Come creare policy di restrizioni software con AppLocker

Abbiamo già visto come limitare l’uso di software in Windows Server 2012 // R2 usando GPO. Esiste un’altra modalità disponibile da Windows Server 2012, grazie ad una feature chiamata AppLocker.

Utilizzeremo ancora GPOAppLocker è una sezione di GPO – per imporre restrizioni software, in modo più facile e potente.

AppLocker può gestire permessi di esecuzione di:

  • Executable: files con estensione .exe
  • Windows installer: pacchetti installanti di wondows con estensioni .msi e .msp
  • Script: files con estensioni .ps1, .bat, .cmd, .cbs and .js
  • Packaged App: app di Windows store

Aprite il Server Manager e lanciate Group Policy Management:

Enforce Software Restriction policies with AppLocker

Create un nuovo GPO:

Enforce Software Restriction policies with AppLocker

Modificate la policy:

Enforce Software Restriction policies with AppLocker

Troverete le impostazioni di AppLocker all’interno del percorso Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker. Cliccate Configure rule enforcement:

Enforce Software Restriction policies with AppLocker

Controllare tutte le regole da imporre. Di default AppLocker blocca tutti gli eseguibili, i pacchetti di installazione e script, ad eccezione di quelle specificate in Allow rules:

Enforce Software Restriction policies with AppLocker

AppLocker differisce da criteri di restrizione software per la capacità di creare automaticamente le regole. Cliccate col tasto destro nel box bianco Automatically Generate Rules, apparirà la configurazione guidata:

Enforce Software Restriction policies with AppLocker

Specificate gli utenti che saranno interessati e selezionate il percorso che verrà analizzato per creare automaticamente le regole “Allow execute”:

Enforce Software Restriction policies with AppLocker

Potrete scegliere di permettere o non permettere l’esecuzione di eseguibili non firmati. E’ più affidabile creare regole basate sul hash eseguibile piuttosto che sul percorso del file:

Enforce Software Restriction policies with AppLocker

CliccateCreate:

Enforce Software Restriction policies with AppLocker

Le nuove regole appariranno:

Enforce Software Restriction policies with AppLocker

Possiamo anche creare nuove regole manualmente.

Tasto destro sullo sfondo e scegliete Create New Rule:

Enforce Software Restriction policies with AppLocker

Cliccate Next:

Enforce Software Restriction policies with AppLocker

Specificare gli utenti che saranno interessati dalla regola e il tipo di regola (Allow or Deny execution):

Enforce Software Restriction policies with AppLocker

Ci sono tre modi per specificare quali applicazioni saranno influenzati dalla regola:

  • Publisher: identificare le applicazioni firmate da un editor specifico;
  • Path: identifica specifici files e percorsi;
  • File Hash: identifica applicazioni basandosi sulla firma digitale.

Nel nostro esempio scegliamo Path:

Enforce Software Restriction policies with AppLocker

Specificate il Path:

Enforce Software Restriction policies with AppLocker

Potete eventualmente aggiungere eccezioni:

Enforce Software Restriction policies with AppLocker

Nominate la nuova regola e cliccate Create:

Enforce Software Restriction policies with AppLocker

La regola apparirà:

Enforce Software Restriction policies with AppLocker

Comments