Creazione di un nuovo criterio supplementare con la procedura guidata
Nota
Alcune funzionalità di Controllo app per le aziende sono disponibili solo in versioni specifiche di Windows. Altre informazioni sulla disponibilità delle funzionalità di Controllo app.
A partire da Windows 10 versione 1903, Controllo app per le aziende supporta la creazione di più criteri attivi in un dispositivo. Uno o più criteri supplementari consentono ai clienti di espandere i criteri di base di Controllo app per aumentare il cerchio di attendibilità dei criteri. Un criterio supplementare può espandere solo un criterio di base, ma più supplementi possono espandere lo stesso criterio di base. Quando vengono usati criteri supplementari, le applicazioni consentite dalla base o da uno dei relativi criteri supplementari possono essere eseguite.
È possibile accedere alle informazioni sui prerequisiti relativi al controllo delle app tramite la guida alla progettazione di Controllo app. Questa pagina descrive i passaggi per creare un criterio di controllo delle app supplementare, configurare le opzioni dei criteri e il firmatario e le regole dei file.
Espansione di criteri di base
Dopo aver scelto il tipo di criterio supplementare nella pagina Nuovi criteri, è possibile usare i campi nome criterio e finestra di dialogo file per assegnare un nome e salvare i criteri supplementari. Il passaggio successivo richiede la selezione di un criterio di base da espandere. Per espandere un criterio di base, la base deve consentire criteri supplementari. La Creazione guidata controllo app verifica se i criteri di base consentono supplementi e visualizza la conferma seguente.
Se i criteri di base non sono configurati per i criteri supplementari, la procedura guidata tenta di convertire i criteri in uno che può essere integrato. Una volta completata la procedura guidata, viene visualizzata una finestra di dialogo che mostra che l'aggiunta della regola Consenti criteri supplementari è stata completata.
I criteri che non possono essere integrati, ad esempio un altro criterio supplementare, vengono rilevati dalla procedura guidata e mostrano l'errore seguente. Solo un criterio di base può essere integrato. Altre informazioni sui criteri supplementari sono disponibili nell'articolo Criteri multipli.
Configurazione delle regole dei criteri
All'avvio della pagina, le regole dei criteri vengono abilitate/disabilitate automaticamente a seconda dei criteri di base scelti nella pagina precedente. La maggior parte delle regole dei criteri supplementari viene ereditata dai criteri di base. La procedura guidata analizza automaticamente i criteri di base e imposta le regole dei criteri supplementari necessarie in modo che corrispondano alle regole dei criteri di base. Le regole dei criteri ereditate sono disattivate e non sono modificabili nell'interfaccia utente.
Una breve descrizione della regola viene visualizzata nella parte inferiore della pagina quando il cursore viene posizionato sul titolo della regola.
Descrizione delle regole dei criteri supplementari configurabili
I criteri supplementari possono configurare solo tre regole dei criteri. La tabella seguente descrive ogni regola dei criteri, a partire dalla colonna più a sinistra. Selezionando l'etichetta + Opzioni avanzate viene visualizzata un'altra colonna di regole dei criteri, ovvero le regole dei criteri avanzate.
| Opzione della regola | Descrizione |
|---|---|
| Autorizzazione del grafico di sicurezza intelligente | Usare questa opzione per consentire automaticamente alle applicazioni con reputazione "nota" come definito da Intelligent Security Graph (ISG) di Microsoft. |
| Programma di installazione gestito | Usare questa opzione per consentire automaticamente le applicazioni installate da una soluzione di distribuzione software, ad esempio Microsoft Configuration Manager, definita come programma di installazione gestito. |
| Disabilitare la protezione delle regole FilePath di runtime | Questa opzione disabilita il controllo di runtime predefinito che consente solo regole FilePath per i percorsi scrivibili solo da un amministratore. |
Creazione di regole di file personalizzate
Le regole dei file in un criterio di Controllo app specificano il livello in cui le applicazioni vengono identificate e attendibili. Le regole dei file sono il meccanismo principale per definire l'attendibilità nei criteri di Controllo app. Selezionando + Regole personalizzate viene aperto il pannello delle condizioni delle regole del file personalizzato per creare e personalizzare le regole di file di destinazione per i criteri. La procedura guidata supporta quattro tipi di regole di file:
Regole del server di pubblicazione
Il tipo di regola del file del server di pubblicazione usa le proprietà nella catena di certificati di firma del codice per le regole del file di base. Dopo aver selezionato il file di base della regola, denominato file di riferimento, usare il dispositivo di scorrimento per indicare la specificità della regola. La tabella seguente illustra la relazione tra il posizionamento del dispositivo di scorrimento, il livello di regola Controllo app per le aziende corrispondente e la relativa descrizione. Minore è il posizionamento nella tabella e nel dispositivo di scorrimento dell'interfaccia utente, maggiore è la specificità della regola.
| Condizione regola | Livello regola di controllo dell'app | Descrizione |
|---|---|---|
| Autorità di certificazione emittente | PCACertificate | Il certificato più alto disponibile viene aggiunto ai firmatari. Questo certificato è in genere il certificato PCA, un livello inferiore al certificato radice. Qualsiasi file firmato da questo certificato è interessato. |
| Pubblicato da | Pubblicato da | Questa regola è una combinazione della regola PCACertificate e del nome comune (CN) del certificato foglia. È interessato qualsiasi file firmato da un'autorità di certificazione principale, ma con un foglia di una società specifica, ad esempio un editore di driver di dispositivo. |
| Versione del file | SignedVersion | Questa regola è una combinazione della regola PCACertificate e del server di pubblicazione e di un numero di versione. Qualsiasi elemento del server di pubblicazione specificato con una versione successiva o successiva a quella specificata è interessato. |
| Nome file | FilePublisher | Più specifico. Combinazione del nome file, del server di pubblicazione e del certificato PCA e di un numero di versione minimo. Sono interessati i file del server di pubblicazione con il nome specificato e maggiore o uguale alla versione specificata. |
Regole del percorso file
Le regole di percorso file non offrono le stesse garanzie di sicurezza offerte dalle regole esplicite del firmatario, in quanto si basano sulle autorizzazioni di accesso modificabili. Per creare una regola di percorso file, selezionare il file usando il pulsante Sfoglia .
Regole dell'attributo file
La procedura guidata supporta la creazione di regole dei nomi file in base agli attributi di file autenticati. Le regole del nome file sono utili quando un'applicazione e le relative dipendenze ,ad esempio DLL, possono condividere lo stesso nome di prodotto, ad esempio. Questo livello di regola consente agli utenti di creare facilmente criteri di destinazione in base al nome del file product name. Per selezionare l'attributo file per creare la regola, spostare il dispositivo di scorrimento della procedura guidata nell'attributo desiderato. Nella tabella seguente vengono descritti tutti gli attributi di file supportati per la creazione di una regola.
| Livello regola | Descrizione |
|---|---|
| Nome file originale | Specifica il nome del file originale, o il nome con cui il file è stato creato per la prima volta, del file binario. |
| Descrizione del file | Specifica la descrizione del file fornita dallo sviluppatore del file binario. |
| Nome prodotto | Specifica il nome del prodotto con cui viene fornito il file binario. |
| Nome interno | Specifica il nome interno del file binario. |
Regole hash file
Infine, la procedura guidata supporta la creazione di regole di file usando l'hash del file. Anche se questo livello è specifico, può causare un sovraccarico amministrativo aggiuntivo per mantenere i valori hash delle versioni del prodotto correnti. Ogni volta che un file binario viene aggiornato il valore hash cambia, pertanto è necessario aggiornare i criteri. Per impostazione predefinita, la procedura guidata usa l'hash del file come fallback nel caso in cui non sia possibile creare una regola di file usando il livello di regola del file specificato.
Eliminazione delle regole di firma
La tabella a sinistra della pagina documenta le regole allow e deny nel modello e le eventuali regole personalizzate create. Le regole possono essere eliminate dai criteri selezionando la regola dalla tabella elenco regole. Dopo aver evidenziato la regola, premere il pulsante Elimina sotto la tabella. Viene nuovamente richiesta un'altra conferma. Selezionare Yes questa opzione per rimuovere la regola dai criteri e dalla tabella delle regole.