Come creare policy di restrizioni software con AppLocker

Pubblicato: Ottobre 6th, 2017

Commenti:

Abbiamo già visto come limitare l’uso di software in Windows Server 2012 // R2 usando GPO. Esiste un’altra modalità disponibile da Windows Server 2012, grazie ad una feature chiamata AppLocker.

Utilizzeremo ancora GPO – AppLocker è una sezione di GPO – per imporre restrizioni software, in modo più facile e potente.

AppLocker può gestire permessi di esecuzione di:

Executable: files con estensione .exe
Windows installer: pacchetti installanti di wondows con estensioni .msi e .msp
Script: files con estensioni .ps1, .bat, .cmd, .cbs and .js
Packaged App: app di Windows store

Aprite il Server Manager e lanciate Group Policy Management:

Create un nuovo GPO:

Modificate la policy:

Troverete le impostazioni di AppLocker all’interno del percorso Computer Configuration\Policies\Windows Settings\Security Settings\Application Control Policies\AppLocker. Cliccate Configure rule enforcement:

Controllare tutte le regole da imporre. Di default AppLocker blocca tutti gli eseguibili, i pacchetti di installazione e script, ad eccezione di quelle specificate in Allow rules:

AppLocker differisce da criteri di restrizione software per la capacità di creare automaticamente le regole. Cliccate col tasto destro nel box bianco Automatically Generate Rules, apparirà la configurazione guidata:

Specificate gli utenti che saranno interessati e selezionate il percorso che verrà analizzato per creare automaticamente le regole “Allow execute”:

Potrete scegliere di permettere o non permettere l’esecuzione di eseguibili non firmati. E’ più affidabile creare regole basate sul hash eseguibile piuttosto che sul percorso del file: