Gestire i criteri di restrizione software

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

In questo argomento destinato ai professionisti IT sono illustrate le procedure per l'amministrazione dei criteri di controllo delle applicazioni usando Criteri di restrizione software a partire da Windows Server 2008 e Windows Vista.

Introduzione

I criteri di restrizione software sono una funzionalità basata su Criteri di gruppo che identifica i programmi software in esecuzione nei computer di un dominio e controlla la possibilità di tali programmi di essere eseguiti. È possibile utilizzare i criteri di restrizione software per creare una configurazione molto restrittiva per i computer, in cui consentire l'esecuzione solo di applicazioni specifiche identificate. Questi criteri sono integrati in Active Directory Domain Services e in Criteri di gruppo, ma possono anche essere configurati in computer autonomi. Per altre informazioni su Criteri di restrizione software, vedere Criteri di restrizione software.

A partire da Windows Server 2008 R2 e Windows 7, è possibile usare Windows AppLocker invece di o in combinazione con Criteri di restrizione software per una parte della strategia di controllo delle applicazioni.

Vengono trattati gli argomenti seguenti:

• Aprire Criteri restrizione software

• Creare nuovi criteri di restrizione software

• Aggiungere o eliminare un tipo di file designato

• Impedire l'applicazione dei criteri di restrizione software agli amministratori locali

• Modificare il livello di sicurezza predefinito dei criteri di restrizione software

• Applicare i criteri di restrizione software alle DLL

Per informazioni su come eseguire attività specifiche tramite Criteri di restrizione software, vedi:

• Determinare l'elenco elementi consentiti e non consentiti e l'inventario delle applicazioni per i criteri di restrizione software

• Usare le regole dei criteri di restrizione software

• Usare i criteri di restrizione software per proteggere il computer da un virus di posta elettronica

Aprire Criteri restrizione software

• Per il computer locale

• Per un dominio, un sito o un'unità organizzativa e ci si trova in un server membro o in una workstation aggiunta a un dominio

• Per un dominio o un'unità organizzativa e ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

• Per un sito e ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

Per il computer locale

1. Aprire Impostazioni sicurezza locale.

2. Nell'albero della console fare clic su Criteri di restrizione software.

   Dove?

   • Impostazioni di sicurezza/Criteri restrizione software

Nota

Per eseguire questa procedura, è necessario essere un membro del gruppo Administrators nel computer locale oppure avere ricevuto in delega l'autorità appropriata.

Per un dominio, un sito o un'unità organizzativa e ci si trova in un server membro o in una workstation aggiunta a un dominio

1. Aprire Microsoft Management Console (MMC).

2. Nel menu File fare clic su Aggiungi/Rimuovi snap-in e fare clic su Aggiungi.

3. Fare clic su Editor oggetti Criteri di gruppo locale e quindi fare clic su Aggiungi.

4. In Selezione oggetto Criteri di gruppo fare clic su Sfoglia.

5. In Ricerca oggetto Criteri di gruppo selezionare un oggetto Criteri di gruppo nel dominio, nell'unità organizzativa o nel sito appropriato oppure crearne uno nuovo e quindi fare clic su Fine.

6. Fare clic su Chiudi e quindi su OK.

7. Nell'albero della console fare clic su Criteri di restrizione software.

   Dove?

   • Oggetto Criteri di gruppo [nomecomputer] Criteri/Configurazione computer o

     Configurazione utente/Impostazioni di Windows/Impostazioni di sicurezza/Criteri di restrizione software

Nota

Per completare questa procedura, è necessario essere un membro del gruppo Domain Admins.

Per un dominio o un'unità organizzativa e ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

1. Aprire la Console Gestione Criteri di gruppo.

2. Nell'albero della console fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo per cui si desidera aprire i criteri di restrizione software.

3. Fare clic su Modifica per aprire l'oggetto Criteri di gruppo che si desidera modificare. È inoltre possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo e quindi fare clic su Modifica.

4. Nell'albero della console fare clic su Criteri di restrizione software.

   Dove?

   • Oggetto Criteri di gruppo [nomecomputer] Criteri/Configurazione computer o

     Configurazione utente/Impostazioni di Windows/Impostazioni di sicurezza/Criteri di restrizione software

Nota

Per completare questa procedura, è necessario essere un membro del gruppo Domain Admins.

Per un sito e ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

1. Aprire la Console Gestione Criteri di gruppo.

2. Nell'albero della console fare clic con il pulsante destro del mouse sul sito per cui si desidera impostare Criteri di gruppo.

   Dove?

   • Siti e servizi di Active Directory [Domain_Controller_Name.Domain_Name]/Sites/Site

3. Fare clic su una voce in Collegamenti oggetto Criteri di gruppo per selezionare un oggetto Criteri di gruppo esistente e quindi fare clic su Modifica. È inoltre possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo e quindi fare clic su Modifica.

4. Nell'albero della console fare clic su Criteri di restrizione software.

   Where

   • Oggetto Criteri di gruppo [nomecomputer] Criteri/Configurazione computer o

     Configurazione utente/Impostazioni di Windows/Impostazioni di sicurezza/Criteri di restrizione software

Nota

• Per eseguire questa procedura, è necessario essere un membro del gruppo Administrators nel computer locale oppure avere ricevuto in delega l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che i membri del gruppo Domain Admins siano in grado di eseguire questa procedura.
• Per configurare le impostazioni dei criteri che verranno applicate ai computer, indipendentemente dall'utente che effettua l'accesso, fare clic su Configurazione computer.
• Per configurare le impostazioni dei criteri che verranno applicate agli utenti, indipendentemente dal computer a cui accedono, fare clic su Configurazione utente.

Creare nuovi criteri di restrizione software

1. Aprire Criteri restrizione software.

2. Scegliere Nuovi criteri di restrizione software dal menu Azione.

Avviso

• Per eseguire questa procedura sono necessarie credenziali amministrative diverse, a seconda dell'ambiente:

  • Per creare nuovi criteri di restrizione software nel computer locale: l'appartenenza al gruppo Administrators locale o gruppo equivalente, è il requisito minimo necessario per completare questa procedura.
  • Per creare nuovi criteri di restrizione software per un computer aggiunto a un dominio, la procedura può essere eseguita dai membri del gruppo Domain Admins.

• Se sono già stati creati criteri di restrizione software per un oggetto Criteri di gruppo, il comando Nuovi di criteri restrizione software non compare nel menu Azione. Per eliminare i criteri di restrizione software applicati a un oggetto Criteri di gruppo, nell'albero della console fare clic con il pulsante destro del mouse su Criteri di restrizione software e quindi scegliere Elimina criteri restrizione software. Quando si eliminano i criteri di restrizione software per un oggetto Criteri di gruppo, si eliminano anche tutte le regole dei criteri di restrizione software per tale oggetto. Dopo aver eliminato i criteri di restrizione software, è possibile creare nuovi criteri per l'oggetto Criteri di gruppo in questione.

Aggiungere o eliminare un tipo di file designato

1. Aprire Criteri restrizione software.

2. Nel riquadro dei dettagli fare doppio clic su Tipi di file designati.

3. Eseguire una delle operazioni seguenti:

   • Per aggiungere un tipo di file, in Estensione file digitare l'estensione del nome file e quindi fare clic su Aggiungi.

   • Per eliminare un tipo di file, in Tipi di file designati fare clic sul tipo di file e quindi fare clic su Rimuovi.

Nota

• Per eseguire questa procedura sono necessarie credenziali amministrative diverse, a seconda dell'ambiente in cui si aggiunge o elimina un tipo di file designato:

  • Se si aggiunge o elimina un tipo di file designato per il computer locale: l'appartenenza al gruppo Administrators locale o gruppo equivalente, è il requisito minimo necessario per completare questa procedura.
  • Per creare nuovi criteri di restrizione software per un computer aggiunto a un dominio, la procedura può essere eseguita dai membri del gruppo Domain Admins.

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.

• Per un oggetto Criteri di gruppo, l'elenco dei tipi di file designati è condiviso da tutte le regole per Configurazione computer e Configurazione utente.

Impedire l'applicazione dei criteri di restrizione software agli amministratori locali

1. Aprire Criteri restrizione software.

2. Nel riquadro dei dettagli fare doppio clic su Imposizione.

3. In Applica criteri restrizione software a fare clic su Tutti gli utenti, esclusi gli amministratori locali.

Avviso

• Appartenenza al gruppo locale amministratori o gruppo equivalente, è il requisito minimo necessario per completare questa procedura.
• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• Se è comune per gli utenti essere membri del gruppo Administrators locale nei loro computer nell'organizzazione, potrebbe essere opportuno evitare di abilitare questa opzione.
• Per definire un'impostazione dei criteri di restrizione software per il computer locale, utilizzare questa procedura per evitare l'applicazione dei criteri di restrizione software agli amministratori locali. Per definire un'impostazione dei criteri di restrizione software per la rete, filtrare le impostazioni dei criteri utente in base all'appartenenza ai gruppi di sicurezza tramite Criteri di gruppo.

Modificare il livello di sicurezza predefinito dei criteri di restrizione software

1. Aprire Criteri restrizione software.

2. Nel riquadro dei dettagli fare doppio clic su Livelli di sicurezza.

3. Fare clic con il pulsante destro del mouse sul livello di sicurezza che si desidera impostare come predefinito e quindi scegliere Imposta come predefinito.

Attenzione

In determinate directory, l'impostazione del livello di sicurezza predefinito su Non consentito può influire negativamente sul sistema operativo.

Nota

• Per eseguire questa procedura sono necessarie credenziali amministrative diverse, a seconda dell'ambiente in cui si modifica il livello di sicurezza predefinito dei criteri di restrizione software.
• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• Nel riquadro dei dettagli, il livello di sicurezza predefinito corrente è indicato da un cerchio nero con un segno di spunta all'interno. Se si fa clic con il pulsante destro del mouse sul livello di sicurezza predefinito corrente, il comando Imposta come predefinito non compare nel menu.
• Le regole per i criteri di restrizione software consentono di specificare eccezioni per il livello di sicurezza predefinito. Quando il livello di sicurezza predefinito è impostato su Senza restrizioni, è possibile utilizzare le regole per specificare il software di cui non è consentita l'esecuzione. Quando il livello di sicurezza predefinito è impostato su Non consentito, è possibile utilizzare le regole per specificare il software di cui è consentita l'esecuzione.
• Al momento dell'installazione, il livello di sicurezza predefinito per i criteri di restrizione software per tutti i file nel sistema è impostato su Senza restrizioni.

Applicare i criteri di restrizione software alle DLL

1. Aprire Criteri restrizione software.

2. Nel riquadro dei dettagli fare doppio clic su Imposizione.

3. In Applica criteri restrizione software a fare clic su Tutti i file nel software.

Nota

• Per eseguire questa procedura, è necessario essere un membro del gruppo Administrators nel computer locale oppure avere ricevuto in delega l'autorità appropriata. Se il computer fa parte di un dominio, è possibile che i membri del gruppo Domain Admins siano in grado di eseguire questa procedura.
• Per impostazione predefinita, i criteri di restrizione software non prevedono il controllo di librerie di collegamento dinamico (DLL). Il controllo delle DLL può ridurre le prestazioni del sistema, perché la valutazione dei criteri di restrizione software deve avvenire a ogni caricamento di una DLL. Si potrebbe comunque decidere di controllare le DLL se si teme la ricezione di un virus progettato per le DLL. Se il livello di sicurezza predefinito è impostato su Non consentito e si abilita il controllo delle DLL, è necessario creare regole dei criteri di restrizione software per consentire l'esecuzione di ogni DLL.