Informazioni sui tipi di condizione delle regole di AppLocker
Si applica a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Questo argomento destinato ai professionisti IT descrive i tre tipi di condizioni delle regole di AppLocker.
Le condizioni delle regole sono criteri su cui si basa la regola di AppLocker. Le condizioni primarie sono obbligatorie per creare una regola di AppLocker. Le tre condizioni primarie per le regole sono autore, percorso e hash file.
Autore
Per usare una condizione di autore, i file devono essere firmati digitalmente dall'autore di software oppure è necessario eseguire l'operazione usando un certificato interno. Quando viene rilasciata una nuova versione del file, può essere necessario aggiornare le regole specificate per il livello di versione. Per altre informazioni su questa condizione della regola, vedere Informazioni sulla condizione della regola dell'entità di pubblicazione in AppLocker.
Path
Qualsiasi file può essere assegnato a questa condizione della regola; tuttavia, dato che le regole di percorso specificano percorsi all'interno del file system, la regola interesserà anche qualsiasi sottodirectory (a meno che non venga esplicitamente esclusa). Per altre informazioni su questa condizione della regola, vedere Informazioni sulla condizione della regola percorso in AppLocker.
Hash file
Qualsiasi file può essere assegnato a questa condizione della regola; tuttavia, la regola deve essere aggiornata ogni volta che viene rilasciata una nuova versione del file perché il valore hash è univoco per tale versione del file. Per altre informazioni su questa condizione della regola, vedere Informazioni sulla condizione della regola Hash file in AppLocker.
Considerazioni
La scelta della condizione appropriata per ogni regola dipende dagli obiettivi complessivi dei criteri di controllo delle applicazioni dell'organizzazione, dagli obiettivi di manutenzione delle regole di AppLocker e dalla condizione della distribuzione delle applicazioni esistente (o pianificata). Le domande seguenti sono utili per decidere quale condizione della regola usare.
Il file è firmato digitalmente da un autore di software?
Se il file è firmato da un autore di software, si consiglia di creare regole con le condizioni dell'autore. È comunque possibile creare condizioni dell'hash file e del percorso per i file firmati. Se, invece, il file non è firmato digitalmente da un autore di software, è possibile:
Firmare il file usando un certificato interno.
Creare una regola che usi una condizione dell'hash file.
Creare una regola che usi una condizione del percorso.
Nota
Per stabilire quante applicazioni sul computer di riferimento sono firmate digitalmente, è possibile usare il cmdlet di Windows PowerShell Get-AppLockerFileInformation per una directory di file. Ad esempio, Get-AppLockerFileInformation –Directory C:\Windows\ -FileType EXE -recurse visualizza le proprietà per tutti i file EXE e COM all'interno della directory di Windows.
Che tipo di condizione della regola l'organizzazione preferisce?
Se l'organizzazione sta già usando criteri di restrizione software per limitare i file eseguibili dagli utenti, probabilmente sono già presenti regole che usano le condizioni dell'hash del file o del percorso.
Nota
Per un elenco delle versioni e delle edizioni dei sistemi operativi supportati alle quali si applicano le regole dei criteri di restrizione software e di AppLocker, vedere Requisiti per l'utilizzo di AppLocker.