Usare le regole dei criteri di restrizione software

Si applica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012

Questo argomento descrive le procedure che usano il certificato, il percorso, l'area Internet e le regole hash con i criteri di restrizione software.

Introduzione

I criteri di restrizione software consentono di proteggere l'ambiente informatico da software non attendibile tramite l'identificazione e l'impostazione del software di cui è consentita l'esecuzione. È possibile definire un livello di sicurezza predefinito Senza restrizioni o Non consentito per un oggetto Criteri di gruppo, in modo che l'esecuzione di tale software sia consentita o meno per impostazione predefinita. È poi possibile creare eccezioni per questo livello di sicurezza predefinito tramite la creazione di regole dei criteri di restrizione software per software specifico. Se il livello di sicurezza predefinito è impostato su Non consentito, ad esempio, è possibile creare regole per consentire l'esecuzione di software specifico. I tipi di regole sono i seguenti:

• Regole certificati

  Per le procedure, vedere Utilizzo delle regole certificati.

• Regole hash

  Per le procedure, vedere Utilizzo delle regole hash.

• Regole area Internet

  Per le procedure, vedere Utilizzo delle regole area Internet.

• Regole di percorso

  Per le procedure, vedere Utilizzo delle regole di percorso.

Per informazioni su altre attività per gestire i criteri di restrizione software, vedere Amministrare i criteri di restrizione software.

Utilizzo delle regole certificati

I criteri di restrizione software possono anche identificare il software tramite il relativo certificato di firma. È possibile creare una regola certificato per identificare il software e quindi consentirne o meno l'esecuzione a seconda del livello di sicurezza. È possibile utilizzare le regole certificati, ad esempio, per impostare automaticamente come attendibile un'applicazione proveniente da una fonte attendibile in un dominio, senza richiedere conferma all'utente. È inoltre possibile utilizzare le regole certificati per eseguire file nelle aree non consentite del sistema operativo. Le regole certificati non sono abilitate per impostazione predefinita.

Quando si creano regole per il dominio con Criteri di gruppo, è necessario avere le autorizzazioni per la creazione o la modifica di un oggetto Criteri di gruppo. Se si creano regole per il computer locale, è necessario disporre di credenziali amministrative per tale computer.

Per creare una regola certificato

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola certificato.

3. Fare clic su Sfoglia e quindi selezionare un file di certificato o un file firmato.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

5. In Descrizione digitare una descrizione per la regola e quindi fare clic su OK.

Nota

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è già stato fatto.
• Le regole certificati non sono abilitate per impostazione predefinita.
• Gli unici tipi di file interessati dalle regole certificati sono quelli elencati in Tipi di file designati nel riquadro dei dettagli dei criteri di restrizione software. È disponibile un elenco dei tipi di file designati condivisi da tutte le regole.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Abilitazione delle regole certificati

Esistono procedure diverse per l'abilitazione delle regole certificati a seconda dell'ambiente:

• Per il computer locale

• Per un oggetto Criteri di gruppo quando ci si trova in un server aggiunto a un dominio

• Per un oggetto Criteri di gruppo quando ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

• Solo per i controller di dominio quando ci si trova in un controller di dominio o in una workstation in cui è installato il pacchetto Strumenti di amministrazione remota del server

Per abilitare le regole certificati per il computer locale

1. Aprire Impostazioni sicurezza locale.

2. Nell'albero della console fare clic su Opzioni di sicurezza disponibili in Impostazioni di sicurezza/Criteri locali.

3. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software.

4. Eseguire una delle operazioni seguenti, quindi fare clic su OK:

   • Per abilitare le regole certificati, fare clic su Abilitato.

   • Per disabilitare le regole certificati, fare clic su Disabilitato.

Per abilitare le regole certificati per un oggetto Criteri di gruppo quando ci si trova in un server aggiunto a un dominio

1. Aprire Microsoft Management Console (MMC).

2. Nel menu File fare clic su Aggiungi/Rimuovi snap-in e fare clic su Aggiungi.

3. Fare clic su Editor oggetti Criteri di gruppo locale e quindi fare clic su Aggiungi.

4. In Selezione oggetto Criteri di gruppo fare clic su Sfoglia.

5. In Ricerca oggetto Criteri di gruppo selezionare un oggetto Criteri di gruppo nel dominio, nell'unità organizzativa o nel sito appropriato oppure crearne uno nuovo e quindi fare clic su Fine.

6. Fare clic su Chiudi e quindi su OK.

7. Nell'albero della console fare clic su Opzioni di sicurezza in OggettoCriteriDiGruppo [NomeComputer] Criterio/Configurazione computer/Impostazioni di Windows/Impostazioni sicurezza/Criteri locali/.

8. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software.

9. Se questa impostazione dei criteri non è ancora stata definita, selezionare la casella di controllo Definisci le impostazioni relative ai criteri.

10. Eseguire una delle operazioni seguenti, quindi fare clic su OK:

    • Per abilitare le regole certificati, fare clic su Abilitato.

    • Per disabilitare le regole certificati, fare clic su Disabilitato.

Per abilitare le regole certificati per un oggetto Criteri di gruppo quando ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

1. Aprire Utenti e computer di Active Directory.

2. Nell'albero della console fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo per cui si desidera abilitare le regole certificati.

3. Fare clic Proprietàe quindi sulla scheda Criteri di gruppo.

4. Fare clic su Modifica per aprire l'oggetto Criteri di gruppo da modificare. È inoltre possibile fare clic su Nuovo per creare un nuovo oggetto Criteri di gruppo e quindi fare clic su Modifica.

5. Nell'albero della console fare clic su Opzioni di sicurezza in OggettoCriteriDiGruppo [NomeComputer] Criterio/Configurazione computer/Impostazioni di Windows/Impostazioni sicurezza/Criteri locali.

6. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software.

7. Se questa impostazione dei criteri non è ancora stata definita, selezionare la casella di controllo Definisci le impostazioni relative ai criteri.

8. Eseguire una delle operazioni seguenti, quindi fare clic su OK:

   • Per abilitare le regole certificati, fare clic su Abilitato.

   • Per disabilitare le regole certificati, fare clic su Disabilitato.

Per abilitare le regole certificati solo per controller di dominio quando ci si trova in un controller di dominio o in una workstation in cui sono installati gli strumenti di amministrazione remota del server

1. Aprire Impostazioni di sicurezza controller di dominio.

2. Nell'albero della console fare clic su Opzioni di sicurezza in OggettoCriteriDiGruppo [NomeComputer] Criterio/Configurazione computer/Impostazioni di Windows/Impostazioni sicurezza/Criteri locali.

3. Nel riquadro dei dettagli fare doppio clic su Impostazioni di sistema: utilizza regole certificati con i file eseguibili di Windows per i criteri di restrizione software.

4. Se questa impostazione dei criteri non è ancora stata definita, selezionare la casella di controllo Definisci le impostazioni relative ai criteri.

5. Eseguire una delle operazioni seguenti, quindi fare clic su OK:

   • Per abilitare le regole certificati, fare clic su Abilitato.

   • Per disabilitare le regole certificati, fare clic su Disabilitato.

Nota

È necessario eseguire questa procedura prima che le regole certificati diventino effettive.

Impostare le opzioni per gli autori attendibili

La firma del software viene utilizzata da un numero crescente di autori e sviluppatori di applicazioni per verificare che i rispettivi prodotti provengono da una fonte attendibile. Molti utenti tuttavia non sono a conoscenza o non prestano grande attenzione ai certificati di firma associati alle applicazioni che installano.

Le impostazioni dei criteri disponibili nella scheda Autori attendibili dei criteri di convalida del percorso di certificazione consentono agli amministratori di determinare quali certificati possono essere accettati in quanto provenienti da un autore attendibile.

Per configurare le impostazioni dei criteri Autori attendibili per un computer locale

1. Nella schermata Start digitaregpedit.msc e quindi premere INVIO.

2. In Criteri del computer locale\Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza nell'albero della console fare clic su Criteri chiave pubblica.

3. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili.

4. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri, selezionare le impostazioni dei criteri da applicare e quindi fare clic su OK per applicare le nuove impostazioni.

Per configurare le impostazioni dei criteri Autori attendibili per un dominio

1. Apri Gestione Criteri di gruppo.

2. Nell'albero della console fare doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio contenenti l'oggetto Criteri di gruppo Criterio dominio predefinito da modificare.

3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinitoe quindi scegliere Modifica.

4. In Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza nell'albero della console fare clic su Criteri chiave pubblica.

5. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili.

6. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri, selezionare le impostazioni dei criteri da applicare e quindi fare clic su OK per applicare le nuove impostazioni.

Per consentire soltanto agli amministratori di gestire i certificati utilizzati per la firma del codice per un computer locale

1. Nella schermata Start digitare gpedit.mscin Cerca programmi e file o in Windows 8 sul desktop e quindi premere INVIO.

2. Nell'albero della console in Criterio dominio predefinito o Criteri del computer locale fare doppio clic su Configurazione computer, Impostazioni di Windows e Impostazioni sicurezza e quindi fare clic su Criteri chiave pubblica.

3. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili.

4. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri.

5. In Gestione autori attendibili fare clic su Consenti solo agli amministratori di gestire gli autori attendibili e quindi fare clic su OK per applicare le nuove impostazioni.

Per consentire soltanto agli amministratori di gestire i certificati utilizzati per la firma del codice per un dominio

1. Apri Gestione Criteri di gruppo.

2. Nell'albero della console fare doppio clic su Oggetti Criteri di gruppo nella foresta e nel dominio contenenti l'oggetto Criteri di gruppo Criterio dominio predefinito da modificare.

3. Fare clic con il pulsante destro del mouse sull'oggetto Criteri di gruppo Criterio dominio predefinitoe quindi scegliere Modifica.

4. In Configurazione computer\Impostazioni di Windows\Impostazioni sicurezza nell'albero della console fare clic su Criteri chiave pubblica.

5. Fare doppio clic su Impostazioni di convalida percorso certificato, quindi fare clic sulla scheda Autori attendibili.

6. Selezionare la casella di controllo Definisci le impostazioni relative ai criteri, apportare le modifiche desiderate e quindi fare clic su OK per applicare le nuove impostazioni.

Utilizzo delle regole hash

Un hash è una serie di byte con lunghezza fissa che identifica in modo univoco un programma software o un file. L'hash viene calcolato da un algoritmo hash. Quando si crea una regola hash per un programma software, i criteri di restrizione software calcolano un hash del programma. Quando un utente tenta di aprire un programma software, un hash del programma viene confrontato con le regole hash esistenti per i criteri di restrizione software. L'hash del programma software è sempre lo stesso, indipendentemente dalla posizione del programma nel computer. Se un programma software viene modificato in qualche modo, tuttavia, anche il relativo hash cambia e non corrisponde più all'hash nella regola hash per i criteri di restrizione software.

È ad esempio possibile creare una regola hash e impostare il livello di sicurezza su Non consentito per impedire agli utenti di eseguire un determinato file. Un file può essere rinominato o spostato in un'altra cartella e mantenere comunque lo stesso hash. Qualsiasi modifica apportata al file, tuttavia, ne modifica il valore hash e consente al file di evitare le restrizioni.

Per creare una regola hash

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola hash.

3. Fare clic su Sfoglia per trovare un file.

   Nota

   In Windows XP è possibile incollare un hash pre-calcolato in Hash file. In Windows Server 2008 R2 , Windows 7 e versioni successive questa opzione non è disponibile.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

5. In Descrizione digitare una descrizione per la regola e quindi fare clic su OK.

Nota

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• È possibile creare una regola hash per un virus o un trojan horse per impedirne l'esecuzione.
• Se si vuole che altri utenti possano usare una regola hash per impedire l'esecuzione di un virus, calcolare l'hash del virus tramite i criteri di restrizione software e quindi inviare agli altri utenti il valore hash tramite posta elettronica. Non inviare mai un messaggio di posta elettronica contenente il virus stesso.
• Se un virus è stato inviato tramite posta elettronica, è anche possibile creare una regola di percorso per impedire l'esecuzione di allegati di posta elettronica.
• Un file rinominato o spostato in un'altra cartella mantiene lo stesso hash. Qualsiasi modifica al file stesso genera un hash diverso.
• Gli unici tipi di file interessati dalle regole hash sono quelli elencati in Tipi di file designati nel riquadro dei dettagli dei criteri di restrizione software. È disponibile un elenco dei tipi di file designati condivisi da tutte le regole.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Utilizzo delle regole area Internet

Le regole area Internet si applicano solo ai pacchetti di Windows Installer. Una regola di area consente di identificare il software proveniente da un'area specificata tramite Internet Explorer. Queste aree sono Internet, Intranet locale, Siti con restrizioni, Siti attendibili e Computer locale. Una regola area Internet è progettata per impedire agli utenti di scaricare e installare software.

Per creare una regola area Internet

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola area Internet.

3. In Area Internet fare clic su un'area Internet.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni e quindi fare clic su OK.

Nota

• Potrebbe essere necessario creare una nuova impostazione dei criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• Le regole di area si applicano solo ai file con estensione MSI, ovvero pacchetti di Windows Installer.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Utilizzo delle regole di percorso

Una regola di percorso identifica il software in base al relativo percorso. Nel caso di un computer con livello di sicurezza predefinito Non consentito, ad esempio, è comunque possibile concedere l'accesso senza restrizioni a una cartella specifica per ogni utente. È possibile creare una regola di percorso usando il percorso di file e impostando il livello di sicurezza della regola di percorso su Senza restrizioni. Alcuni percorsi comuni per questo tipo di regola sono %userprofile%, %windir%, %appdata%, %programfiles% e %temp%. È inoltre possibile creare regole di percorso del Registro di sistema che utilizzano la chiave del Registro di sistema del programma software come percorso.

Dato che queste regole sono specificate in base al percorso, se un programma software viene spostato la regola di percorso non è più applicabile.

Per creare una regola di percorso

1. Aprire Criteri restrizione software.

2. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola di percorso.

3. In Percorso digitare un percorso oppure fare clic su Sfoglia per trovare un file o una cartella.

4. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

5. In Descrizione digitare una descrizione per la regola e quindi fare clic su OK.

Attenzione

• In determinate cartelle, come la cartella di Windows, l'impostazione del livello di sicurezza su Non consentito può influire negativamente sul funzionamento del sistema operativo. Assicurarsi di non bloccare un componente cruciale del sistema operativo o uno dei programmi dipendenti.

Nota

• Potrebbe essere necessario creare nuovi criteri di restrizione software per l'oggetto Criteri di gruppo, se non è ancora stato fatto.
• Se si crea una regola di percorso per un programma software con livello di sicurezza Non consentito, gli utenti potranno comunque eseguire il software copiandolo in un'altra posizione.
• I caratteri jolly supportati dalla regola di percorso sono * e ?.
• Nella regola di percorso è possibile utilizzare variabili di ambiente, come %programfiles% o %systemroot%.
• Se si desidera creare una regola di percorso per un programma software e non si conosce il percorso di archiviazione in un computer, ma è nota la chiave del Registro di sistema, è possibile creare una regola di percorso del Registro di sistema.
• Per impedire agli utenti di eseguire gli allegati di posta elettronica, è possibile creare una regola di percorso per la directory degli allegati del programma di posta elettronica in modo da impedirne l'esecuzione.
• Gli unici tipi di file interessati dalle regole di percorso sono quelli elencati in Tipi di file designati nel riquadro dei dettagli dei criteri di restrizione software. È disponibile un elenco dei tipi di file designati condivisi da tutte le regole.
• Per rendere effettivi i criteri di restrizione software, gli utenti devono aggiornare le impostazioni dei criteri disconnettendosi dal computer e poi riconnettendosi.
• Se alle impostazioni dei criteri vengono applicate più regole, esiste un ordine di precedenza delle regole per gestire i conflitti.

Per creare una regola di percorso del Registro di sistema

1. Nella schermata Start digitare regedit.

2. Nell'albero della console fare clic con il pulsante destro del mouse sulla chiave del Registro di sistema per cui si vuole creare una regola e quindi scegliere Copia nome chiave. Prendere nota del nome del valore nel riquadro dei dettagli.

3. Aprire Criteri restrizione software.

4. Nell'albero della console o nel riquadro dei dettagli fare clic con il pulsante destro del mouse su Regole aggiuntive e quindi scegliere Nuova regola di percorso.

5. In Percorso incollare il nome della chiave del Registro di sistema seguita dal nome del valore.

6. Racchiudere il percorso del Registro di sistema nei segni di percentuale (%), ad esempio, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

7. In Livello di sicurezza fare clic su Non consentito o Senza restrizioni.

8. In Descrizione digitare una descrizione per la regola e quindi fare clic su OK.