Creare una regola per le app in pacchetto
Questo articolo per i professionisti IT illustra come creare una regola di AppLocker per le app in pacchetto con una condizione di pubblicazione.
Le app in pacchetto si basano su un modello di app che garantisce che tutti i file all'interno di un pacchetto dell'app condividano la stessa identità. È quindi possibile controllare l'intera app usando una singola regola di AppLocker anziché app non in pacchetto in cui ogni file all'interno dell'app potrebbe avere un'identità univoca. Tutte le app in pacchetto devono essere firmate. AppLocker supporta solo le regole di pubblicazione per le app in pacchetto. Una regola di pubblicazione per un'app in pacchetto si basa sulle informazioni seguenti:
- Server di pubblicazione del pacchetto
- Nome pacchetto
- Versione pacchetto
Tutti i file all'interno di un pacchetto e i programmi di installazione del pacchetto condividono questi attributi. Pertanto, una regola di AppLocker per un'app in pacchetto controlla sia l'installazione che l'esecuzione dell'app. In caso contrario, le regole del server di pubblicazione per le app in pacchetto si comportano come in altre raccolte di regole.
Per informazioni sulla condizione del server di pubblicazione, vedi Informazioni sulla condizione della regola del server di pubblicazione in AppLocker.
Per gestire un criterio di AppLocker in un oggetto Criteri di gruppo, è possibile eseguire questa attività usando Criteri di gruppo Management Console. Per gestire un criterio di AppLocker per il computer locale o per l'uso in un modello di sicurezza, usare lo snap-in Criteri di sicurezza locali. Per informazioni su come usare questi snap-in MMC per amministrare AppLocker, vedi Amministrare AppLocker.
Per creare una regola dell'app in pacchetto
Aprire la console di AppLocker.
Nel menu Azione o facendo clic con il pulsante destro del mouse su Regole dell'app in pacchetto selezionare Crea nuova regola.
Nella pagina Prima di iniziare selezionare Avanti.
Nella pagina Autorizzazioni selezionare l'azione (consenti o nega) e l'utente o il gruppo a cui deve essere applicata la regola e quindi selezionare Avanti.
Nella pagina Server di pubblicazione è possibile selezionare un riferimento specifico per la regola dell'app in pacchetto e impostare l'ambito per la regola. Nella tabella seguente vengono descritte le opzioni di riferimento.
Selection Descrizione Esempio Usare un'app in pacchetto installata come riferimento Se selezionata, AppLocker richiede di scegliere un'app già installata su cui basare la nuova regola. AppLocker usa il server di pubblicazione, il nome del pacchetto e la versione del pacchetto per definire la regola. Si vuole che il gruppo Sales usi solo l'app denominata Microsoft.BingMaps per le chiamate di vendita esterne. L'app Microsoft.BingMaps è già installata nel dispositivo in cui si sta creando la regola, quindi scegliere questa opzione. Selezionare quindi l'app nell'elenco delle app installate nel computer e creare la regola usando questa app come riferimento. Usare un programma di installazione di un'app in pacchetto come riferimento Se selezionata, AppLocker richiede di scegliere un programma di installazione dell'app su cui basare la nuova regola. Un programma di installazione di un'app in pacchetto ha l'estensione .appx. AppLocker usa il server di pubblicazione, il nome del pacchetto e la versione del pacchetto del programma di installazione per definire la regola. L'azienda sviluppa molte app line-of-business interne in pacchetto. I programmi di installazione dell'app vengono archiviati in una condivisione file comune. I dipendenti possono installare le app necessarie da tale condivisione file. Si vuole consentire a tutti i dipendenti di installare l'app Payroll da questa condivisione. Scegliere quindi questa opzione dalla procedura guidata, passare alla condivisione file e scegliere il programma di installazione per l'app Payroll come riferimento per creare la regola. La tabella seguente descrive l'impostazione dell'ambito per la regola dell'app in pacchetto.
Selection Descrizione Esempio Si applica a qualsiasi server di pubblicazione Questa impostazione è la condizione di ambito meno restrittiva per una regola Consenti . Consente l'esecuzione o l'installazione di ogni app in pacchetto.
Al contrario, se questa impostazione è una regola di negazione , questa opzione è la più restrittiva perché nega a tutte le app di installare o eseguire.Si vuole che il gruppo Sales usi qualsiasi app in pacchetto di qualsiasi server di pubblicazione firmato. Si impostano le autorizzazioni per consentire al gruppo Sales di eseguire qualsiasi app. Si applica a un server di pubblicazione specifico Questa impostazione definisce l'ambito della regola per tutte le app pubblicate da un determinato editore. Si vuole consentire a tutti gli utenti di installare le app pubblicate dall'editore di Microsoft.BingMaps. È possibile selezionare Microsoft.BingMaps come riferimento e scegliere questo ambito di regola. Si applica a un nome di pacchetto Questa impostazione definisce l'ambito della regola per tutti i pacchetti che condividono il nome del server di pubblicazione e il nome del pacchetto come file di riferimento. Si vuole consentire al gruppo Sales di installare qualsiasi versione dell'app Microsoft.BingMaps. È possibile selezionare l'app Microsoft.BingMaps come riferimento e scegliere questo ambito della regola. Si applica a una versione del pacchetto Questa impostazione definisce l'ambito della regola per una determinata versione del pacchetto. Si vuole essere selettivi in ciò che si consente. Non si vuole considerare implicitamente attendibili tutti gli aggiornamenti futuri dell'app Microsoft.BingMaps. È possibile limitare l'ambito della regola alla versione dell'app attualmente installata nel computer di riferimento. Applicazione di valori personalizzati alla regola Selezionando la casella di controllo Usa valori personalizzati è possibile modificare i campi dell'ambito per la specifica circostanza. Si vuole consentire agli utenti di installare tutte le applicazioni Microsoft.Bing , tra cui Microsoft.BingMaps, Microsoft.BingWeather, Microsoft.BingMoney. È possibile scegliere Microsoft.BingMaps come riferimento, selezionare la casella di controllo Usa valori personalizzati e modificare il campo nome pacchetto aggiungendo "Microsoft.Bing*" come nome del pacchetto. Seleziona Avanti.
(Facoltativo) Nella pagina Eccezioni specificare le condizioni in base alle quali escludere i file dall'effetto della regola. Queste condizioni consentono di aggiungere eccezioni in base allo stesso riferimento alle regole e allo stesso ambito delle regole impostate in precedenza. Seleziona Avanti.
Nella pagina Nome accettare il nome della regola generato automaticamente o digitare un nuovo nome di regola e quindi selezionare Crea.