Regole di configurazione

Le configurazioni di App Control possono essere costruite con regole, che vengono poi verificate sull'endpoint quando un utente tenta di eseguire un file, questo funziona in aggiunta alla verifica della proprietà attendibile.

Le regole di App Control non si applicano agli amministratori.

Il livello di sicurezza della configurazione deve essere impostato su Limitata affinché le regole abbiano effetto sugli endpoint.

È possibile creare Modelli app per raggruppare gli elementi. I modelli di app possono essere utilizzati durante la creazione o la modifica delle regole, per popolare facilmente l'elenco degli elementi di origine.

Tipi di regole

Le regole vengono utilizzate per raggruppare le azioni in base a una condizione comune. Selezionare il tipo di azione per cui si desidera creare una regola.

Consenti: una regola di autorizzazione consente l'accesso a elementi specifici che possono essere limitati.

Nega: una regola di negazione impedisce l'accesso a elementi specifici.

Eleva: una regola di elevazione consente i privilegi di accesso alle applicazioni o ai componenti per un utente non amministratore.

Fornitore attendibile: una regola Fornitore attendibile concede le autorizzazioni di esecuzione per un fornitore e un elemento specificati, quando l'elemento ha una firma digitale valida.

Creazione di una regola

È possibile creare una regola dall'interno di una configurazione o facendo clic su un grafico nella pagina Panoramica:

Opzione 1 - Creare una regola dalla pagina Configurazioni

1. Navigare in App Control > Configurazioni.
   Appare la pagina Configurazioni.
2. Nella tabella, individuare la configurazione a cui si desidera aggiungere una regola, nella colonna Azioni, fare clic su per aprire il menu delle azioni.
3. Fare clic su Modifica.
   Viene visualizzata la pagina Modifica configurazione.
4. In alternativa, si può scegliere di visualizzare la configurazione prima di modificarla; a tal fine, nella pagina Configurazioni, fare clic su una configurazione Nome.
   Appare la pagina Configurazione.
   Fare clic sul pulsante Modifica.
   Viene visualizzata la pagina Modifica configurazione.
5. Nella tabella Regole, fare clic su +Aggiungi nuova regola.
   Appare la pagina Configurazione: <name>.
6. Selezionare il tipo di regola che si desidera creare e seguire i passaggi dell'argomento corrispondente:
   • Consenti
   • Nega
   • Eleva
   • Fornitore attendibile

Opzione 2 - Creare una regola dalla pagina Panoramica (tabella dei proprietari non attendibili)

È possibile creare una regola di autorizzazione per i file che sono stati rilevati come eseguiti con proprietari non attendibili.

1. Navigare in App Control > Panoramica.
   Viene visualizzata la pagina Panoramica.
2. Fare clic sul grafico Applicazioni eseguite con proprietari non attendibili.
   Viene visualizzata la pagina Applicazioni eseguite con proprietari non attendibili.
   
3. Nella tabella, individuare il file per il quale si desidera creare una regola di autorizzazione, quindi nella colonna Azioni fare clic su per aprire il menu delle opzioni.
4. Fare clic su +Crea regola.
   Viene visualizzata la finestra di dialogo Selezionare una configurazione.
5. Selezionare la configurazione che si desidera creare e a cui aggiungere la regola.
6. Fare clic su Crea regola.
   Viene visualizzata la pagina Configurazione per la configurazione selezionata.
7. Seguire la procedura di creazione della regola di autorizzazione.

Opzione 3 - Creare una regola dalla pagina Panoramica (grafico dei privilegi elevati)

È possibile creare una regola di elevazione per i file che sono stati rilevati come eseguiti con privilegi elevati.

1. Navigare in App Control > Panoramica.
   Viene visualizzata la pagina Panoramica.
2. Fare clic nel grafico Applicazioni eseguite con privilegi elevati.
   Viene visualizzata la pagina Applicazioni eseguite con privilegi elevati.
3. Nella tabella, individuare il file per il quale si desidera creare una regola di elevazione, quindi nella colonna Azioni fare clic su per aprire il menu delle opzioni.
4. Fare clic su +Crea regola.
   Viene visualizzata la finestra di dialogo Selezionare una configurazione.
5. Selezionare la configurazione che si desidera creare e a cui aggiungere la regola.
6. Fare clic su Crea regola.
   Viene visualizzata la pagina Configurazione per la configurazione selezionata.
7. Seguire la procedura di creazione della regola Eleva.

Impostazioni Elemento regola

Il pannello Impostazioni Elemento regola è accessibile dalla pagina regola Cosa? > sezione Elementi selezionati > icona > Modifica.

Scheda Proprietà

• Nome visualizzato: inserire il nome del file che si desidera far apparire nella colonna Nome della tabella Regole.
• File: inserire il file o il percorso a cui si desidera applicare la regola. È possibile utilizzare i caratteri jolly per abbinare più file, ad esempio C:\Program Files\*.exe corrisponderà a tutti i file .exe della cartella Program Files.
  I tipi di file accettati sono: exe, bat, cmd, vbs, wsf, js, msi, msp, ps1 e reg.
  • Usa espressione regolare: selezionare l'uso di espressioni regolari per la corrispondenza del file o del percorso.

• Argomenti: inserire tutti gli argomenti come appaiono in Esplora processi.
  Gli argomenti della riga di comando estendono i criteri di corrispondenza oltre a quelli immessi nel campo File. Se viene aggiunto un argomento, per ottenere una corrispondenza devono essere soddisfatti sia il file che l'argomento. È possibile aggiungere qualsiasi argomento presente sulla riga di comando di un processo, come flag, switch, file e guide.
  È possibile selezionare l'uso di espressioni regolari.
  Esempio

  File negato	File consentito	Risultato
  shutdown.exe	shutdown.exe Argomenti: -r -t 30	shutdown.exe viene eseguito solo quando -r -t 30 è presente sulla riga di comando; qualsiasi altra operazione eseguita da shutdown.exe viene negata.

  Per configurare correttamente gli argomenti di un elemento consentito o negato, essi devono apparire come in Esplora processi.

  File: C:\Windows\System32\shutdown.exe

  Riga di comando: C:\Windows\System32\shutdown.exe -r -t 30

  Verrebbe configurato come:

  File: percorso assoluto o relativo di shutdown.exe

  Argomenti: -r -t 30

• Descrizione: inserire facoltativamente una descrizione.
• Opzioni: le opzioni disponibili dipendono dal tipo di regola.
  • Consente l'esecuzione del file anche se non è di proprietà di un proprietario attendibile: applicabile solo a una voce della regola di autorizzazione.
    Il controllo della proprietà attendibile è sempre abilitato, pertanto un'applicazione deve sempre superare il controllo della proprietà attendibile, anche se l'applicazione è un elemento consentito. Tuttavia, se è necessario fornire a un utente l'accesso a un elemento che non è di proprietà di un proprietario attendibile, selezionare questa opzione.
  • Non mostrare i messaggi di accesso negato quando è negato: applicabile solo a una voce della regola di negazione.
    Selezionare questa opzione se si desidera negare silenziosamente un elemento e non visualizzare il messaggio di accesso negato all'utente.
    Personalizzare i messaggi in Configurazione delle impostazioni dei messaggi.
• Criterio: applicabile solo a un elemento della regola di elevazione.
  • Applica ai processi figli: per impostazione predefinita, il criterio di autoelevazione applicato agli elementi della regola non viene ereditato dai processi figli. Selezionare questa opzione per applicare il criterio ai figli diretti del processo padre.
  • Applicare alle finestre di dialogo comuni: elevare l'accesso alle opzioni dei menu Apri file e Salva file di Windows quando un file o una cartella sono stati elevati.

    Per evitare che gli utenti modifichino il filesystem con privilegi amministrativi, lasciare questa opzione deselezionata.

  • Installa come proprietario attendibile: rende l'amministratore locale il proprietario di tutti gli elementi creati dall'applicazione definita. Questa opzione non si applica alle applicazioni normali, ma solo ai pacchetti di installazione.
  • Prompt all'utente prima dell'elevazione: selezionare per visualizzare un prompt di autoelevazione all'utente finale prima dell'elevazione.
    Personalizzare i messaggi in Configurazione delle impostazioni dei messaggi.
    • Richiede un motivo prima dell'elevazione: selezionare per richiedere all'utente di inserire un motivo per l'elevazione.
      

Scheda Metadati

• Nome prodotto: il nome del prodotto.
  • Usa espressione regolare: selezionare l'uso di espressioni regolari per la corrispondenza del nome del prodotto.
• Fornitore: il nome del fornitore associato alla firma se il file è stato firmato digitalmente.
  • Usa espressione regolare: selezionare l'uso di espressioni regolari per la corrispondenza del fornitore.
  • Verifica certificato in fase di esecuzione: selezionare per verificare il certificato del fornitore mentre è abbinato al file.
    Viene inoltre verificata l'integrità del file per assicurarsi che non sia stato manomesso.

    Questo può avere un impatto sulle prestazioni se si eseguono frequentemente file molto grandi.
    

• Nome società: il nome della società che ha prodotto il file.
  • Usa espressione regolare: selezionare l'uso di espressioni regolari per la corrispondenza del nome della società.
• Descrizione file: la descrizione del file.
  • Usa espressione regolare: selezionare l'uso di espressioni regolari per la corrispondenza della descrizione file.
• Versione file: l'intervallo di versioni del file da confrontare.
  • Minimo: il numero di versione minimo del file da includere nella corrispondenza delle regole.
  • Massimo: il numero di versione massimo del file da includere nella corrispondenza delle regole.
• Versione prodotto: l'intervallo di versioni del prodotto da abbinare.
  • Minimo: il numero di versione minimo da includere nella corrispondenza delle regole.
  • Massimo: il numero di versione massimo da includere nella corrispondenza delle regole.

Argomenti correlati

Regola di autorizzazione/negazione

Regola di elevazione

Regola fornitore attendibile