Usare le regole dei criteri di restrizione software

Questo argomento descrive le procedure che usano il certificato, il percorso, l'area Internet e le regole hash con i criteri di restrizione software.

Introduzione

I criteri di restrizione software consentono di proteggere l'ambiente informatico da software non attendibile tramite l'identificazione e l'impostazione del software di cui è consentita l'esecuzione. È possibile definire un livello di sicurezza predefinito Senza restrizioni o Non consentito per un oggetto Criteri di gruppo in modo che il software sia consentito o non possa essere eseguito per impostazione predefinita. È poi possibile creare eccezioni per questo livello di sicurezza predefinito tramite la creazione di regole dei criteri di restrizione software per software specifico. Ad esempio, se il livello di sicurezza predefinito è impostato su Non consentito, è possibile creare regole che consentano l'esecuzione di software specifico. I tipi di regole sono i seguenti:

• Regole del certificato

  Per le procedure, vedere Uso delle regole del certificato.

• Regole hash

  Per le procedure, vedere Uso delle regole hash.

• Regole dell'area Internet

  Per le procedure, vedere Uso delle regole dell'area Internet.

• Regole percorso

  Per le procedure, vedere Uso delle regole di percorso.

Per informazioni su altre attività per gestire i criteri di restrizione software, vedere Amministrare i criteri di restrizione software.

Utilizzo delle regole certificati

I criteri di restrizione software possono anche identificare il software tramite il relativo certificato di firma. È possibile creare una regola certificato per identificare il software e quindi consentirne o meno l'esecuzione a seconda del livello di sicurezza. È possibile utilizzare le regole certificati, ad esempio, per impostare automaticamente come attendibile un'applicazione proveniente da una fonte attendibile in un dominio, senza richiedere conferma all'utente. È inoltre possibile utilizzare le regole certificati per eseguire file nelle aree non consentite del sistema operativo. Le regole certificati non sono abilitate per impostazione predefinita.

Quando si creano regole per il dominio con Criteri di gruppo, è necessario avere le autorizzazioni per la creazione o la modifica di un oggetto Criteri di gruppo. Se si creano regole per il computer locale, è necessario disporre di credenziali amministrative per tale computer.

Per creare una regola certificato

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola certificato.

3. Fare clic su Sfoglia e quindi selezionare un certificato o un file firmato.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

5. In Descrizione digitare una descrizione per questa regola e quindi fare clic su OK.

Nota

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è già stato fatto.
• Le regole certificati non sono abilitate per impostazione predefinita.
• Gli unici tipi di file interessati dalle regole di certificato sono quelli elencati in Tipi di file designati nel riquadro dei dettagli per Criteri di restrizione software. È disponibile un elenco dei tipi di file designati condivisi da tutte le regole.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Abilitazione delle regole certificati

Esistono procedure diverse per l'abilitazione delle regole certificati a seconda dell'ambiente:

• Per il computer locale

• Per un oggetto Criteri di gruppo, quando si è su un server collegato a un dominio

• Per un oggetto Criteri di gruppo e si è in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

• Solo per i controller di dominio e si è in un controller di dominio o in una workstation in cui è installato il Pacchetto Strumenti di amministrazione remota del server

Per abilitare le regole certificati per il computer locale

1. Aprire Impostazioni sicurezza locale.

2. Nell'albero della console fare clic su Opzioni di sicurezza disponibili in Impostazioni di sicurezza/Criteri locali.

3. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: Usa regole di certificato nei file eseguibili di Windows per i criteri di restrizione software.

4. Eseguire una delle operazioni seguenti e quindi fare clic su OK:

   • Per abilitare le regole del certificato, fare clic su Abilitato.

   • Per disabilitare le regole del certificato, fare clic su Disabilitato.

Per abilitare le regole certificati per un oggetto Criteri di gruppo quando ci si trova in un server aggiunto a un dominio

1. Aprire Microsoft Management Console (MMC).

2. Scegliere Aggiungi/Rimuovi snap-in dal menu File e quindi fare clic su Aggiungi.

3. Fare clic su Editor oggetti Criteri di gruppo locali e quindi su Aggiungi.

4. In Seleziona oggetto Criteri di gruppo fare clic su Sfoglia.

5. In Sfoglia per un oggetto Criteri di gruppo, selezionare un oggetto Criteri di gruppo nel dominio, sito o unità organizzativa appropriati, oppure crearne uno nuovo e quindi cliccare su Fine.

6. Fare clic su Chiudi e quindi su OK.

7. Nell'albero della console fare clic su Opzioni di sicurezza disponibili in GroupPolicyObject [ComputerName] Policy/Computer Configuration/Windows Settings/Security Settings/Local Policies/.

8. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: Usa regole di certificato nei file eseguibili di Windows per i criteri di restrizione software.

9. Se questa impostazione di criterio non è ancora stata definita, selezionare la casella di controllo Definisci queste impostazioni dei criteri .

10. Eseguire una delle operazioni seguenti e quindi fare clic su OK:

    • Per abilitare le regole del certificato, fare clic su Abilitato.

    • Per disabilitare le regole del certificato, fare clic su Disabilitato.

Per abilitare le regole certificati per un oggetto Criteri di gruppo quando ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

1. Aprire Utenti e computer di Active Directory.

2. Nell'albero della console fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo per cui si desidera abilitare le regole certificati.

3. Fare clic su Proprietà e quindi sulla scheda Criteri di gruppo .

4. Fare clic su Modifica per aprire l'oggetto Criteri di gruppo da modificare. È anche possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo e quindi fare clic su Modifica.

5. Nell'albero della console, fare clic su Opzioni di sicurezza disponibili sotto GroupPolicyObject[ComputerName] Policy/Computer Configuration/Windows Settings/Security Settings/Local Policies.

6. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: Usa regole di certificato nei file eseguibili di Windows per i criteri di restrizione software.

7. Se questa impostazione di criterio non è ancora stata definita, selezionare la casella di controllo Definisci queste impostazioni dei criteri .

8. Eseguire una delle operazioni seguenti e quindi fare clic su OK:

   • Per abilitare le regole del certificato, fare clic su Abilitato.

   • Per disabilitare le regole del certificato, fare clic su Disabilitato.

Per abilitare le regole certificati solo per controller di dominio quando ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

1. Aprire Impostazioni di sicurezza controller di dominio.

2. Nell'albero della console fare clic su Opzioni di sicurezza disponibili in GroupPolicyObject [ComputerName] Policy/Computer Configuration/Windows Settings/Security Settings/Local Policies.

3. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: Usa regole di certificato nei file eseguibili di Windows per i criteri di restrizione software.

4. Se questa impostazione di criterio non è ancora stata definita, selezionare la casella di controllo Definisci queste impostazioni dei criteri .

5. Eseguire una delle operazioni seguenti e quindi fare clic su OK:

   • Per abilitare le regole del certificato, fare clic su Abilitato.

   • Per disabilitare le regole del certificato, fare clic su Disabilitato.

Nota

È necessario eseguire questa procedura prima che le regole certificati diventino effettive.

Impostare le opzioni per gli autori attendibili

La firma del software viene utilizzata da un numero crescente di autori e sviluppatori di applicazioni per verificare che i rispettivi prodotti provengono da una fonte attendibile. Molti utenti tuttavia non sono a conoscenza o non prestano grande attenzione ai certificati di firma associati alle applicazioni che installano.

Le impostazioni dei criteri nella scheda Autori attendibili dei criteri di convalida del percorso certificato consentono agli amministratori di controllare quali certificati possono essere accettati come provenienti da un autore attendibile.

Per configurare le impostazioni dei criteri Autori attendibili per un computer locale

1. Nella schermata Start digitaregpedit.msc e quindi premere INVIO.

2. Nell'albero della console in Criteri computer locali\Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza fare clic su Criteri chiave pubblica.

3. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili .

4. Selezionare la casella di controllo Definisci queste impostazioni dei criteri, selezionare le impostazioni dei criteri da applicare e quindi fare clic su OK per applicare le nuove impostazioni.

Per configurare le impostazioni dei criteri Autori attendibili per un dominio

1. Aprire Gestione Criteri di gruppo.

2. Nell'albero della console, fare doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio che contiene il Criteri di dominio predefiniti Oggetti Criteri di gruppo che si desidera modificare.

3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di dominio predefinito e quindi scegliere Modifica.

4. Nell'albero della console in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza fare clic su Criteri chiave pubblica.

5. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili .

6. Selezionare la casella di controllo Definisci queste impostazioni dei criteri, selezionare le impostazioni dei criteri da applicare e quindi fare clic su OK per applicare le nuove impostazioni.

Per consentire soltanto agli amministratori di gestire i certificati utilizzati per la firma del codice per un computer locale

1. Nella schermata Start digitare gpedit.msc nei programmi e nei file di ricerca o in Windows 8, sul desktop e quindi premere INVIO.

2. Nell'albero della console, in Criteri di dominio predefiniti o Criteri del computer locale, fare doppio clic su Configurazione computer, Impostazioni di Windows e Impostazioni di sicurezza, quindi fare clic su Criteri chiave pubblica.

3. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili .

4. Selezionare la casella di controllo Definisci queste impostazioni dei criteri .

5. In Gestione autori attendibili fare clic su Consenti solo a tutti gli amministratori di gestire autori attendibili e quindi fare clic su OK per applicare le nuove impostazioni.

Per consentire soltanto agli amministratori di gestire i certificati utilizzati per la firma del codice per un dominio

1. Aprire Gestione Criteri di gruppo.

2. Nell'albero della console, doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio contenente il Criterio di dominio predefinito che si desidera modificare.

3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di dominio predefinito e quindi scegliere Modifica.

4. Nell'albero della console in Configurazione computer\Impostazioni di Windows\Impostazioni di sicurezza fare clic su Criteri chiave pubblica.

5. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili .

6. Selezionare la casella di controllo Definisci queste impostazioni dei criteri, implementare le modifiche desiderate e quindi fare clic su OK per applicare le nuove impostazioni.

Utilizzo delle regole hash

Un hash è una serie di byte con lunghezza fissa che identifica in modo univoco un programma software o un file. L'hash viene calcolato da un algoritmo hash. Quando si crea una regola hash per un programma software, i criteri di restrizione software calcolano un hash del programma. Quando un utente tenta di aprire un programma software, un hash del programma viene confrontato con le regole hash esistenti per i criteri di restrizione software. L'hash del programma software è sempre lo stesso, indipendentemente dalla posizione del programma nel computer. Se un programma software viene modificato in qualche modo, tuttavia, anche il relativo hash cambia e non corrisponde più all'hash nella regola hash per i criteri di restrizione software.

Ad esempio, è possibile creare una regola hash e impostare il livello di sicurezza su Non consentito per impedire agli utenti di eseguire un determinato file. Un file può essere rinominato o spostato in un'altra cartella e mantenere comunque lo stesso hash. Qualsiasi modifica apportata al file, tuttavia, ne modifica il valore hash e consente al file di evitare le restrizioni.

Per creare una regola hash

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola hash.

3. Fare clic su Sfoglia per trovare un file.

   Nota

   In Windows XP è possibile incollare un hash pre-calcolato nell'hash file. In Windows Server 2008 R2 , Windows 7 e versioni successive questa opzione non è disponibile.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

5. In Descrizione digitare una descrizione per questa regola e quindi fare clic su OK.

Nota

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• È possibile creare una regola hash per un virus o un trojan horse per impedirne l'esecuzione.
• Se si vuole che altri utenti possano usare una regola hash per impedire l'esecuzione di un virus, calcolare l'hash del virus tramite i criteri di restrizione software e quindi inviare agli altri utenti il valore hash tramite posta elettronica. Non inviare mai un messaggio di posta elettronica contenente il virus stesso.
• Se un virus è stato inviato tramite posta elettronica, è anche possibile creare una regola di percorso per impedire l'esecuzione di allegati di posta elettronica.
• Un file rinominato o spostato in un'altra cartella mantiene lo stesso hash. Qualsiasi modifica al file stesso genera un hash diverso.
• Gli unici tipi di file interessati dalle regole hash sono quelli elencati in Tipi di file designati nel riquadro dei dettagli per Criteri di restrizione software. È disponibile un elenco dei tipi di file designati condivisi da tutte le regole.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Utilizzo delle regole area Internet

Le regole area Internet si applicano solo ai pacchetti di Windows Installer. Una regola di area consente di identificare il software proveniente da un'area specificata tramite Internet Explorer. Queste aree sono Internet, Intranet locale, Siti con restrizioni, Siti attendibili e Computer locale. Una regola area Internet è progettata per impedire agli utenti di scaricare e installare software.

Per creare una regola area Internet

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive, quindi scegliere Nuova regola area Internet.

3. Nella zona Internet, cliccare su una zona Internet.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni, quindi fare clic su OK.

Nota

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• Le regole di area si applicano solo ai file con estensione MSI, ovvero pacchetti di Windows Installer.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Utilizzo delle regole di percorso

Una regola di percorso identifica il software in base al relativo percorso. Ad esempio, se si dispone di un computer con un livello di sicurezza predefinito Non consentito, è comunque possibile concedere l'accesso senza restrizioni a una cartella specifica per ogni utente. È possibile creare una regola di percorso usando il percorso del file e impostando il livello di sicurezza della regola di percorso su Senza restrizioni. Alcuni percorsi comuni per questo tipo di regola sono %userprofile%, %windir%, %appdata%, %programfiles% e %temp%. È inoltre possibile creare regole di percorso del Registro di sistema che utilizzano la chiave del Registro di sistema del programma software come percorso.

Dato che queste regole sono specificate in base al percorso, se un programma software viene spostato la regola di percorso non è più applicabile.

Per creare una regola di percorso

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola percorso.

3. In Percorso digitare un percorso o fare clic su Sfoglia per trovare un file o una cartella.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

5. In Descrizione digitare una descrizione per questa regola e quindi fare clic su OK.

Attenzione

• In determinate cartelle, ad esempio la cartella Windows, l'impostazione del livello di sicurezza su Non consentito può influire negativamente sul funzionamento del sistema operativo. Assicurarsi di non bloccare un componente cruciale del sistema operativo o uno dei programmi dipendenti.

Nota

• Potrebbe essere necessario creare nuovi criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• Se si crea una regola di percorso per il software con un livello di sicurezza non consentito, gli utenti possono comunque eseguire il software copiandolo in un'altra posizione.
• I caratteri jolly supportati dalla regola di percorso sono * e ?.
• Nella regola di percorso è possibile utilizzare variabili di ambiente, come %programfiles% o %systemroot%.
• Se si desidera creare una regola di percorso per un programma software e non si conosce il percorso di archiviazione in un computer, ma è nota la chiave del Registro di sistema, è possibile creare una regola di percorso del Registro di sistema.
• Per impedire agli utenti di eseguire gli allegati di posta elettronica, è possibile creare una regola di percorso per la directory degli allegati del programma di posta elettronica in modo da impedirne l'esecuzione.
• Gli unici tipi di file interessati dalle regole di percorso sono quelli elencati in Tipi di file designati nel riquadro dei dettagli per Criteri di restrizione software. È disponibile un elenco dei tipi di file designati condivisi da tutte le regole.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Per creare una regola di percorso del Registro di sistema

1. Nella schermata Start digitare regedit.

2. Nell'albero della console fare clic con il pulsante destro del mouse sulla chiave del Registro di sistema per cui si vuole creare una regola e quindi scegliere Copia nome chiave. Prendere nota del nome del valore nel riquadro dei dettagli.

3. Aprire Criteri restrizione software.

4. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola percorso.

5. In Percorso incollare il nome della chiave del Registro di sistema, seguito dal nome del valore.

6. Racchiudere il percorso del Registro di sistema nei segni di percentuale (%), ad esempio, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

7. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

8. In Descrizione digitare una descrizione per questa regola e quindi fare clic su OK.