Estensioni della raccolta di regole di AppLocker
Questo articolo descrive le estensioni della raccolta di regole aggiunte in Windows 10 e versioni successive. Le estensioni della raccolta di regole sono funzionalità facoltative disponibili solo per le raccolte di regole EXE e DLL. Configurare le estensioni della raccolta di regole modificando direttamente il codice XML dei criteri di AppLocker, come illustrato nel frammento XML seguente.
<RuleCollectionExtensions>
<ThresholdExtensions>
<Services EnforcementMode="Enabled"/>
</ThresholdExtensions>
<RedstoneExtensions>
<SystemApps Allow="Enabled"/>
</RedstoneExtensions>
</RuleCollectionExtensions>
Importante
Quando si aggiungono estensioni della raccolta di regole ai criteri di AppLocker, è necessario includere sia ThresholdExtensions che RedstoneExtensions oppure i criteri causeranno un comportamento imprevisto.
Imposizione dei servizi
Per impostazione predefinita, i criteri di AppLocker si applicano solo al codice in esecuzione nel contesto di un utente. In Windows 10, Windows 11 e Windows Server 2016 o versioni successive puoi applicare i criteri di AppLocker ai processi non utente, inclusi i servizi in esecuzione come SYSTEM. È necessario abilitare l'imposizione dei servizi quando si usa AppLocker con la funzionalità del programma di installazione gestito di Windows Defender Application Control (WDAC).
Per applicare i criteri di AppLocker ai processi non utente, impostare <Services EnforcementMode="Enabled"/> nella <ThresholdExtensions> sezione come illustrato nel frammento XML precedente.
App di sistema
Quando si usa AppLocker per controllare i processi non utente, i criteri devono consentire tutto il codice di sistema di Windows oppure il dispositivo potrebbe comportarsi in modo imprevisto. Per consentire automaticamente tutto il codice di sistema che fa parte di Windows, impostare <SystemApps Allow="Enabled"/> nella <RedstoneExtensions> sezione come illustrato nel frammento XML precedente.