venerdì 28 agosto 2020

Windows Server 2019: AppLocker

Per questioni di sicurezza gli utenti che non dispongono dei privilegi amministrativi non possono installare software sul computer. Se un utente, non amministratore, tenta di installare un software sul PC visualizzerà un messaggio simile a quello mostrato in FIG 1. Tuttavia alcuni software, come quelli portable, possono essere installati anche da utenti che non dispongono di privilegi amministrativi. 
Privilegi insufficienti
FIG 1 Privilegi insufficienti per l'installazione

Per impedire agli utenti di eseguire/installare software non autorizzato è possibile utilizzare AppLocker.
AppLocker è una tecnologia introdotta con il sistema operativo Windows 7 che consente agli amministratori di specificare, in una sorta di whitelist, tutte le applicazioni autorizzate (tramite il nome, il path, l'autore o l'hash del file) e in un ambiente enterprise può essere configurato e distribuito tramite i criteri di gruppo.

Per correre ai ripari gli amministratori possono creare un criterio di gruppo per tutti gli utenti:
  • Da Server Manager, cliccare su Strumenti quindi su Gestione Criteri di gruppo.
    Server Manager
    FIG 2 - Server Manager
  • Cliccare, con il tasto destro del mouse, sul dominio mycompany.local (o sull'unità organizzativa a cui si intende applicare il criterio di gruppo) quindi dal menu contestuale selezionare Crea un oggetto Criteri di gruppo in questo dominio e crea qui un collegamento....
    Gestione Criteri di gruppo
    FIG 3 - Gestione Criteri di gruppo
  • Specificare il nome che si desidera assegnare all'oggetto Criteri di gruppo ad es. GPO_AppLocker e cliccare su OK.
    Nome da assegnare al nuovo oggetto criteri di gruppo
    FIG 4 - Nome da assegnare al nuovo oggetto criteri di gruppo
  • Cliccare con il tasto destro del mouse sul criterio di gruppo appena creato e selezionare Modifica
    Modifica GPO
    FIG 5 - Modifica GPO
  • Posizionarsi su Configurazione computer -> Criteri -> Impostazioni di Windows -> Impostazioni sicurezza -> Criteri di controllo delle applicazioni -> AppLocker
  • Cliccare sul link Configura imposizione regole o, in alternativa, cliccare con il tasto destro del mouse su AppLocker e selezionare Proprietà dal menu contestuale.
    AppLocker
    FIG 6 - AppLocker
  • Come visibile in FIG 7 è possibile impostare regole per gli eseguibili, regole di Windows Installer, Regole script e Regole app in pacchetto. Selezionare tutte le caselle Configurate e lasciare impostata l'opzione Imponi regole per forzare l'applicazione delle regole e impedire l'esecuzione dei programmi non autorizzati. Selezionando Controlla soltanto al posto di Imponi regole, gli utenti potranno eseguire comunque le applicazioni ma viene generato un file di log con il nome dell'applicazione e l'utente che l'ha eseguita. Cliccare su OK.
    AppLocker, Configura imposizione regole
    FIG 7 - AppLocker, Configura imposizione regole
  • Cliccare su AppLocker quindi doppio click su Regole eseguibili.
  • Cliccare, con il tasto destro del mouse, su Regole eseguibili e selezionare Crea regole predefinite. Come visibile in FIG 9, tutti gli utenti sono autorizzati ad eseguire solo i file che si trovano all'interno della cartella Programmi e alla cartella Windows mentre gli amministratori possono eseguire qualsiasi file senza restrizione.
    Regole eseguibili, Crea regole predefinite
    FIG 8 - Regole eseguibili, Crea regole predefinite

    Regole predefinite
    FIG 9 - Regole predefinite
  • Fare lo stesso per gli altri tipi di file (Regole di Windows Installer, Regole script, Regole app in pacchetto).
  • Ora che le regole predefinite sono state create, supponiamo di voler aggiungere un ulteriore restrizione bloccando l'esecuzione di un ulteriore applicazione come Internet Explorer. Cliccare, con il tasto destro del mouse, su Regole eseguibili e selezionare Crea nuova regola.
    AppLocker, Crea nuova regola
    FIG 10 - AppLocker, Crea nuova regola
  • Verrà visualizzata la schermata del Wizard che ci guiderà nella creazione della nuova regola. Cliccare su Avanti.
    AppLocker, Wizard per la creazione nuova regola
    FIG 11 - AppLocker, Wizard per la creazione nuova regola
  • Selezionare l'opzione Nega. Cliccare sul pulsante Seleziona se si intende impostare la restrizione per uno specifico gruppo di utenti. In questo caso lasciare selezionato Everyone e cliccare su Avanti per proseguire.
    AppLocker, Autorizzazioni
    FIG 12 - AppLocker, Autorizzazioni
  • Nella schermata successiva ci vengono proposti 3 modi per identificare il programma da bloccare: tramite Autore, Percorso o Hash file. Il blocco tramite Hash file consente di bloccare l'esecuzione di un singolo file. Il blocco agisce sulla specifica versione del file. Ad esempio se blocchiamo il file eseguibile di Internet Explorer versione 10, il blocco non funzionerà sulla versione 11 del file. Selezionare Autore e cliccare su Avanti.
    AppLocker, Condizioni
    FIG 13 - AppLocker, Condizioni
  • Cliccare sul pulsante Sfoglia per aprire la finestra di selezione del file da bloccare.
    AppLocker, File di riferimento
    FIG 14 - AppLocker, File di riferimento
  • Accedere alla cartella Internet Explorer all'interno della cartella Programmi e selezionare il file iexplore quindi cliccare su Apri.
    AppLocker, Iexplore
    FIG 15 -  AppLocker, Iexplore
  • Spostando la slide possiamo personalizzare il livello di blocco. Ad es. spostando di una posizione in alto la slide, il contenuto della casella versione file viene sostituito da un * (si veda FIG 17) ad indicare che il blocco agisce su tutte le versioni del file. Cliccare su Avanti per procedere nella configurazione della regola.
    AppLocker, Proprietà regola
    FIG 16 - AppLocker, Proprietà regola

    AppLocker, Poprietà regola
    FIG 17 - AppLocker, Poprietà regola
  • Cliccare su Crea.
    AppLocker, Crea Regola
    FIG 18 - AppLocker, Crea Regola

    AppLocker, Regola creata
    FIG 19 - AppLocker, Regola creata
  • Prima di terminare bisogna attivare Identità applicazione in modo che il sistema riesca ad identificare un'applicazione tramite il nome, l'autore ecc. Selezionare Servizi sistema quindi eseguire un doppio click su Identità applicazione.
    Identità applicazione
    FIG 20 - Identità applicazione
  • Selezionare la casella Definisci le impostazioni relative al criterio, quindi selezionare l'opzione Automatica e cliccare su OK.
    Attiva Identità applicazione
    FIG 21 - Attiva Identità applicazione
  • Chiudere la finestra Editor Gestione Criteri di gruppo.
  • Nella finestra Gestione Criteri di gruppo cliccare con il tasto destro del mouse sul criterio GPO_AppLocker e selezionare Imposto.
    GPO, Imposto
    FIG 22 - GPO, Imposto


Dopo aver configurato AppLocker gli utenti non amministratore non potranno più eseguire applicazioni non autorizzate come Internet Explorer o applicazioni portable.
AppLocker, App bloccata dall'amministratore
FIG 23 - AppLocker, App bloccata dall'amministratore








Nessun commento:

Posta un commento

I messaggi sono soggetti a moderazione da parte dell'amministratore prima della loro pubblicazione.