle attività di gestione e manutenzione. |
Infrastruttura di gestione dei criteri |
Per gestire i criteri, la funzionalità Criteri di restrizione software usa i Criteri di gruppo all'interno di un dominio e lo snap-in Criteri di sicurezza locali per un computer locale. |
Per gestire i criteri, AppLocker usa i Criteri di gruppo all'interno di un dominio e lo snap-in Criteri di sicurezza locali per un computer locale. |
Bloccare gli script dannosi |
Le regole per bloccare gli script dannosi consentono di impedire l'esecuzione di tutti gli script associati a Windows Script Host, ad eccezione di quelli con firma digitale dell'organizzazione. |
Le regole di AppLocker controllano i formati di file seguenti: PS1, BAT, CMD, VBS e JS. Inoltre, puoi impostare le eccezioni per consentire l'esecuzione di file specifici. |
Gestire l'installazione del software |
I criteri di restrizione software possono impedire l'installazione di tutti i pacchetti di Windows Installer. Consente l'installazione dei file con estensione MSI firmati digitalmente dall'organizzazione. |
La raccolta regole Windows Installer è un insieme di regole creato per i tipi di file di Windows Installer (con estensione MST, MSI e MSP) per consentire il controllo dell'installazione di file in computer client e server. |
Gestire tutto il software nel computer |
Tutto il software viene gestito mediante un set di regole. Per impostazione predefinita, i criteri per la gestione di tutto il software in un dispositivo disabilitano tutto il software nel dispositivo dell'utente, tranne il software installato nella cartella Windows, nella cartella Programmi o nelle sottocartelle. |
A differenza dei criteri di restrizione software, ogni raccolta regole di AppLocker funziona come un elenco di file autorizzati. Solo i file inclusi nella raccolta regole potranno essere eseguiti. Questa configurazione rende più facile agli amministratori determinare l'esito dell'applicazione di una regola di AppLocker. |
Criteri diversi per utenti diversi |
Le regole vengono applicate in modo uniforme a tutti gli utenti in un determinato dispositivo. |
In un dispositivo condiviso da più utenti, un amministratore può specificare i gruppi di utenti che possono accedere al software installato. Tramite AppLocker un amministratore può specificare l'utente a cui deve essere applicata una regola specifica. |