Utilizzo delle regole di AppLocker

 

Si applica a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

<_caps3a_sxs _xmlns3a_caps="https://schemas.microsoft.com/build/caps/2013/11"><_caps3a_sxstarget locale="it-IT">In questo argomento vengono descritti tipi di regole di AppLocker e come utilizzarli per i criteri di controllo dell'applicazione utilizzando Windows Server® 2012 e Windows® 8.ProcedureCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard Nella tabella seguente sono descritte le tre modalità di imposizione di AppLocker. L'impostazione della modalità di imposizione definita qui può essere sovrascritto dall'impostazione derivata dall'oggetto un criteri di gruppo collegati (GPO) con una priorità più alta.Modalità di imposizioneDescrizioneNon configurataQuesto è l'impostazione predefinita, il che significa che le regole qui definite sarà imposte a meno che un oggetto Criteri di gruppo collegato con precedenza maggiore ha un valore diverso per questa impostazione.Imponi regoleLe regole vengono imposte.Controlla soltantoLe regole vengono controllate ma non imposte. Quando un utente esegue un'applicazione che dipende da una regola di AppLocker, è consentito eseguire l'applicazione e le informazioni sull'applicazione vengono aggiunte al registro eventi di AppLocker. La modalità di imposizione Controlla soltanto consente di stabilire quali applicazioni saranno interessate dal criterio prima di imporlo. Quando i criteri di AppLocker per una raccolta di regole sono impostato su Controlla soltanto, non vengono applicate le regole per la raccolta regoleQuando si uniscono i criteri di AppLocker di vari oggetti Criteri di gruppo, vengono unite le regole di tutti gli oggetti Criteri di gruppo e viene applicata l'impostazione della modalità di imposizione dell'oggetto Criteri di gruppo dominante.Per informazioni su oggetti Criteri di gruppo e l'ereditarietà di criteri di gruppo, vedere la Guida di distribuzione e la pianificazione dei criteri di gruppo https://go.microsoft.com/fwlink/p/?linkid=143138https://go.microsoft.com/fwlink/p/?linkid=143138.Raccolte di regoleInterfaccia utente di AppLocker si accede mediante Microsoft Management Console (MMC) e la tabella è organizzata in regola raccolte, che sono file eseguibili, script, file di Windows Installer, App in pacchetto e pacchetti, programmi di installazione app e i file DLL. Grazie a tali raccolte l'amministratore può differenziare facilmente le regole per i diversi tipi di applicazioni. Nella tabella seguente sono elencati i formati di file inclusi in ogni raccolta regole.Raccolta regoleFormati file associatiFile eseguibili.exe.comScriptPS1batcmdvbsjsFile di Windows InstallermsimspmstApp in pacchetto e programmi di installazione app in pacchettoappxFile DLLdllocxSe si utilizzano regole DLL, è necessario creare una regola di assenso DLL per ogni DLL utilizzata in tutte le applicazioni consentite.Quando si utilizzano regole DLL, AppLocker deve controllare ogni DLL caricata da un'applicazione. È pertanto possibile che gli utenti rilevino un calo delle prestazioni se vengono utilizzate regole DLL.Per impostazione predefinita, la raccolta regole DLL non è abilitata. Per informazioni su come abilitare la raccolta regole DLL, vedere DLL rule collections.Condizioni per le regoleLe condizioni per le regole sono criteri che consentono ad AppLocker di identificare le applicazioni a cui si applica una regola. Le tre condizioni primarie per le regole sono autore, percorso e hash file.Publisher: Identifica un'applicazione in base alla relativa firma digitalePath: Identifica un'applicazione in base alla relativa posizione nel file system del computer o in reteFile hash: Rappresenta l'hash di crittografia di sistema calcolato del file identificatoAutoreQuesta condizione identifica un'applicazione in base alla firma digitale e agli attributi estesi, se disponibili. La firma digitale contiene informazioni sulla società che ha creato l'applicazione (l'autore). File eseguibili, DLL, programmi di installazione di Windows, App in pacchetto e programmi di installazione app in pacchetto presentano attributi estesi, ottenuti dalla risorsa binaria. In caso di file eseguibili, dll e Windows Installer questi attributi contengono il nome del prodotto che il file è una parte, il nome originale del file come fornita dal server di pubblicazione e il numero di versione del file. In caso di applicazioni in pacchetto e programmi di installazione app in pacchetto questi attributi estesi contengono il nome e la versione del pacchetto dell'applicazione.Le regole create in applicazioni in pacchetto e raccolta di regole di programmi di installazione app in pacchetto può avere solo condizioni di server di pubblicazione perché Windows non supporta le App in pacchetto senza segno e incluso nel pacchetto di programmi di installazione di app.Utilizzare una condizione della regola server di pubblicazione quando possibile, perché restano gli aggiornamenti dell'applicazione, nonché una modifica nel percorso del file.Quando si seleziona un file di riferimento per una condizione di autore, durante la procedura guidata viene creata una regola che specifica l'autore, il prodotto, il nome file e il numero di versione. È possibile rendere più generica la regola spostando il dispositivo di scorrimento verso l'alto o utilizzando un carattere jolly (*) nel campo relativo al prodotto, al nome file o al numero di versione.Per immettere valori personalizzati nei campi di una condizione di autore nella creazione guidata regole, è necessario selezionare la casella di controllo Usa valori personalizzati. Quando questa casella di controllo è selezionata non è possibile utilizzare il dispositivo di scorrimento.Le opzioni Versione file e Versione pacchetto consentono di controllare se un utente può eseguire una versione specifica, versioni precedenti o versioni successive dell'applicazione. È possibile scegliere un numero di versione e quindi configurare le opzioni seguenti:Esattamente. La regola viene applicata solo alla versione corrente dell'applicazione.E versioni successive. La regola viene applicata alla versione corrente e a tutte le versioni successive.E versioni precedenti. La regola viene applicata alla versione corrente e a tutte le versioni precedenti.Nella tabella seguente viene descritta la modalità di applicazione di una condizione di autore.OpzioneLa condizione Autore consente o nega…Tutti i file firmatiTutti i file firmati da qualsiasi server di pubblicazione.Solo autoreTutti i file firmati dall'autore specificato.Autore e nome di prodottoTutti i file del prodotto specificato firmati dall'autore specificato.Autore, nome di prodotto e nome di fileQualsiasi versione del pacchetto o file denominato per il prodotto denominato firmato dall'autore.Autore, nome di prodotto, nome di file e versione del fileCorrispondenza esattaLa versione specificata del pacchetto o file denominato per il prodotto denominato firmato dall'autore.Autore, nome di prodotto, nome di file e versione del fileE versioni successiveLa versione specificata del pacchetto o file denominato e tutte le nuove versioni del prodotto firmate dall'autore.Autore, nome di prodotto, nome di file e versione del fileE versioni precedentiLa versione specificata del pacchetto o file denominato e tutte le versioni precedenti del prodotto firmate dall'autore.PersonalizzatoÈ possibile modificare il Publisher, nome prodotto, Nome File, versionenome del pacchetto, e versione del pacchetto campi per creare una regola personalizzata.PathQuesta condizione identifica un'applicazione in base alla relativa posizione nel file system del computer o nella rete.In AppLocker vengono utilizzate variabili di percorso per percorsi noti, ad esempio Programmi e Windows.Nella tabella seguente sono contenute informazioni dettagliate sulle variabili di percorso.Directory o disco di WindowsVariabile di percorso di AppLockerVariabile di ambiente di WindowsWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Directory di installazione di Windows%OSDRIVE%%SystemDrive%Programmi%PROGRAMFILES%%ProgramFiles% e %ProgramFiles(x86)%Supporti rimovibili, ad esempio CD o DVD%REMOVABLE%Dispositivo di archiviazione rimovibile, ad esempio un'unità flash USB%HOT%Le condizioni di una regola di percorso possono essere configurate in modo da includere un numero elevato di cartelle e file ed è pertanto consigliabile pianificarle con molta attenzione. Se, ad esempio, una regola di assenso con una condizione di percorso include un percorso di cartella in cui gli utenti non amministratori possono scrivere dati, è possibile che un utente effettui una copia di file non approvati in tale percorso ed esegua quindi i file. Per questo motivo è consigliabile non creare condizioni di percorso per posizioni scrivibili dagli utenti standard, ad esempio un profilo utente.Hash fileQuando si sceglie la condizione di una regola di hash file, nel sistema viene calcolato un hash di crittografia del file identificato. Il vantaggio di questa condizione è che, poiché a ogni file corrisponde un hash univoco, essa si applica a un unico file. Lo svantaggio è che ogni volta che il file viene aggiornato, ad esempio per un aggiornamento della sicurezza, l'hash del file cambia. Di conseguenza è necessario aggiornare manualmente le regole hash file.Regole di AppLocker predefiniteAppLocker consente di generare regole predefinite per ogni raccolta regole.I tipi di regole eseguibili predefinite includono:Consente ai membri del gruppo Administrators locale di eseguire tutte le applicazioni.Consente ai membri del gruppo Everyone di eseguire le applicazioni memorizzate nella cartella Windows.Consente ai membri del gruppo Everyone di eseguire le applicazioni memorizzate nella cartella Programmi.I tipi di regole script predefinite includono:Consente ai membri del gruppo Administrators locale di eseguire tutti gli script.Consente ai membri del gruppo Everyone di eseguire gli script presenti nella cartella Programmi.Consente ai membri del gruppo Everyone di eseguire gli script presenti nella cartella Windows.I tipi di regole di Windows Installer predefinite includono:Consente ai membri del gruppo Administrators locale di eseguire tutti i file di Windows Installer.Consente ai membri del gruppo Everyone di eseguire i file di Windows Installer firmati digitalmente.Consente ai membri del gruppo Everyone di eseguire tutti i file di Windows Installer nella directory Windows\Installer.Tipi di regole DLL predefinite:Consente ai membri del gruppo Administrators locale di caricare tutte le DLL.Consente ai membri del gruppo Everyone di caricare le DLL presenti nella cartella Programmi.Consente ai membri del gruppo Everyone di caricare le DLL presenti nella cartella Windows.Tipi di regole predefinite di applicazioni in pacchetto:Consente ai membri del Everyone gruppo per installare ed eseguire applicazioni in pacchetto tutti firmate e incluso nel pacchetto di programmi di installazione di app.Comportamento delle regole di AppLockerSe per una determinata raccolta regole non esistono regole di AppLocker, è consentita l'esecuzione di tutti i file con tale formato. Quando viene creata una regola di AppLocker per una specifica raccolta regole, sarà tuttavia possibile eseguire solo i file esplicitamente consentiti nella regola. Se, ad esempio, si crea una regola di eseguibile che consente l'esecuzione dei file EXE nel percorso %SystemDrive%\FilePath, sarà consentita l'esecuzione solo dei file eseguibili contenuti nel percorso specificato.È possibile configurare una regola per l'utilizzo di un'azione di assenso o negazione:Consenti. È possibile specificare i file per i quali è consentita l'esecuzione nel proprio ambiente, nonché gli utenti o i gruppi di utenti che possono eseguirli. È inoltre possibile configurare eccezioni per identificare i file esclusi dalla regola.Negare. È possibile specificare quali file sono non può essere eseguita nell'ambiente in uso e per quali utenti o gruppi di utenti. È inoltre possibile configurare eccezioni per identificare i file esclusi dalla regola.Per un livello ottimale, utilizzare azioni di assenso con eccezioni. È possibile utilizzare una combinazione di consentire e negare azioni ma comprendere che nega sostituzione di azioni di assenso in tutti i casi e possono essere aggirate.Se si aggiunge un computer che esegue Windows Server 2012 o Windows 8 a un dominio che già applica le regole di AppLocker per i file eseguibili, gli utenti non saranno in grado di eseguire qualsiasi App in pacchetto, a meno che non è anche creare regole per le applicazioni nel pacchetto. Se si desidera consentire le App in pacchetto nell'ambiente in uso pur continuando a controllo file eseguibili, è necessario creare le regole predefinite per le App in pacchetto e impostare la modalità di imposizione controlla soltanto per le App in pacchetto raccolta regole.Eccezioni alle regoleÈ possibile applicare regole di AppLocker a singoli utenti o a un gruppo di utenti. Se si applica una regola a un gruppo di utenti, la regola avrà effetto su tutti gli utenti del gruppo. Se si desidera consentire l'utilizzo di un'applicazione a un sottoinsieme di un gruppo di utenti, è possibile creare una regola speciale per tale sottoinsieme. La regola "Consenti al gruppo Everyone di eseguire Windows tranne l'editor del Registro di sistema", ad esempio, consente a tutti gli utenti dell'organizzazione di eseguire il sistema operativo Windows, ma impedisce di eseguire l'Editor del Registro di sistema.Questa regola impedirebbe però a utenti come il personale del supporto tecnico di eseguire un programma indispensabile per le proprie attività di supporto. Per risolvere il problema è necessario creare una seconda regola, applicabile al gruppo di utenti del supporto tecnico: "Consenti al supporto tecnico di eseguire l'editor del Registro di sistema". Se si creasse una regola di negazione che non consente agli utenti di eseguire l'Editor del Registro di sistema, tale regola sostituirebbe la seconda regola, che consente al gruppo di utenti del supporto tecnico di eseguirlo.Raccolta regole DLLPoiché per impostazione predefinita la raccolta regole DLL non è abilitata, è necessario eseguire la procedura seguente per poter creare e imporre regole DLL.Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente.Per abilitare la raccolta regole DLLNella schermata Start, digitaresecpol.msc nel Cerca programmi e file casella e quindi premere INVIO.Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Sì.Nell'albero della console, fare doppio clic su Criteri di controllo delle applicazioni, fare clic con il pulsante destro del mouse su AppLocker e scegliere Proprietà.Fare clic sulla scheda Avanzate, selezionare la casella di controllo Abilita raccolta regole DLL, quindi scegliere OK.Prima di applicare le regole DLL, assicurarsi che siano disponibili regole di assenso per ogni DLL utilizzata da qualsiasi applicazione consentita.Procedure guidate di AppLockerÈ possibile creare regole mediante due procedure guidate di AppLocker:La Creazione guidata regole consente di creare una regola alla volta.La procedura guidata Genera regole automaticamente consente di creare più regole alla volta. È possibile selezionare una cartella e lasciare che le regole di creazione guidata per i file all'interno di tale cartella o in caso di applicazioni in pacchetto consentire la creazione guidata Crea regole per tutte le App in pacchetto installate nel computer. È anche possibile specificare l'utente o il gruppo a cui applicare le regole. Questa procedura guidata genera automaticamente solo regole di autorizzazione.Altre considerazioniPer impostazione predefinita, le regole di AppLocker non consentono agli utenti di aprire o eseguire file per cui non dispongono di un'autorizzazione specifica. Gli amministratori devono mantenere un elenco aggiornato delle applicazioni consentite.Esistono due tipi di condizioni di AppLocker che non vengono mantenute in seguito a un aggiornamento: Condizione di hash file. Le condizioni della regole Hash file possono essere utilizzate con qualsiasi applicazione, in quanto durante la creazione della regola viene generato un valore hash di crittografia dell'applicazione. Il valore hash è tuttavia specifico di quella determinata versione dell'applicazione. Se nell'organizzazione vengono utilizzate diverse versioni dell'applicazione, è necessario creare condizioni di hash file per ogni versione in uso e per tutte le eventuali nuove versioni rilasciate.Imposta una condizione di autore con una versione di prodotto specifico. Se si crea una condizione della regola Autore che utilizza l'opzione di versione Corrispondenza esatta, non è possibile rendere persistente la regola se viene installata una nuova versione dell'applicazione. Sarà necessario creare una nuova condizione di autore o modificare la versione nella regola in modo da renderla meno specifica.Non è possibile utilizzare una condizione della regola di autore per le applicazioni che non dispongono di una firma digitale.Le regole di AppLocker possono essere utilizzate per gestire i computer che eseguono un sistema operativo Windows precedente a Windows Server 2008 R2 o Windows 7. In questi casi è necessario utilizzare Criteri restrizione software. Se si definiscono regole di AppLocker in un oggetto Criteri di gruppo, verranno applicate solo queste regole. Per garantire l'interoperabilità tra le regole di Criteri restrizione software e le regole di AppLocker, definirle in oggetti Criteri di gruppo diversi.L'App in pacchetto e le App in pacchetto raccolta regole di installazione è disponibile solo in Windows Server 2012 e Windows 8.Quando vengono applicate le regole per la raccolta regole eseguibili e le App in pacchetto e programmi di installazione app in pacchetto raccolta regole non contiene tutte le regole, nessuna App in pacchetto e programmi di installazione app in pacchetto possono essere eseguiti. Per consentire a qualsiasi App in pacchetto e programmi di installazione app in pacchetto è necessario creare regole per le applicazioni in pacchetto e incluso nel pacchetto programmi di installazione app raccolta regole.Se una raccolta regole di AppLocker è impostata su Controlla soltanto, le regole non vengono imposte. Quando un utente esegue un'applicazione inclusa nella regola, l'applicazione viene aperta ed eseguita normalmente e vengono aggiunte informazioni sull'applicazione nel registro eventi di AppLocker.È possibile includere nel messaggio un URL configurato personalizzato da visualizzare quando un'applicazione viene bloccata.Per i primi tempi, fino a quando gli utenti capiranno che non possono eseguire applicazioni non consentite, è prevedibile un incremento nel numero di chiamate al supporto tecnico relative alle applicazioni bloccate.Panoramica di AppLocker [Client]<_caps3a_sxssource locale="en-US">This topic describes AppLocker rule types and how to work with them for your application control policies using Windows Server® 2012 and Windows® 8.ProceduresCreate a Rule that uses a File Hash Condition Create a Rule that uses a Path Condition Create a Rule that uses a Publisher Condition Create a rule for Packaged apps Create AppLocker Default Rules Configure exceptions for an AppLocker Rule Delete an AppLocker Rule Edit AppLocker Rules Enable the DLL Rule Collection Enforce AppLocker Rules Run the Automatically Generate Rules Wizard The three AppLocker enforcement modes are described in the following table. The enforcement mode setting defined here can be overwritten by the setting derived from a linked Group Policy Object (GPO) with a higher precedence.Enforcement modeDescriptionNot configuredThis is the default setting which means that the rules defined here will be enforced unless a linked GPO with a higher precedence has a different value for this setting.Enforce rulesRules are enforced.Audit onlyRules are audited but not enforced. When a user runs an application that is affected by an AppLocker rule, the application is allowed to run and the information about the application is added to the AppLocker event log. The Audit-only enforcement mode helps you determine which applications will be affected by the policy before the policy is enforced. When the AppLocker policy for a rule collection is set to Audit only, rules for that rule collection are not enforcedWhen AppLocker policies from various GPOs are merged, the rules from all the GPOs are merged and the enforcement mode setting of the winning GPO is applied.For information about GPOs and Group Policy inheritance, see the Group Policy Planning and Deployment Guide https://go.microsoft.com/fwlink/p/?linkid=143138https://go.microsoft.com/fwlink/p/?linkid=143138.Rule collectionsThe AppLocker user interface is accessed through the Microsoft Management Console (MMC), and it is organized into rule collections, which are Executable files, Scripts, Windows Installer files, Packaged apps and packaged app installers, and DLL files. These collections give the administrator an easy way to differentiate the rules for different types of applications. The following table lists the file formats that are included in each rule collection.Rule collectionAssociated file formatsExecutable files.exe.comScripts.ps1.bat.cmd.vbs.jsWindows Installer files.msi.msp.mstPackaged apps and packaged app installers.appxDLL files.dll.ocxIf you use DLL rules, you need to create an allow rule for each DLL that is used by all of the allowed applications.When DLL rules are used, AppLocker must check each DLL that an application loads. Therefore, users may experience a reduction in performance if DLL rules are used.The DLL rule collection is not enabled by default. To learn how to enable the DLL rule collection, see DLL rule collections.Rule conditionsRule conditions are criteria that help AppLocker identify the applications to which the rule applies. The three primary rule conditions are publisher, path, and file hash.Publisher: Identifies an application based on its digital signaturePath: Identifies an application by its location in the file system of the computer or on the networkFile hash: Represents the system computed cryptographic hash of the identified filePublisherThis condition identifies an application based on its digital signature and extended attributes when available. The digital signature contains information about the company that created the application (the publisher). Executable files, Dlls, Windows installers, packaged apps and packaged app installers also have extended attributes, which are obtained from the binary resource. In case of Executable files, Dlls and Windows installers these attributes contain the name of the product that the file is a part of, the original name of the file as supplied by the publisher and the version number of the file. In case of packaged apps and packaged app installers these extended attributes contain the name and the version of the application package.Rules created in the packaged apps and packaged app installers rule collection can only have publisher conditions since Windows does not support unsigned packaged apps and packaged app installers.Use a publisher rule condition when possible because they can survive application updates as well as a change in the location of files.When you select a reference file for a publisher condition, the wizard creates a rule that specifies the publisher, product, file name, and version number. You can make the rule more generic by moving the slider up or by using a wildcard character (*) in the product, file name, or version number fields.To enter custom values for any of the fields of a publisher rule condition in the Create Rules Wizard, you must select the Use custom values check box. When this check box is selected, you cannot use the slider.The File version and Package version control whether a user can run a specific version, earlier versions, or later versions of the application. You can choose a version number and then configure the following options:Exactly. The rule applies only to this version of the application.And above. The rule applies to this version and all later versions.And below. The rule applies to this version and all earlier versions.The following table describes how a publisher condition is applied.OptionThe publisher condition allows or denies…All signed filesAll files that are signed by any publisher.Publisher onlyAll files that are signed by the named publisher.Publisher and product nameAll files for the specified product that are signed by the named publisher.Publisher and product name, and file nameAny version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionExactlyThe specified version of the named file or package for the named product that are signed by the publisher.Publisher, product name, file name, and file versionAnd aboveThe specified version of the named file or package and any new releases for the product that are signed by the publisher.Publisher, product name, file name, and file versionAnd belowThe specified version of the named file or package and any earlier versions for the product that are signed by the publisher.CustomYou can edit the Publisher, Product name, File name, VersionPackage name, and Package version fields to create a custom rule.PathThis rule condition identifies an application by its location in the file system of the computer or on the network.AppLocker uses custom path variables for well-known paths, such as Program Files and Windows.The following table details these path variables.Windows directory or diskAppLocker path variableWindows environment variableWindows%WINDIR%%SystemRoot%System32%SYSTEM32%%SystemDirectory%Windows installation directory%OSDRIVE%%SystemDrive%Program Files%PROGRAMFILES%%ProgramFiles% and %ProgramFiles(x86)%Removable media (for example, a CD or DVD)%REMOVABLE%Removable storage device (for example, a USB flash drive)%HOT%Because a path rule condition can be configured to include a large number of folders and files, path conditions should be carefully planned. For example, if an allow rule with a path condition includes a folder location that non-administrators are allowed to write data into, a user can copy unapproved files into that location and run the files. For this reason, it is a best practice to not create path conditions for standard user writable locations, such as a user profile.File hashWhen you choose the file hash rule condition, the system computes a cryptographic hash of the identified file. The advantage of this rule condition is that because each file has a unique hash, a file hash rule condition applies to only one file. The disadvantage is that each time the file is updated (such as a security update or upgrade) the file's hash will change. As a result, you must manually update file hash rules.AppLocker default rulesAppLocker allows you to generate default rules for each rule collection.Executable default rule types include:Allow members of the local Administrators group to run all applications.Allow members of the Everyone group to run applications that are located in the Windows folder.Allow members of the Everyone group to run applications that are located in the Program Files folder.Script default rule types include:Allow members of the local Administrators group to run all scripts.Allow members of the Everyone group to run scripts that are located in the Program Files folder.Allow members of the Everyone group to run scripts that are located in the Windows folder.Windows Installer default rule types include:Allow members of the local Administrators group to run all Windows Installer files.Allow members of the Everyone group to run all digitally signed Windows Installer files.Allow members of the Everyone group to run all Windows Installer files that are located in the Windows\Installer folder.DLL default rule types:Allow members of the local Administrators group to run all DLLs.Allow members of the Everyone group to run DLLs that are located in the Program Files folder.Allow members of the Everyone group to run DLLs that are located in the Windows folder.Packaged apps default rule types:Allow members of the Everyone group to install and run all signed packaged apps and packaged app installers.AppLocker rule behaviorIf no AppLocker rules for a specific rule collection exist, all files with that file format are allowed to run. However, when an AppLocker rule for a specific rule collection is created, only the files explicitly allowed in a rule are permitted to run. For example, if you create an executable rule that allows .exe files in %SystemDrive%\FilePath to run, only executable files located in that path are allowed to run.A rule can be configured to use allow or deny actions:Allow. You can specify which files are allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.Deny. You can specify which files are not allowed to run in your environment, and for which users or groups of users. You can also configure exceptions to identify files that are excluded from the rule.For a best practice, use allow actions with exceptions. You can use a combination of allow and deny actions but understand that deny actions override allow actions in all cases, and can be circumvented.If you join a computer running Windows Server 2012 or Windows 8 to a domain that already enforces AppLocker rules for Executables, users will not be able to run any packaged apps unless you also create rules for packaged apps. If you want to allow any packaged apps in your environment while continuing to control Executables, you should create the default rules for packaged apps and set the enforcement mode to Audit-only for the packaged apps rule collection.Rule exceptionsYou can apply AppLocker rules to individual users or to a group of users. If you apply a rule to a group of users, all users in that group are affected by that rule. If you need to allow a subset of a user group to use an application, you can create a special rule for that subset. For example, the rule "Allow Everyone to run Windows except Registry Editor" allows everyone in the organization to run the Windows operating system, but it does not allow anyone to run Registry Editor.The effect of this rule would prevent users such as Help Desk personnel from running a program that is necessary for their support tasks. To resolve this problem, create a second rule that applies to the Help Desk user group: "Allow Help Desk to run Registry Editor." If you create a deny rule that does not allow any users to run Registry Editor, the deny rule will override the second rule that allows the Help Desk user group to run Registry Editor.DLL rule collectionBecause the DLL rule collection is not enabled by default, you must perform the following procedure before you can create and enforce DLL rules.Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Administrators locale o a un gruppo equivalente.To enable the DLL rule collectionNella schermata Start, digitaresecpol.msc in the Search programs and files box, and then press ENTER.Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Sì.In the console tree, double-click Application Control Policies, right-click AppLocker, and then click Properties.Click the Advanced tab, select the Enable the DLL rule collection check box, and then click OK.Before you enforce DLL rules, make sure that there are allow rules for each DLL that is used by any of the allowed applications.AppLocker wizardsYou can create rules by using two AppLocker wizards:The Create Rules Wizard enables you to create one rule at a time.The Automatically Generate Rules Wizard allows you to create multiple rules at one time. You can either select a folder and let the wizard create rules for the relevant files within that folder or in case of packaged apps let the wizard create rules for all packaged apps installed on the computer. You can also specify the user or group to which to apply the rules. This wizard automatically generates allow rules only.Additional considerationsBy default, AppLocker rules do not allow users to open or run any files that are not specifically allowed. Administrators should maintain an up-to-date list of allowed applications.There are two types of AppLocker conditions that do not persist following an update of an application: File hash condition. File hash rule conditions can be used with any application because a cryptographic hash value of the application is generated at the time the rule is created. However, the hash value is specific to that exact version of the application. If there are several versions of the application in use within the organization, you need to create file hash conditions for each version in use and for any new versions that are released.A publisher condition with a specific product version set. If you create a publisher rule condition that uses the Exactly version option, the rule cannot persist if a new version of the application is installed. A new publisher condition must be created, or the version must be edited in the rule to be made less specific.If an application is not digitally signed, you cannot use a publisher rule condition for that application.AppLocker rules cannot be used to manage computers running a Windows operating system earlier than Windows Server 2008 R2 or Windows 7. Software Restriction Policies must be used instead. If AppLocker rules are defined in a Group Policy Object (GPO), only those rules are applied. To ensure interoperability between Software Restriction Policies rules and AppLocker rules, define Software Restriction Policies rules and AppLocker rules in different GPOs.The packaged apps and packaged apps installer rule collection is available only on Windows Server 2012 and Windows 8.When the rules for the Executable rule collection are enforced and the packaged apps and packaged app installers rule collection does not contain any rules, no packaged apps and packaged app installers are allowed to run. In order to allow any packaged apps and packaged app installers you must create rules for the packaged apps and packaged app installers rule collection.When an AppLocker rule collection is set to Audit only, the rules are not enforced. When a user runs an application that is included in the rule, the application is opened and runs normally, and information about that application is added to the AppLocker event log.A custom configured URL can be included in the message that is displayed when an application is blocked.Expect an increase in the number of Help Desk calls initially because of blocked applications until users understand that they cannot run applications that are not allowed.AppLocker Overview [Client]