Controllo eseguibile impostazioni di configurazione

Il nodo Controllo eseguibili impostazioni di configurazione contiene cinque schede: Proprietari attendibili, Opzioni, Convalida, Terminazione applicazioni e Limiti di accesso.

In questa sezione:

Proprietari attendibili

Opzioni

Convalida

Terminazione delle applicazioni

Tempi di accesso

Proprietari attendibili

Passare alla scheda Impostazioni di configurazione > Controllo eseguibile > Proprietari attendibili.

  • Abilita controllo Proprietà attendibile - Selezionare per abilitare il controllo Proprietà attendibile. Selezionato per impostazione predefinita.
  • Modificare la proprietà di un file quando viene sovrascritto o rinominato - Selezionare per modificare la proprietà di qualsiasi file consentito attendibile sovrascritto da un utente non attendibile, che non fa parte dell'elenco Proprietari attendibili.

Quando un file negato viene rinominato da un utente non attendibile, in un tentativo di aggirare una regola per gli elementi negati, la proprietà viene modificata per l'utente non attendibile. Una volta modificata la priorità, il controllo Proprietà attendibile impedisce l'esecuzione del file.

Attenzione: non rimuovere tutti i Proprietari attendibili. Ciò comporterebbe una mancata applicazione sul sistema attendibile e l'impossibilità per gli utenti standard di eseguire qualsiasi cosa.

Quando viene selezionata l'opzione Modifica la proprietà di un file quando viene sovrascritto o rinominato, Controllo applicazioni modifica selettivamente la proprietà del file NTFS dei file eseguibili quando vengono sovrascritti o rinominati.

I tentativi da un utente che non è un Proprietario attendibile di sovrascrivere un file consentito a causa di Proprietà attendibile o di una regola Elemento consentito potrebbero costituire una minaccia per la sicurezza se i contenuti del file sono stati modificati. Controllo applicazioni modifica la proprietà di un file sovrascritto per l'utente che esegue l'azione, rendendo il file non attendibile e assicurando che il sistema sia sicuro.

Allo stesso modo, i tentativi di rinominare un file negato con il nome di un elemento consentito potrebbero anche costituire una minaccia alla sicurezza. Controllo applicazioni modifica anche la proprietà di tali file per l'utente che eseguire l'azione Rinomina e assicura che il file rimanga non attendibile.

Le azioni Sovrascrivi e Rinomina sono entrambe sottoposte ad audit.

Aggiungi un Proprietario attendibile

  1. Nella scheda Impostazioni di configurazione > Controllo eseguibili > Proprietari attendibili, fare clic con il pulsante destro del mouse nell'area di lavoro e selezionare Aggiungi.
  2. Viene visualizzata la finestra di dialogo Aggiungi proprietari attendibili.
  3. Inserire o sfogliare per selezionare il nome utente da aggiungere.
  4. Fare clic su Aggiungi. L'utente viene ora aggiunto all'elenco insieme al SID univoco.

Test della proprietà attendibile

Un test rapido per mostrare il funzionamento di Proprietà attendibile:

  1. Introdurre una o più applicazioni usando un account utente di prova.
  2. Copiare una o più applicazioni nell'unità home dell'utente o in un'altra posizione adatta, come calc.exe dalla cartella System32, oppure copiare un file da un CD.
  3. Tentare di eseguire un file copiato. L'applicazione è negata dato che i file sono posseduti dall'utente di prova e non da un membro dell'elenco Proprietari attendibili.

È possibile verificare la proprietà di un file visualizzando le Proprietà mediante Esplora risorse.

Opzioni

La tabella in basso elenca tutte le possibili opzioni e una descrizione per ciò che fa ciascuna opzione:

Opzione

Descrizione

Consenti unità locali per impostazione predefinita

Selezionare questa opzione per rendere denylist le configurazioni di Controllo applicazioni. Tutto ciò che si trova sull'unità locale risulta consentito, sempre che non venga specificato nell'elenco Elementi negati o che non superi la proprietà attendibile. Deselezionare questa opzione per rendere la configurazione un'allowlist. Tutto ciò che si trova sull'unità locale è bloccato, a meno che non sia specificato nell'elenco Elementi consentiti.

Una configurazione di un'allowlist rappresenta la soluzione più sicura. Tuttavia, questo tipo di configurazione richiede molto tempo e può influire sulla stabilità del client, dato che vengono bloccate tutte le applicazioni non specificate.

Consenti file cmd.exe per i file batch

Ci si aspetta che gli amministratori vietino esplicitamente il file cmd.exe nella propria configurazione di Controllo applicazioni. Quando cmd.exe viene negato e 'Consenti cmd.exe per i file di batch' viene disabilitato, i file batch verranno valutati e bloccati qualora non superino il criterio Controllo applicazioni. Se l'opzione non viene selezionata e il file cmd.exe viene esplicitamente negato, vengono bloccati tutti i file di batch, che non vengono nemmeno valutati. Se tale opzione viene selezionata e cmd viene negato esplicitamente, il file cmd.exe non può comunque essere eseguito di per sé, ma i file di batch vengono valutati rispetto alle regole di Controllo applicazioni. Se cmd.exe non viene esplicitamente negato, vengono eseguiti tutti i file di batch, indipendentemente dal fatto che tale opzione venga spuntata o meno.

Ignora limitazioni durante l'accesso

Durante l'accesso, il computer può eseguire una serie di applicazioni essenziali. Il blocco di queste impostazioni può causare un funzionamento errato del computer, oppure il suo completo malfunzionamento. Pertanto, tale opzione è selezionata per impostazione predefinita.

Estrazione di file ZIP autoestraenti

Un file autoestraente è un file eseguibile contenente un file ZIP e un piccolo programma per estrarlo. Tali file a volte vengono utilizzati come un'alternativa all'installazione di un'applicazione da parte di un file MSI. Alcuni amministratori preferiscono che le applicazioni vengano installate solo tramite un file MSI.

Sono supportati solo file EXE autoestraenti formattati usando la specifica ZIP. Per ulteriori informazioni, consultare le Specifiche ZIP

L'opzione Estrai file ZIP autoestraenti consente di estrarre un file eseguibile negato, che è un file ZIP autoestraente, con l'Utilità di estrazione ZIP. Se questa opzione è deselezionata (l'impostazione predefinita) il file è soggetto alla normale elaborazione delle regole, come avviene con un file eseguibile. Una volta estratti i contenuti, qualsiasi contenuto eseguibile che contiene è comunque soggetto ai normali controlli di Proprietà attendibile e ne viene impedita l'esecuzione se l'utente non è un Proprietario attendibile. Ciò risulta utile per gli scenari in cui il file ZIP autoestraente può contenere un contenuto non eseguibile, come un documento che l'utente richiede. Per impostazione predefinita, questa opzione è deselezionata, e il file ZIP autoestraente viene trattato come uno standard eseguibile di cui può essere impedita l'esecuzione (e dunque l'estrazione dei relativi contenuti) in modo soggetto alla normale elaborazione delle regole.

Ignora limitazioni durante l'Installazione

Per impostazione predefinita, tutte le applicazioni che vengono eseguite durante l'Installazione sono soggette alle regole di Controllo applicazioni. Selezionare questa opzione per rendere tali applicazioni esenti dai controlli delle regole durante una fase di Installazione.

Nega file su supporto rimovibile

Deselezionare questa opzione per rimuovere le limitazioni su un supporto rimovibile. Supporto rimovibile rappresenta qualsiasi cosa la chiamata a GetDriveType determini che sia. A causa della natura del supporto removibile, la lettera dell'unità può cambiare in base a come viene configurato un endpoint. Ad esempio: su un computer l'unità multimediale removibile può essere identificata come unità E: e su un altro come F:

Nega file sulle condivisioni di rete

La configurazione predefinita per le condivisioni di rete è un'allowlist, il che significa che tutto ciò che si trova sulla condivisione di rete è negato, a meno che non sia specificato nell'elenco Elementi consentiti. Deselezionare questa opzione per rendere la configurazione una denylist, in modo che tutto ciò che si trova sulla condivisione di rete sia consentito, a meno che non venga meno al controllo della proprietà di fiducia o sia specificato in un elenco Elementi negati.

Convalida

La tabella in basso elenca insieme tutte le opzioni di convalida con una descrizione.

Opzione

Descrizione

Convalida dei processi di sistema

Selezionare questa opzione per convalidare qualsiasi file eseguito dall'utente di sistema. Notare che non è consigliato selezionare questa opzione, in quanto incrementa la quantità di convalida che si verifica sul computer endpoint e che può bloccare l'esecuzione di applicazioni critiche. La selezione di questa opzione significa che tutti gli eseguibili avviati dal sistema sono soggetti alla convalida delle regole.

Convalida degli script WSH (Windows Script Host)

La selezione di questa opzione specifica che i contenuti della riga di comando degli script eseguiti usando wscript o cscript sono soggetti alla convalida delle regole.

Gli script possono introdurre virus e codici dannosi. Si raccomanda di convalidare gli script WSH.

Convalida dei pacchetti MSI (Windows Installer)

I file MSI sono il metodo standard di installazione delle applicazioni Windows. Si consiglia di non consentire all'utente di installare liberamente le applicazioni MSI. La selezione di questa opzione significa che tutte le MSI sono soggette alla convalida delle regole. La deselezione di questa opzione significa che solo lo stesso Windows Installer, msiexec.exe, è convalidato dall'elaborazione della regola Controllo applicazioni, e non il file MSI che sta cercando di eseguire.

Convalida file di registro di sistema

Selezionare questa opzione per abilitare la convalida delle regole per regedit.exe e regini.exe. La deselezione di questa opzione significa che i file regedit.exe e regini.exe non sono più bloccati per impostazione predefinita. Inoltre, lo script .reg, il file regedit.exe e il file regini.exe che cerca di eseguire non risultano più convalidati dall'elaborazione delle regole di Controllo applicazioni.

Non si consiglia di consentire agli utenti di accedere al registro di sistema o ai file del registro di sistema.

Convalida degli script PowerShell

Se abilitata, questa impostazione nega powershell.exe e powershell_ise.exe. Tuttavia, se uno script PowerShell (file PS1) viene rilevato sulla riga di comando, allora risulta soggetto a un controllo completo delle regole, per verificare se è configurato per l'elevazione, consentito o negato.

Convalida archivi Java

Se abilitata, questa impostazione nega java.exe e javaw.exe. Tuttavia, se un archivio Java (file JAR) viene rilevato sulla riga di comando, allora risulta soggetto a un controllo completo delle regole, per verificare se è consentito o negato.

Terminazione delle applicazioni

Terminazione applicazione consente di controllare i trigger e il comportamento per la terminazione delle applicazioni sugli endpoint gestiti. È possibile terminare le applicazioni gradualmente, consentendo all'utente di salvare il lavoro prima della chiusura, oppure forzando una terminazione.

Terminazione applicazione viene disabilitato per impostazione predefinita. Per abilitare la funzione, selezionare Abilita Terminazione applicazione nella scheda Impostazioni di configurazione > Controllo eseguibili > Terminazione applicazione.

I trigger per la terminazione di un'applicazione includono i seguenti:

  • Viene applicata una nuova configurazione
  • L'indirizzo IP del computer cambia
  • Il dispositivo di connessione cambia

Quando viene attivato un trigger, i processi vengono valutati rispetto alle regole, al fine di determinare se un'applicazione richieda di essere terminata. Le regole con i livelli di sicurezza Autorizzazione automatica e Solo audit non sono valutate, dato che le regole di Autorizzazione automatica consentono la descrizione dell'utente sul controllo applicazioni e le regole Solo audit non si applicano al controllo Controllo applicazioni.

Configura trigger per terminazione applicazione

Opzione

Descrizione

Configurazione applicata

Selezionare per terminare un'applicazione in base alla configurazione applicata

Indirizzo IP computer modificato

Selezionare per terminare un'applicazione quando l'indirizzo IP del computer cambia, ad esempio, spostamento tra ambienti sicuri e insicuri. Vedere esempio.

Connessione dispositivo modificata

Selezionare per terminare un'applicazione quando il dispositivo di connessione è cambiato, ad esempio, modifica da un desktop a un laptop nella stessa sessione.

Esempio: indirizzo IP computer modificato

Utilizzare Terminazione applicazione per terminare un'applicazione quando l'indirizzo IP risulta modificato. Ad esempio, quando l'indirizzo IP non è compreso nell'intervallo aziendale di IP.

  1. Abilita Terminazione applicazione nella scheda Impostazioni di configurazione > Controllo eseguibili > Terminazione applicazione.
  2. Selezionare l'opzione Indirizzo IP computer modificato.
  3. Definire quali delle seguenti azioni vengono prese alla terminazione:
    • Visualizza un messaggio di avviso iniziale
    • Chiudi applicazione
    • Termina applicazione

    È possibile selezionare tutte e tre le opzioni e impostare il tempo di attesa, in secondi, tra ciascuna azione, fino a un massimo di 120 secondi.

Questa fase si riferisce alla configurazione dell'intervallo di indirizzo IP ammessi per la sede lavorativa.

  1. Selezionare il nodo Set di regole nel riquadro di spostamento.
  2. Selezionare Dispositivo e fare clic con il pulsante destro del mouse per visualizzare il menu di scelta rapida.
  3. Selezionare Aggiungi set di regole per dispositivo.
    Viene creato un nodo figlio sotto il nodo Dispositivo.
  4. Fare clic nel nuovo nodo per rinominare, oppure evidenziare, fare clic con il pulsante destro del mouse su > Rinomina.
  5. Inserire un nome intuitivo, ad esempio In sede.
  6. Fare clic con il pulsante destro del mouse nell'area di lavoro per aggiungere un dispositivo al set di regole. Selezionare Nome host o Indirizzo IP.
  7. Viene visualizzata la finestra di dialogo Aggiungi unDispositivo client.
  8. Inserire un intervallo di indirizzi IP consentito e fare clic su Aggiungi.

Questa fase si riferisce alla configurazione dell'intervallo di indirizzi IP non consentiti, ad esempio, al momento di utilizzare una VPN da un'altra posizione.

  1. Completare i passaggi per creare un nuovo Set di regole dispositivo come effettuato nella Fase 2.
  2. Inserire un nome intuitivo, ad esempio Fuori sede.
  3. Fare clic con il pulsante destro del mouse nell'area di lavoro e selezionare Aggiungi dispositivo client.
  4. Viene visualizzata la finestra di dialogo Aggiungi un dispositivo client.

    Eseguire una di queste operazioni:

    • Inserire l'intervallo di indirizzi IP non consentito.
    • Inserire *.*.*.* per implicare tutti gli altri indirizzi IP.
  5. Fare clic su Aggiungi.

Fare clic su Salva per salvare la configurazione.

Configurazione delle azioni intraprese alla terminazione di un'applicazione

Opzione

Descrizione

Visualizza un messaggio di avviso iniziale

Visualizza un messaggio di avviso iniziale per informare l'utente che l'applicazione negata verrà chiusa e che sarà necessario salvare il lavoro. Il tempo di chiusura può essere specificato usando l'opzione Secondi da attendere... opzione. Utilizzare insieme alle opzioni Chiudi applicazione e Termina applicazione. Se ciò non viene utilizzato in combinazione con queste opzioni, viene visualizzato un messaggio e l'applicazione negata non si chiude.

Chiudi l'applicazione

Chiude l'applicazione a seguito del messaggio di avviso iniziale, fornendo all'utente tempo per salvare il proprio lavoro.

Termina l'applicazione

Termina l'applicazione negata senza fornire all'utente un messaggio di avviso.

Secondi da attendere tra ciascuna azione

Specifica il periodo di tempo, in secondi, tra le azioni, così come il tempo tra la chiusura e la terminazione. Il periodo massimo è 120 secondi.

Tempi di accesso

Se un'applicazione ha superato i tempi di accesso consentiti, è possibile specificare quale azione intraprendere; ad esempio, è inoltre possibile specificare se all'utente sia consentito salvare il proprio lavoro prima di chiudere l'applicazione, o semplicemente chiudere l'applicazione a seguito dell'avviso:

Visualizza un messaggio di avviso iniziale - Selezionare per visualizzare un messaggio di avviso iniziale all'utente quando un'applicazione ha superato i limiti di tempo. In genere, ciò fornisce all'utente tempo per salvare il proprio lavoro e chiudere l'applicazione. Utilizzare insieme alle opzioni Chiudi applicazione e Termina applicazione. Se non lo si utilizza in combinazione con queste opzioni, verrà visualizzato un solo messaggio e l'applicazione non si chiuderà.

Chiudi l'applicazione - Selezionare per inviare un messaggio di chiusura all'applicazione. Quando gran parte delle applicazioni riceve un messaggio di chiusura, fornisce in genere all'utente una possibilità per salvare il proprio lavoro. Selezionare insieme alla visualizzazione un'opzione per un messaggio di avviso iniziale.

Termina l'applicazione - Termina l'applicazione senza consentire all'utente di salvare il proprio lavoro. In genere, tale opzione viene utilizzata dopo che l'applicazione ha ricevuto un messaggio di chiusura ma non è riuscita a completare l'operazione. Scegliere per selezionare se visualizzare o meno un messaggio di avviso iniziale, l'applicazione terminerà comunque.

Secondi da attendere tra ciascuna azione - Specificare il numero di secondi da attendere tra ciascuna delle opzioni di terminazione selezionate. Ad esempio, se l'utente seleziona tutte e tre le opzioni di terminazione e quindi seleziona 20 secondi, verrà visualizzato il messaggio di avviso, seguito 20 secondi dopo dal messaggio di chiusura e infine l'applicazione termina dopo ulteriori 20 secondi. Il valore predefinito è impostato a 60 secondi.

I tempi di accesso possono essere specificati per gli Elementi consentiti di file, cartelle e hash file.

Argomenti correlati

Informazioni su Controllo eseguibili

Impostazioni di Configurazione controllo applicazioni

Raccolte regole

Set di regole

Elementi consentiti