Home AppLocker: configura i criteri di limitazione delle applicazioni in Windows

AppLocker: configura i criteri di limitazione delle applicazioni in Windows

UtilizzandoCriteri di sicurezza di AppLocker, gli amministratori possono bloccare o consentire l'esecuzione di applicazioni specifiche su Windows. Con Applocker è possibile limitare l'esecuzione dei programmi per uno specifico gruppo di utenti consentendo ad altri, come gli amministratori, di eseguirli. Questa guida spiega come creare e distribuire i criteri di accesso alle applicazioni AppLocker utilizzando l'oggetto Criteri di gruppo.

La funzionalità di controllo delle applicazioni AppLocker era originariamente disponibilesolo sulle edizioni Enterprisedi Windows. Tuttavia, a partire da Windows 10 versione 2004 e da tutte le versioni di Windows 11, queste limitazioni relative alle edizioni sono state rimosse, consentendo l'applicazione dei criteri di AppLocker aProanche le edizioni.

In precedenza, le restrizioni all'avvio delle applicazioni potevano essere implementate in Windows tramite i criteri di restrizione software (SRP). Tuttavia, la funzionalità SRP è stata deprecata dal rilascio di Windows 10 versione 1803 e Windows Server 2019.

Creiamo un nuovo oggetto Criteri di gruppo del dominio contenente le impostazioni di controllo di AppLocker utilizzando lo snap-in di gestione dei criteri di gruppo del dominiogpmc.msc(allo stesso modo in cui puoi configurare le impostazioni di AppLocker su un computer autonomo utilizzando l'editor Criteri di gruppo locali),

  1. Crea un nuovo oggetto Criteri di gruppo e passa alla modalità di modifica.
  2. Per applicare i criteri di AppLocker ai client, il fileIdentità dell'applicazioneil servizio deve essere abilitato e in esecuzione (ilAppIDSvcil servizio per impostazione predefinita è disabilitato in Windows).
  3. Passare a Configurazione computer -> Impostazioni di Windows -> Impostazioni di sicurezza -> Servizi di sistema. Apri ilIdentità dell'applicazioneproprietà del servizio e abilitare l'avvio automatico.
  4. Quindi espandere Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni di sicurezza -> Criteri di controllo delle applicazioni -> AppLocker. Puoi creare regole per quattro categorie di software qui:

    Regole eseguibili– File eseguibili (.EXE e .COM).
    Regole di installazione di Windows– File di Windows Installer (.MSI, .MSP, .MST).
    Regole di scrittura– file di script (.BAT, .CMD, .JS, .PS1 e .VBS).
    Regole dell'app in pacchetto– App APPX e MSIX Microsoft Store.

  5. In questo esempio creeremo regole di controllo software per i file eseguibili. Quindi, fai clic con il pulsante destro del mouse suRegole eseguibilie selezionaCrea regole predefinite
  6. Verranno create diverse regole predefinite.

    Consenti a tutti (tutti i file presenti nella cartella Programmi): questa regola consente agli utenti di eseguire file daProgram Filesdirectory.
    Consenti a tutti (tutti i file presenti nella cartella Windows): consente agli utenti di eseguire qualsiasi file daWindowsdirectory.
    Consenti BUILTINAdministrators (tutti i file): i membri del gruppo Amministratori locali possono eseguire qualsiasi file.

  7. Ad esempio, potresti voler consentire agli utenti non amministratori di eseguire un'applicazione specifica, indipendentemente dalla sua versione o dalla posizione in cui si trova sul disco.
  8. Crea una nuova regola di AppLocker. Seleziona se desideri consentire o negare l'esecuzione del file eseguibile. Seleziona il gruppo di utenti a cui verrà applicato questo criterio (per impostazione predefinita Tutti).
  9. Scegli quindi le condizioni per la regola AppLocker. Sono disponibili tre opzioni:
    Editore– consente di creare regole per i file firmati (file di un editore specifico). Con questa regola puoi selezionare tra le seguenti opzioni: nome dell'editore, nome del prodotto, nome del file eseguibile o versione del file.
    Sentiero– specificare il percorso della directory o del file a cui verrà applicata la regola. È possibile specificare il percorso completo del file EXE o utilizzare il carattere jolly (*). Ad esempio, la regolaC:MyAppFolder*si applicherà a tutti i file eseguibili nella directory specificata.
    Hash del file– la regola può essere utilizzata per identificare un file non firmato in base al suo hash SHA-256. Questa regola consente o nega l'esecuzione di un file, indipendentemente dal suo nome o dalla posizione sul disco. Tuttavia, se la versione del file viene modificata (ad esempio, dopo un aggiornamento del software), la regola deve essere ricreata per il nuovo hash del file.
    Le seguenti variabili di ambiente specifiche di AppLocker possono essere utilizzate quando si specificano i percorsi nelle regole.
    Directory o unità di WindowsVariabile del percorso di AppLocker
    Directory di Windows%WINDIR%
    System32 e sysWOW64%SYSTEM32%
    Unità di installazione di Windows%OSDRIVE%
    File di programma%PROGRAMFILES%
    Supporti rimovibili (CD o DVD)%REMOVABLE%
    Dispositivo di archiviazione rimovibile (unità flash USB)%HOT%
  10. Creeremo una regola AppLocker per un'app specifica dal suo editore. Seleziona il file eseguibile di destinazione. Poiché il file di destinazione potrebbe non essere presente nel controller di dominio in cui viene creata la regola AppLocker, puoi utilizzare un percorso UNC per selezionare il file dal computer client in rete (ad esempio, utilizza il formato del percorso di condivisione dell'amministratore di Windows\computer123c$toolstcpview64.exe)
  11. Voglio consentire l'esecuzione di questo file in base al suo nome, indipendentemente dalla versione. Il cursore dovrebbe essere spostato suNome del file. Oppure configura condizioni più flessibili utilizzandoUtilizza valori personalizzatiopzione.
  12. NelEccezionisezione, puoi creare eccezioni alla regola in base al percorso, all'editore o all'hash del file. Ad esempio, puoi impedire l'esecuzione di versioni vecchie e vulnerabili delle app o limitarle a determinate cartelle.
  13. Imposta il nuovo nome della regola di AppLocker.

Ora creiamo una regola che impedisca agli utenti di eseguire l'app AnyDesk.exe.

  1. Aggiungi una nuova regola AppLocker
  2. La regola dovrebbe impedire a chiunque di eseguire l'app. Seleziona Azione:Negare, Utente o Gruppo:Tutti.
  3. Crea una regola Publisher e cerca l'eseguibile AnyDesk.
  4. Questa regola dovrebbe applicarsi indipendentemente dalla versione o dalla posizione del file. Puoi negare completamente il lancio di file firmati dall'editoreO=ANYDESK SOFTWARE GMBHo limitarlo in base al nome del prodotto.
  5. Tale regola bloccherà l'avvio del programma indipendentemente dalla directory in cui risiede l'eseguibile o dal nome effettivo del file.

Sebbene agli amministratori locali sia consentito eseguire qualsiasi file eseguibile locale, una regola di rifiuto ha sempre la precedenza e ne bloccherà l'esecuzione.

Per applicare le regole di AppLocker create ai computer client, apri le proprietà di AppLocker nella console dell'oggetto Criteri di gruppo. Sono disponibili quattro tipi di regole:

  • Regole eseguibili– regole per i classici file eseguibili Win32 (Exe).
  • Programma di installazione di Windowsregole: regole di installazione MSI
  • Regole di scrittura– regole di esecuzione dello script
  • Confezionato tutte le regole– regole per i pacchetti Microsoft Store AppX/MSIX

Per impostazione predefinita, le regole di AppLocker non vengono applicate. Per applicare le regole ai client, è necessario abilitare il fileConfiguratoopzione e seleziona se desideri applicare le regole inSolo verificao dentroApplicare le regolemodalità.

Si consiglia di applicare inizialmente le regole in modalità di controllo per testarne l'impatto sui client senza bloccare effettivamente l'esecuzione dell'app

Collegare l'oggetto Criteri di gruppo con le impostazioni di AppLocker all'unità organizzativa di destinazione (si consiglia vivamente di testare prima le regole di restrizione del software sui computer/unità organizzative di test).

Dopo aver applicato le nuove impostazioni di Criteri di gruppo a un client, controlla come funzionano le regole di AppLocker su di esso. Poiché le regole di AppLocker vengono attualmente applicate in modalità di controllo, l'avvio delle applicazioni non viene effettivamente bloccato.

È possibile utilizzare i registri del Visualizzatore eventi per determinare come vengono attivati ​​i criteri di AppLocker quando vengono avviati file eseguibili specifici. Aprire la console del Visualizzatore eventi (eventvwr.msc) e vai aRegistri applicazioni e servizi -> Microsoft -> Windows -> AppLocker -> EXE e DLL.

Quando AppLocker rileva un tentativo di eseguire un file eseguibile bloccato, registra un avviso con ID evento8003che include il nome dell'app bloccata.

%OSDRIVE%TOOLSANYDESK.EXE was allowed to run but would have been prevented from running if the AppLocker policy were enforced.

Se è consentita l'esecuzione dell'applicazione, ID evento8002verrà aggiunto.

Testa le regole di AppLocker con account utente non amministrativi, poiché le regole predefinite consentono agli amministratori di eseguire tutte le applicazioni senza restrizioni. Gli utenti devono lavorare all'interno delle proprie sessioni, avviando i programmi necessari ed eseguendo le attività quotidiane standard.

Esaminare le app di cui è stata bloccata l'esecuzione in base agli eventi di controllo. Puoi utilizzare PowerShell per eseguire query sui registri del Visualizzatore eventi e ottenere un elenco di app bloccate dalle regole di AppLocker su un computer.

$TimeSpan = (Get-Date).AddHours(-24)
Get-WinEvent -FilterHashtable @{LogName = "Microsoft-Windows-AppLocker/EXE and DLL"; Id = 8003; StartTime = $TimeSpan } | Format-Table TimeCreated, Message -AutoSize

Se i criteri di controllo delle applicazioni correnti bloccano un file eseguibile richiesto, modifica l'oggetto Criteri di gruppo di AppLocker per aggiungere una regola che consenta l'esecuzione dell'app.

Dopo aver eseguito il debug delle regole di AppLocker in modalità di controllo, puoi applicarle in modalità applicata. A tale scopo, modificare l'impostazione di controllo nel criterio di AppLocker inApplicare le regole.

AppLocker ora bloccherà l'avvio di tutti i programmi non autorizzati o esplicitamente negati.

This app has been blocked by your administrator

L'evento con ID 8004 verrà ora aggiunto al Visualizzatore eventi, che contiene il nome del file eseguibile bloccato.

%OSDRIVE%TOOLSANYDESK.EXE was prevented from running.

La creazione manuale di regole separate per ciascuna app consentita o bloccata in AppLocker è noiosa e dispendiosa in termini di tempo. Esistono diversi strumenti che possono accelerare e migliorare il processo di creazione e implementazione delle regole di AppLocker.

L'editor di configurazione di AppLocker nella console dell'oggetto Criteri di gruppo dispone di una funzionalità di generazione automatica delle regole. L'amministratore può selezionare ilGenera automaticamente regoleopzione e specificare una cartella di destinazione sulla macchina di riferimento. Quindi, AppLocker genererà un elenco di regole per tutto il software trovato sul computer.

Puoi anche creare regole di AppLocker importandole da singoli computer. Ad esempio, puoi ottenere un elenco di file eseguibili bloccati dai registri del Visualizzatore eventi utilizzando PowerShell:

Get-ApplockerFileinformation -Eventlog -EventType Audited|fl

In base a queste informazioni, puoi aggiungere automaticamente regole ai criteri di AppLocker locali.

Get-ApplockerFileinformation -Eventlog -EventType Audited | New-ApplockerPolicy -RuleType Hash, Publisher -User jsmith -RuleNamePrefix AuditBased | Set-ApplockerPolicy –Merge

Le nuove regole verranno aggiunte ai criteri AppLocker locali del computer. Da lì possono essere esportati e importati nell'oggetto Criteri di gruppo del dominio.

Vedi anche:Come disabilitare PowerShell con i criteri di restrizione software GPO

Elenca solo gli eseguibili bloccati (incluso il numero di tentativi di eseguire ciascun file):

Get-AppLockerFileInformation -EventLog -EventType Denied -Statistics

Tieni presente i seguenti punti durante la creazione delle regole di AppLocker:

Che ne dici della possibilità di sospendere temporaneamente AppLocker su un computer? Potresti pensare che l'arresto del servizio Identità applicazione impedirebbe l'applicazione delle regole di AppLocker. Tuttavia, questo non è vero.

Per disattivare temporaneamente AppLocker su un computer, arresta prima il servizio AppIDSvc e quindi elimina il fileAppCache.dat,Ex.AppLocker, EEcc. AppLockerfile daC:WindowsSystem32AppLockercartella.

Le versioni moderne di Windows includono un meccanismo aggiuntivo per il controllo dei lanci eseguibili chiamatoControllo delle applicazioni Windows Defender (WDAC). Sebbene sia leggermente più complesso da configurare rispetto ad AppLocker, è la scelta migliore grazie alla sua flessibilità, scalabilità e sicurezza avanzata. A differenza di AppLocker, che funziona solo in modalità utente, WDAC può bloccare l'esecuzione del codice sia a livello di kernel (ad esempio, driver) che in modalità utente.

Related Posts

Come ripristinare il database della cassetta postale del server Exchange

Come ripristinare il database della cassetta postale del server Exchange

2024-04-25
Come correggere l'errore "Impossibile trovare un sistema operativo avviabile" sui dispositivi di superficie

Come correggere l'errore "Impossibile trovare un sistema operativo avviabile" sui dispositivi di superficie

2025-05-04
Come correggere l'errore "È necessario formattare il disco in unità prima di usarlo"

Come correggere l'errore "È necessario formattare il disco in unità prima di usarlo"

2025-04-30
Come verificare se il disco utilizza lo stile di partizione MBR o GPT

Come verificare se il disco utilizza lo stile di partizione MBR o GPT

2025-05-08
Come bloccare i messaggi su iPhone

Come bloccare i messaggi su iPhone

2025-08-27
Hosting Web su cloud cPanel

Hosting Web su cloud cPanel

2025-02-04
Windows rileva solo un'unità NTFS quando ne sono collegate due

Windows rileva solo un'unità NTFS quando ne sono collegate due

2025-01-14
Articoli su Windows 11

Articoli su Windows 11

2024-12-26
Intelligenza artificiale

Intelligenza artificiale

2024-12-16
Ripara la partizione riservata del sistema mancante in Windows 10/11

Ripara la partizione riservata del sistema mancante in Windows 10/11

2023-12-15
Perché il mio registro delle chiamate si cancella da solo su iPhone? Ragioni e 3 soluzioni

Perché il mio registro delle chiamate si cancella da solo su iPhone? Ragioni e 3 soluzioni

2024-09-26
Come può attivare l'ID elettronico?

Come può attivare l'ID elettronico?

2025-04-21
Come visualizzare la frequenza della CPU nella barra di stato (funzionante)

Come visualizzare la frequenza della CPU nella barra di stato (funzionante)

2023-12-02
Come eseguire il root di OnePlus 12/11/10/9/8/7/6 senza difficoltà? 3 modi

Come eseguire il root di OnePlus 12/11/10/9/8/7/6 senza difficoltà? 3 modi

2024-10-11
Attiva l'accesso della carta di credito JCPenney su JCP.SYF.com 2025: richiedere un JCPenney

Attiva l'accesso della carta di credito JCPenney su JCP.SYF.com 2025: richiedere un JCPenney

2025-01-24