Determinare l'elenco Consenti-Nega e l'inventario delle applicazioni per i criteri di restrizione software

• Si applica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Questo argomento per i professionisti IT fornisce indicazioni su come creare un elenco “consenti” e “nega” per le applicazioni che devono essere gestite da Criteri di restrizione software (SRP) a partire da Windows Server 2008 e Windows Vista.

Introduzione

I criteri di restrizione software sono una funzionalità basata su Criteri di gruppo che identifica i programmi software in esecuzione nei computer di un dominio e controlla la possibilità di tali programmi di essere eseguiti. È possibile utilizzare i criteri di restrizione software per creare una configurazione molto restrittiva per i computer, in cui consentire l'esecuzione solo di applicazioni specifiche identificate. Questi criteri sono integrati in Active Directory Domain Services e in Criteri di gruppo, ma possono anche essere configurati in computer autonomi. Per informazioni preliminari, vedere Criteri di restrizione software.

A partire da Windows Server 2008 R2 e Windows 7, è possibile usare Windows AppLocker invece di o in combinazione con Criteri di restrizione software per una parte della strategia di controllo delle applicazioni.

Per informazioni su come eseguire attività specifiche tramite Criteri di restrizione software, vedere:

• Usare le regole dei criteri di restrizione software

• Usare i criteri di restrizione software per proteggere il computer da un virus di posta elettronica

Quale regola predefinita scegliere: Consenti o Nega

I criteri di restrizione software possono essere distribuiti in una delle due modalità che costituiscono la base della regola predefinita: Elenco consente o Elenco nega. È possibile creare un criterio che identifichi tutte le applicazioni che possono essere eseguite nell'ambiente; la regola predefinita nell’ambito del criterio è Con restrizioni e blocca tutte le applicazioni che non consentono esplicitamente l'esecuzione. In alternativa, è possibile creare un criterio che identifichi tutte le applicazioni che non possono essere eseguite; la regola predefinita è Senza restrizioni e limita solo le applicazioni elencate in modo esplicito.

Importante

La modalità Elenco nega potrebbe essere una strategia di manutenzione elevata per l'organizzazione relativa al controllo delle applicazioni. La creazione e la gestione di un elenco in continua evoluzione che vieta tutti i malware e altre applicazioni problematiche sarebbero dispendiose in termini di tempo e soggette a errori.

Creare un inventario delle applicazioni per l'elenco Consenti

Per usare in modo efficace la regola Consenti predefinita, è necessario determinare esattamente quali applicazioni sono necessarie nell'organizzazione. Sono disponibili strumenti progettati per produrre un inventario di applicazioni, ad esempio Inventory Collector nel Toolkit di compatibilità delle applicazioni Microsoft. Tuttavia, SRP ha una funzionalità di registrazione avanzata che consente di comprendere esattamente quali applicazioni sono in esecuzione nell'ambiente.

Per individuare le applicazioni da consentire

1. In un ambiente di test distribuire Criteri di restrizione software con la regola predefinita impostata su Senza restrizioni e rimuovere eventuali regole aggiuntive. Se si abilitano i Criteri di restrizione software senza forzarli per limitare le applicazioni, iCriteri di restrizione software saranno in grado di monitorare le applicazioni in esecuzione.

2. Creare il valore del Registro di sistema seguente per abilitare la funzionalità di registrazione avanzata e impostare il percorso in cui deve essere scritto il file di log.

   "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"

   Valore stringa: percorso LogFileName a LogFileName

   Poiché Criteri di restrizione software sta valutando tutte le applicazioni quando vengono eseguite, viene scritta una voce nel file di log NameLogFile ogni volta che viene eseguita l'applicazione.

3. Valutare il file di log

   Ogni voce di log indica:

   • il chiamante dei criteri di restrizione software e l'ID processo (PID) del processo chiamante

   • destinazione valutata

   • la regola Criteri di restrizione software rilevata durante l'esecuzione dell'applicazione

   • un identificatore per la regola Criteri di restrizione software.

   Esempio dell'output scritto in un file di log:

explorer.exe (PID = 4728) identificatoC:\Windows\system32\onenote.exe come regola usingpath senza restrizioni, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} Tutte le applicazioni e il codice associato controllato da Criteri di restrizione software e impostato su blocco verranno annotati nel file di log, che è quindi possibile usare per determinare quali eseguibili devono essere considerati per l'elenco Consenti.