Condividi tramite


Amministrare i criteri di restrizione Software

 

Si applica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

In questo argomento per i professionisti IT sono procedure come amministrare i criteri di controllo delle applicazioni utilizzando l'inizio di criteri di restrizione Software (SRP) con Windows Server 2008 e Windows Vista.

Introduzione

I criteri di restrizione software sono una funzionalità basata su Criteri di gruppo che identifica i programmi software in esecuzione nei computer di un dominio e controlla la possibilità di tali programmi di essere eseguiti. È possibile utilizzare i criteri di restrizione software per creare una configurazione molto restrittiva per i computer, in cui consentire l'esecuzione solo di applicazioni specifiche identificate. Questi sono integrati con servizi di dominio Microsoft Active Directory e criteri di gruppo, ma possono essere configurati anche in computer autonomi. Per ulteriori informazioni sui criteri di restrizione software, vedere ilCriteri di restrizione software.

A partire daWindows Server 2008 R2eWindows 7Windows AppLocker può essere utilizzato al posto di o in combinazione con criteri di restrizione software per una parte della strategia di controllo dell'applicazione. Per informazioni su AppLocker inWindows Server 2012eWindows 8vedere ilPanoramica di AppLocker [Client].

In questo argomento sono:

  • Per aprire Criteri restrizione Software

  • Per creare nuovi criteri restrizione software

  • Per aggiungere o eliminare un tipo di file

  • Per impedire che i criteri di restrizione software applicati agli amministratori locali

  • Per modificare il livello di protezione predefinito dei criteri di restrizione software

  • Per applicare i criteri di restrizione software alle DLL

Per informazioni su come eseguire attività specifiche utilizzando criteri di restrizione software, vedere gli argomenti seguenti:

Per aprire Criteri restrizione Software

  • Per il computer locale

  • Per un dominio, sito, o unità organizzativa e si sono su un server membro o una workstation appartenente a un dominio

  • Per un dominio o unità organizzativa e si presenti in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remoti Server

  • Per un sito e si sono in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remoti Server

Per il computer locale

  1. Aprire Impostazioni sicurezza locale.

  2. Nell'albero della console, fare clic sucriteri di restrizione Software.

    Percorso

    • Criteri di restrizione Software/impostazioni protezione

Nota

Per eseguire questa procedura è necessario essere membri del gruppo Administrators nel computer locale oppure disporre della delega per l'autorità appropriata.

Per un dominio, sito, o unità organizzativa e si sono su un server membro o una workstation appartenente a un dominio

  1. Aprire Microsoft Management Console (MMC).

  2. Scegliere Aggiungi/Rimuovi snap-in dal menu File e quindi fare clic su Aggiungi.

  3. Fare clic su Editor oggetti Criteri di gruppo locale e quindi fare clic su Aggiungi.

  4. In Selezione oggetto Criteri di gruppo fare clic su Sfoglia.

  5. InCerca un oggetto Criteri di grupposelezionare un oggetto Criteri di gruppo (GPO) nel dominio appropriato, sito o nell'unità organizzativa o crearne uno nuovo e quindi fare clic suFine.

  6. Fare clic su Chiudi e quindi su OK.

  7. Nell'albero della console, fare clic sucriteri di restrizione Software.

    Percorso

    • Oggetto Criteri di gruppo[nomecomputer] configurazione di criteri di Computer o

      Utente configurazione/Windows/protezione impostazioni impostazioni/Criteri restrizione Software

Nota

Per eseguire questa procedura, è necessario essere un membro del gruppo Domain Admins.

Per un dominio o unità organizzativa e si presenti in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remoti Server

  1. Aprire Console Gestione criteri di gruppo.

  2. Nell'albero della console, fare doppio clic sull'oggetto (criteri di gruppo) che si desidera aprire Criteri restrizione software per.

  3. Fare clic su Modifica per aprire l'oggetto Criteri di gruppo che si desidera modificare. È inoltre possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo e quindi fare clic su Modifica.

  4. Nell'albero della console, fare clic sucriteri di restrizione Software.

    Percorso

    • Oggetto Criteri di gruppo[nomecomputer] configurazione di criteri di Computer o

      Utente configurazione/Windows/protezione impostazioni impostazioni/Criteri restrizione Software

Nota

Per eseguire questa procedura, è necessario essere un membro del gruppo Domain Admins.

Per un sito e si sono in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remoti Server

  1. Aprire Console Gestione criteri di gruppo.

  2. Nell'albero della console, fare clic sul sito che si desidera impostare criteri di gruppo.

    Percorso

    • Siti e servizi Active Directory [nome_controller_dominio. nome_dominio] /sites/ sito
  3. Fare clic su una voce incollegamenti oggetto Criteri di gruppoper selezionare un oggetto di criteri di gruppo (GPO) esistente e quindi fare clic suModifica. È inoltre possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo e quindi fare clic su Modifica.

  4. Nell'albero della console, fare clic sucriteri di restrizione Software.

    Dove

    • Oggetto Criteri di gruppo[nomecomputer] configurazione di criteri di Computer o

      Utente configurazione/Windows/protezione impostazioni impostazioni/Criteri restrizione Software

Nota

  • Per eseguire questa procedura è necessario essere membri del gruppo Administrators nel computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, i membri del gruppo Domain Admins potrebbero essere in grado di eseguire questa procedura.

  • Per configurare le impostazioni di criteri che verranno applicate ai computer, indipendentemente dall'utente che effettua l'accesso, fare clic suConfigurazione Computer.

  • Per configurare le impostazioni di criteri che verranno applicate agli utenti, indipendentemente dal computer a cui accedono, fare clic suConfigurazione utente.

Per creare nuovi criteri restrizione software

  1. Aprire Criteri restrizione software.

  2. Scegliere Nuovi criteri restrizione software dal menu Azione.

Avviso

  • Per eseguire questa procedura sono necessarie credenziali amministrative diverse, a seconda dell'ambiente:

    • Per creare nuovi criteri di restrizione software nel computer locale: Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente.

    • Per creare nuovi criteri di restrizione software per un computer aggiunto a un dominio, la procedura può essere eseguita dai membri del gruppo Domain Admins.

  • Se sono già stati creati criteri di restrizione software per un oggetto Criteri di gruppo, il comando Nuovi criteri restrizione software non compare nel menu Azione. Per eliminare i criteri di restrizione software applicati a un oggetto Criteri di gruppo, nell'albero della console fare clic con il pulsante destro del mouse su Criteri restrizione software e quindi scegliere Elimina criteri restrizione software. Quando si elimina criteri restrizione software per un oggetto Criteri di gruppo, vengono eliminati anche tutte le regole dei criteri di restrizione software per tale oggetto Criteri di gruppo. Dopo aver eliminato i criteri di restrizione software, è possibile creare nuovi criteri per l'oggetto Criteri di gruppo in questione.

Per aggiungere o eliminare un tipo di file

  1. Aprire Criteri restrizione software.

  2. Nel riquadro dei dettagli fare doppio clic su Tipi di file designati.

  3. Eseguire una delle operazioni seguenti:

    • Per aggiungere un tipo di file, in Estensione file digitare l'estensione del nome di file e quindi fare clic su Aggiungi.

    • Per eliminare un tipo di file, in Tipi di file designati fare clic sul tipo di file e quindi fare clic su Rimuovi.

Nota

  • Per eseguire questa procedura sono necessarie credenziali amministrative diverse, a seconda dell'ambiente in cui si aggiunge o elimina un tipo di file designato:

    • Se si aggiunge o elimina un tipo di file designato per il computer locale: Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente.

    • Per creare nuovi criteri di restrizione software per un computer aggiunto a un dominio, la procedura può essere eseguita dai membri del gruppo Domain Admins.

  • Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.

  • L'elenco di tipi di file designati è condiviso da tutte le regole per i Computer e configurazione utente per un oggetto Criteri di gruppo.

Per impedire che i criteri di restrizione software applicati agli amministratori locali

  1. Aprire Criteri restrizione software.

  2. Nel riquadro dei dettagli fare doppio clic su Imposizione.

  3. In Applica criteri restrizione software a fare clic su Tutti gli utenti, esclusi gli amministratori locali.

Avviso

  • Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente.

  • Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.

  • Se è comune per gli utenti essere membri del gruppo Administrators locale nei loro computer nell'organizzazione, potrebbe essere opportuno evitare di abilitare questa opzione.

  • Per definire un'impostazione dei criteri di restrizione software per il computer locale, utilizzare questa procedura per evitare l'applicazione dei criteri di restrizione software agli amministratori locali. Se si definisce un'impostazione di criteri di restrizione software per la rete, filtrare in base all'appartenenza a gruppi di sicurezza tramite criteri di gruppo impostazioni dei criteri utente.

Per modificare il livello di protezione predefinito dei criteri di restrizione software

  1. Aprire Criteri restrizione software.

  2. Nel riquadro dei dettagli fare doppio clic su Livelli di sicurezza.

  3. Fare clic con il pulsante destro del mouse sul livello di sicurezza che si desidera impostare come predefinito e quindi scegliere Imposta come predefinito.

Avviso

In determinate directory, l'impostazione del livello di sicurezza predefinito su Non consentito può influire negativamente sul sistema operativo.

Nota

  • Per eseguire questa procedura sono necessarie credenziali amministrative diverse, a seconda dell'ambiente in cui si modifica il livello di sicurezza predefinito dei criteri di restrizione software.

  • Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.

  • Nel riquadro dei dettagli, il livello di sicurezza predefinito corrente è indicato da un cerchio nero con un segno di spunta all'interno. Se si fa clic con il pulsante destro del mouse sul livello di sicurezza predefinito corrente, il comando Imposta come predefinito non compare nel menu.

  • Vengono create regole dei criteri di restrizione software consentono di specificare eccezioni al livello di sicurezza predefinito. Quando il livello di sicurezza predefinito è impostato su Senza restrizioni, è possibile utilizzare le regole per specificare il software di cui non è consentita l'esecuzione. Quando il livello di sicurezza predefinito è impostato su Non consentito, è possibile utilizzare le regole per specificare il software di cui è consentita l'esecuzione.

  • Al momento dell'installazione, il livello di sicurezza predefinito per i criteri di restrizione software per tutti i file nel sistema è impostato su Senza restrizioni.

Per applicare i criteri di restrizione software alle DLL

  1. Aprire Criteri restrizione software.

  2. Nel riquadro dei dettagli fare doppio clic su Imposizione.

  3. In Applica criteri restrizione software a fare clic su Tutti i file nel software.

Nota

  • Per eseguire questa procedura è necessario essere membri del gruppo Administrators nel computer locale oppure disporre della delega per l'autorità appropriata. Se il computer fa parte di un dominio, i membri del gruppo Domain Admins potrebbero essere in grado di eseguire questa procedura.

  • Per impostazione predefinita, i criteri di restrizione software non prevedono il controllo di librerie di collegamento dinamico (DLL). Il controllo delle DLL può ridurre le prestazioni del sistema, perché la valutazione dei criteri di restrizione software deve avvenire a ogni caricamento di una DLL. Si potrebbe comunque decidere di controllare le DLL se si teme la ricezione di un virus progettato per le DLL. Se il livello di protezione è impostato sunon consentitoe si Abilita controllo delle DLL, è necessario creare regole che consentono di ogni DLL per l'esecuzione dei criteri di restrizione software.