Gestire i criteri di AppLocker
Questo articolo descrive come gestire le regole all'interno dei criteri di AppLocker.
Gli scenari di manutenzione comuni di AppLocker includono:
- Viene distribuita una nuova app ed è necessario aggiornare i criteri di AppLocker.
- Viene distribuita una nuova versione di un'app ed è necessario aggiornare un criterio di AppLocker o creare una nuova regola per aggiornare i criteri.
- Un'app non è più supportata dall'organizzazione, quindi è necessario impedirne l'uso.
- Un'app sembra essere bloccata, ma deve essere consentita.
- Un'app sembra essere consentita, ma deve essere bloccata.
- Un singolo utente o un piccolo subset di utenti deve usare un'app specifica bloccata.
Esistono tre metodi che è possibile usare per gestire i criteri di AppLocker:
- Gestione dei criteri di AppLocker tramite Mobile Gestione dispositivi (MDM)
- Gestione dei criteri di AppLocker tramite Criteri di gruppo
- Gestione dei criteri di AppLocker nel computer locale
Gestione dei criteri di AppLocker tramite Mobile Gestione dispositivi (MDM)
Usando il provider di servizi di configurazione AppLocker, è possibile selezionare quali app sono consentite o bloccate dall'esecuzione. Usando il provider di servizi di configurazione, è possibile configurare le restrizioni delle app in base al raggruppamento (ad esempio EXE, MSI, DLL, app dello Store e altro ancora) e quindi scegliere come applicare criteri diversi per app diverse.
Per altre informazioni, vedere AppLocker CSP.
Gestione dei criteri di AppLocker tramite Criteri di gruppo
Per ogni scenario, i passaggi per gestire i criteri di AppLocker distribuiti da Criteri di gruppo includono le attività seguenti.
Quando vengono distribuite nuove app e le app esistenti vengono aggiornate o ritirate, potrebbe essere necessario aggiornare le regole nell'oggetto Criteri di gruppo per mantenere aggiornati i criteri.
È possibile modificare un criterio di AppLocker aggiungendo, modificando o rimuovendo regole. Tuttavia, non è possibile specificare una versione per i criteri di AppLocker importando altre regole. Per garantire il controllo della versione durante la modifica di un criterio di AppLocker, usare Criteri di gruppo software di gestione che consente di creare versioni di oggetti Criteri di gruppo.
Importante
È consigliabile evitare di modificare una raccolta di regole di AppLocker mentre viene applicata in Criteri di gruppo. Poiché AppLocker controlla quali file possono essere eseguiti, l'applicazione di modifiche a un criterio live può causare un comportamento imprevisto.
Passaggio 1: Comprendere il comportamento corrente dei criteri dall'oggetto Criteri di gruppo
Prima di modificare un criterio, valutare il modo in cui i criteri sono attualmente implementati. Ad esempio, se viene distribuita una nuova versione dell'applicazione, è possibile usare Test-AppLockerPolicy per verificare l'efficacia dei criteri correnti per l'app.
Passaggio 2: Esportare i criteri di AppLocker dall'oggetto Criteri di gruppo
L'aggiornamento di un criterio di AppLocker attualmente applicato nell'ambiente di produzione può avere risultati imprevisti. Pertanto, esportare i criteri dall'oggetto Criteri di gruppo e aggiornare la regola o le regole usando AppLocker nel computer di riferimento o di test di AppLocker. Per preparare un criterio di AppLocker per la modifica, vedere Esportare un criterio di AppLocker da un oggetto Criteri di gruppo.
Passaggio 3: Aggiornare i criteri di AppLocker modificando la regola appLocker appropriata
Dopo aver esportato i criteri di AppLocker dall'oggetto Criteri di gruppo nel computer di riferimento o di test di AppLocker oppure aver eseguito l'accesso ai criteri nel computer locale, le regole possono essere modificate in base alle esigenze.
Per modificare le regole di AppLocker, vedere gli articoli seguenti:
- Modificare le regole di AppLocker
- Unire i criteri di AppLocker usando set-applockerPolicy o unire manualmente i criteri di AppLocker
- Eliminare una regola di AppLocker
- Imporre le regole di AppLocker
Passaggio 4: Testare i criteri di AppLocker
È consigliabile testare ogni raccolta di regole per assicurarsi che le regole vengano eseguite come previsto. Poiché le regole di AppLocker vengono ereditate dagli oggetti Criteri di gruppo collegati, è necessario distribuire tutte le regole per il test simultaneo in tutti gli oggetti Criteri di gruppo di test. Per la procedura per eseguire questo test, vedere Testare e aggiornare un criterio di AppLocker.
Passaggio 5: Importare i criteri di AppLocker nell'oggetto Criteri di gruppo
Dopo il test, importare nuovamente i criteri di AppLocker nell'oggetto Criteri di gruppo per l'implementazione. Per aggiornare l'oggetto Criteri di gruppo con un criterio AppLocker modificato, vedere Importare un criterio di AppLocker in un oggetto Criteri di gruppo.
Passaggio 6: Monitorare il comportamento dei criteri risultante
Dopo aver distribuito un criterio, valutare l'efficacia del criterio.
Gestione dei criteri di AppLocker tramite lo snap-in Criteri di sicurezza locali
Per ogni scenario, i passaggi per gestire i criteri di AppLocker usando lo snap-in Local Criteri di gruppo Editor o Local Security Policy includono le attività seguenti.
Passaggio 1: Comprendere il comportamento corrente dei criteri
Prima di modificare un criterio, valutare il modo in cui i criteri sono attualmente implementati.
Passaggio 2: Aggiornare i criteri di AppLocker modificando la regola appLocker appropriata
Le regole vengono raggruppate in una raccolta, a cui può essere applicata l'impostazione di imposizione dei criteri. Per impostazione predefinita, le regole di AppLocker non consentono agli utenti di aprire o eseguire file non consentiti.
Per modificare le regole di AppLocker, vedere l'articolo appropriato elencato in Amministra AppLocker.
Passaggio 3: Testare i criteri di AppLocker
È consigliabile testare ogni raccolta di regole per assicurarsi che le regole vengano eseguite come previsto. Per la procedura per eseguire questo test, vedere Testare e aggiornare un criterio di AppLocker.
Passaggio 4: Distribuire i criteri con la regola modificata
È possibile esportare e quindi importare i criteri di AppLocker per distribuire i criteri in altri computer che eseguono Windows 8 o versioni successive. Per eseguire questa attività, vedere Esportare un criterio di AppLocker in un file XML e Importare criteri di AppLocker da un altro computer.
Passaggio 5: Monitorare il comportamento dei criteri risultante
Dopo aver distribuito un criterio, valutare l'efficacia del criterio.
Altre risorse
- Per la procedura per eseguire altre attività dei criteri di AppLocker, vedere Amministrare AppLocker.