AppLocker
Nota
Alcune funzionalità di controllo delle applicazioni Windows Defender sono disponibili solo in versioni specifiche di Windows. Mer informasjon sulla disponibilità delle funzionalità di controllo delle applicazioni Windows Defender.
Questo articolo fornisce una descrizione di AppLocker e consente di decidere se l'organizzazione può trarre vantaggio dalla distribuzione dei criteri di controllo dell'applicazione AppLocker. AppLocker consente di controllare le app e i file che gli utenti possono eseguire. Sono inclusi file eseguibili, script, file di Windows Installer, librerie a collegamento dinamico (file DLL), app in pacchetto e programmi di installazione di app in pacchetto.
Nota
AppLocker non è in grado di controllare i processi in esecuzione con l'account di sistema in qualsiasi sistema operativo.
AppLocker consente di:
- Definire regole basate su attributi di file che rimangono invariate anche in caso di aggiornamento delle app, ad esempio nome dell'autore (derivato dalla firma digitale), nome del prodotto, nome di file e versione del file. Puoi anche creare regole basate sul percorso di file o sull'hash.
- Assegnare una regola a un gruppo di sicurezza o a un singolo utente.
- Creare eccezioni alle regole. Ad esempio, puoi creare una regola che consenta a tutti gli utenti di eseguire tutti i file binari di Windows, tranne l'Editor del Registro di sistema (regedit.exe).
- Usare la modalità Controlla soltanto per distribuire i criteri e valutarne l'impatto prima dell'imposizione.
- Creare regole in un server di gestione temporanea, testarle e quindi esportarle nell'ambiente di produzione e importarle in un oggetto Criteri di gruppo.
- Semplificare la creazione e gestione delle regole di AppLocker tramite Windows PowerShell.
AppLocker consente di ridurre l'overhead amministrativo e i costi dell'organizzazione per la gestione delle risorse di elaborazione, riducendo il numero di chiamate al supporto tecnico risultanti dall'esecuzione di app non approvate da parte degli utenti. AppLocker si rivolge ai seguenti scenari di sicurezza delle applicazioni:
- Inventario delle applicazioni: AppLocker ha la possibilità di applicare i criteri in una modalità di solo controllo in cui tutte le attività di accesso alle app sono registrate nei log eventi. Questi eventi possono essere raccolti per poter essere ulteriormente analizzati. Anche i cmdlet di Windows PowerShell consentono di analizzare questi dati a livello di programmazione.
- Protezione da software indesiderato: AppLocker ha la possibilità di negare l'esecuzione delle app quando le escludi dall'elenco delle app consentite. Quando le regole di AppLocker vengono applicate nell'ambiente di produzione, l'esecuzione di tutte le app non incluse nelle regole consentite viene bloccata.
- Conformità alle licenze: AppLocker consente di creare regole che impediscono l'esecuzione del software senza licenza e di limitare il software concesso in licenza agli utenti autorizzati.
- Standardizzazione del software: i criteri di AppLocker possono essere configurati per consentire l'esecuzione solo di app supportate o approvate nei computer all'interno di un gruppo aziendale. Questa configurazione consente una distribuzione dell'app più uniforme.
- Miglioramento della gestibilità: AppLocker include molti miglioramenti nella gestibilità rispetto ai criteri di restrizione software precedenti. L'importazione e l'esportazione di criteri, la generazione automatica di regole da più file, la distribuzione in modalità solo controllo e i cmdlet di Windows PowerShell sono solo alcuni dei miglioramenti rispetto ai Criteri di restrizione software.
Quando utilizzare AppLocker
In molte organizzazioni le informazioni rappresentano la risorsa più preziosa ed è imperativo garantire che solo utenti approvati dispongano dell'accesso a tali informazioni. Le tecnologie di controllo dell'accesso, ad esempio Active Directory Rights Management Services (AD RMS) e gli elenchi di controllo di accesso (ACL), semplificano il controllo degli utenti autorizzati ad accedere a dati specifici.
Tuttavia, quando un utente esegue un processo, tale processo ha lo stesso livello di accesso ai dati dell'utente. Di conseguenza, le informazioni riservate potrebbero venire eliminate o divulgate all'esterno dell'organizzazione se un utente intenzionalmente o inconsapevolmente esegue software dannoso. AppLocker consente di ridurre questi tipi di violazione della sicurezza limitando i file che gli utenti o i gruppi sono autorizzati a eseguire. Gli autori di software hanno iniziato a creare sempre più app che possono essere installate da utenti non amministratori. Questo privilegio potrebbe compromettere i criteri di sicurezza scritti di un'organizzazione e aggirare le tradizionali soluzioni di controllo delle app che si basano sull'incapacità degli utenti di installare le app. AppLocker crea un elenco consentito di file e app approvati per impedire l'esecuzione di tali app per utente. Poiché AppLocker può controllare le DLL, è anche utile controllare chi può installare ed eseguire i controlli ActiveX.
AppLocker è ideale per le organizzazioni che attualmente usano criteri di gruppo per gestire i propri PC.
Ecco alcuni esempi di scenari in cui AppLocker può essere usato:
- I criteri di sicurezza dell'organizzazione determinano l'uso solo di software concesso in licenza e devi impedire agli utenti di eseguire software senza licenza e limitare l'uso di software concesso in licenza solo agli utenti autorizzati.
- Un'app non è più supportata dall'organizzazione e devi evitare che tutti gli utenti la usino.
- Il rischio che il software indesiderato possa essere introdotto nell'ambiente in uso è elevato e devi ridurre questo rischio.
- La licenza per un'app è stata revocata o è scaduta nell'organizzazione, quindi è necessario impedirne l'uso da parte di tutti.
- Una nuova app o una nuova versione di un'app viene distribuita e devi impedire agli utenti di eseguire la versione precedente.
- Strumenti software specifici non sono consentiti all'interno dell'organizzazione o solo utenti specifici devono avere accesso a tali strumenti.
- Un singolo utente o un gruppo ristretto di utenti deve usare un'app specifica negata a tutti gli altri.
- Alcuni computer dell'organizzazione sono condivisi da utenti con esigenze di uso di software diverse e devi proteggere app specifiche.
- Oltre ad altre misure devi controllare l'accesso a dati sensibili tramite l'uso di app.
Nota
AppLocker è una funzionalità di sicurezza avanzata e non un limite di sicurezza. Windows Defender controllo delle applicazioni deve essere usato quando l'obiettivo è fornire una protezione affidabile da una minaccia e non ci sono limitazioni di progettazione che impediscono alla funzionalità di sicurezza di raggiungere questo obiettivo.
AppLocker consente di proteggere le risorse digitali all'interno dell'organizzazione, ridurre il rischio di introduzione di software dannoso nell'ambiente in uso e migliorare la gestione del controllo delle applicazioni e la manutenzione dei criteri di controllo delle applicazioni.
Installazione di AppLocker
AppLocker è incluso nelle edizioni Enterprise di Windows. Puoi creare regole di AppLocker per un singolo computer o per un gruppo di computer. Per un singolo computer, puoi creare regole usando l'editor Criteri di sicurezza locali (secpol.msc). Per un gruppo di computer, puoi creare regole all'interno di un oggetto Criteri di gruppo usando Console Gestione Criteri di gruppo (GPMC).
Nota
Console Gestione Criteri di gruppo è disponibile nei computer client che eseguono Windows solo installando gli strumenti di amministrazione remota del server. Nei computer che eseguono Windows Server, devi installare la funzionalità Gestione Criteri di gruppo.
Uso di AppLocker nelle installazioni Server Core
AppLocker nelle installazioni server core non è supportato.
Considerazioni sulla virtualizzazione
Puoi amministrare i criteri di AppLocker tramite un'istanza virtualizzata di Windows a condizione che soddisfi tutti i requisiti di sistema elencati in precedenza. Puoi anche eseguire Criteri di gruppo in un'istanza virtualizzata. Tuttavia, in questo caso rischi di perdere i criteri che hai creato e conservato se l'istanza virtualizzata viene rimossa o ha esito negativo.
Considerazioni sulla sicurezza
I criteri di controllo delle applicazioni specificano le app che possono essere eseguite nel computer locale. Le varie forme che un software dannoso può assumere rendono estremamente difficile per gli utenti sapere gli elementi la cui esecuzione è sicura. Se attivato, il software dannoso può compromettere seriamente il contenuto di un'unità disco rigido, intasare una rete con richieste a causa di un attacco Denial of Service (DoS), inviare informazioni riservate a Internet o violare la sicurezza di un computer.
Come contromisura ti consigliamo di creare una progettazione affidabile dei criteri di controllo delle applicazioni nei PC dell'organizzazione e quindi sottoporre tali criteri a rigidi test in un ambiente di laboratorio prima di distribuirli in un ambiente di produzione. AppLocker può essere incluso in una strategia di controllo delle app perché puoi controllare i software per i quali l'esecuzione è consentita nei computer.
Un'implementazione difettosa dei criteri di controllo delle applicazioni può disabilitare applicazioni necessarie o consentire l'esecuzione di software dannosi o indesiderati. È quindi importante che le organizzazioni dedichino risorse sufficienti per gestire e risolvere i problemi relativi all'implementazione di tali criteri.
Per altre informazioni su problemi di sicurezza specifici, vedere Considerazioni sulla sicurezza per AppLocker. Durante l'uso di AppLocker per la creazione di criteri di controllo delle applicazioni, prestare attenzione alle seguenti considerazioni sulla sicurezza:
- Chi dispone del diritto di impostare i criteri di AppLocker?
- Come si fa a verificare che i criteri vengono imposti?
- Quali eventi dovresti controllare?
Come riferimento per la fase di pianificazione della sicurezza, nella tabella seguente sono riportate le impostazioni di base per un PC con AppLocker installato:
| Impostazione | Valore predefinito |
|---|---|
| Account creati | Nessuna |
| Metodo di autenticazione | Non applicabile |
| Interfacce di gestione | AppLocker può essere gestito tramite Gestione Criteri di gruppo, uno snap-in Microsoft Management Console, e Windows PowerShell. |
| Porte aperte | Nessuna |
| Sono necessari privilegi minimi | Amministratore nel computer locale; amministratore del dominio o qualsiasi insieme di diritti che consentono di creare, modificare e distribuire gli oggetti Criteri di gruppo. |
| Protocolli usati | Non applicabile |
| Attività pianificate | Appidpolicyconverter.exe è inserito in un'attività pianificata per venire eseguito su richiesta. |
| Criteri di sicurezza | Nessun criterio richiesto AppLocker crea i criteri di sicurezza. |
| Servizi di sistema richiesti | Il servizio Identità applicazione (appidsvc) viene eseguito in LocalServiceAndNoImpersonation. |
| Archiviazione delle credenziali | Nessuno |
Contenuto della sezione
| Articolo | Descrizione |
|---|---|
| Amministrare AppLocker | Questo articolo per i professionisti IT fornisce collegamenti a procedure specifiche da usare durante l'amministrazione dei criteri di AppLocker. |
| Guida alla progettazione di AppLocker | Questo articolo per il professionista IT presenta i passaggi di progettazione e pianificazione necessari per distribuire i criteri di controllo delle applicazioni usando AppLocker. |
| Guida alla distribuzione di AppLocker | Questo articolo per i professionisti IT presenta i concetti e descrive i passaggi necessari per distribuire i criteri di AppLocker. |
| Documentazione tecnica su AppLocker | Questo articolo di panoramica per i professionisti IT fornisce collegamenti agli articoli di riferimento tecnico. |