Bloccare le applicazioni su Windows 7 con AppLocker
AppLocker è una funzionalità introdotta in Windows 7 per consentire agli amministratori di bloccare l'esecuzione di determinate applicazioni basandosi sul loro hash, percorso o autore.
Che differenza c'è tra questo e gli altri software?
Avevamo già esaminato software in grado di bloccare l'esecuzione dei programmi installati. La differenza è però che AppLocker su Windows 7 è nativo, completamente integrato nel sistema.
Di conseguenza, non è necessaria l'installazione di alcun software aggiuntivo.
Su che sistemi?
AppLocker è disponibile in Windows Server 2008, in Windows 7 Ultimate e in Windows 7 Enterprise. Le altre versioni di Windows 7 e i sistemi precedenti non sono supportati.
Operazioni preliminari
Per poter creare la nostra prima regola, è necessario settare su Automatico l'avvio del servizio Identità applicazione.
Per farlo, digitiamo services.msc da Start -> Esegui.
Avremo davanti la lista dei servizi installati nel sistema. Scorriamola fino ad individuare la voce Identità applicazione.
Apriamone le proprietà con un doppio clic su di essa.
Nel menu a tendina in corrispondenza di Tipo di avvio, selezioniamo la voce Automatico.
Chiudiamo la finestra salvando le modifiche con Ok e riavviamo il sistema.
Pronti..? Via!
Ora che abbiamo capito a cosa serve AppLocker e su quali sistemi lo possiamo trovare, possiamo iniziare a creare le nostre regole.
Creare le regole
Possiamo creare la nostra prima regola.
Da Start, digitiamo criteri e clicchiamo una volta su Criteri di sicurezza locali apparso tra i risultati della ricerca.
Nella nuova finestra, espandiamo dal menu di sinistra il ramo Criteri di controllo delle applicazioni e selezioniamo AppLocker con un clic.
Espandendo ancora il ramo AppLocker troveremo tre sottocategorie:
- Regole eseguibili: permette di creare regole riguardanti file eseguibili, con estensione exe o com.
- Regole di Windows Installer: permette di creare regole riguardanti i file lanciati da Windows Installer, con estensione msi o msp.
- Regole script: permette di creare regole riguardanti gli script eseguibili, con estensione vbs, bat, cmd, ps1 o js.
Scegliamo quale settore incontra al meglio le nostre esigenze e selezioniamolo, quindi effettuiamo un clic destro nella parte destra della finestra e selezioniamo la voce Crea nuova regola.
Ci troveremo davanti a una nuova finestra da cui la procedura di creazione della regola avrà inizio.
Se abbiamo intenzione di creare più regole, spuntiamo la voce Ignora questa pagina per impostazione predefinita per non visualizzare più la pagina d'introduzione.
Proseguiamo con il pulsante Avanti.
Dal campo Azione selezioniamo se abbiamo intenzione di consentire o di negare l'accesso all'applicazione che intendiamo aggiungere alla regola.
In Utente o gruppo è possibile settare gli utenti che sottostaranno alla regola.
Se volete fare in modo che la regola si applichi solo a un utente potete cliccare su Seleziona, digitare i nomi degli utenti interessati nell'ultimo campo e premere Ok.
Nella prossima pagina vedremo come proseguire la procedura.
Dovremo scegliere ora secondo quale criterio la regola dovrà essere applicata.
- Autore: è possibile limitare l'esecuzione di tutti i file firmati da un determinato autore.
- Percorso: è possibile bloccare l'esecuzione di un file basandosi sul suo percorso.
- Hash: infine, è possibile bloccare l'esecuzione di un file basandosi sul suo hash.
A seconda dell'opzione scelta la configurazione proseguirà diversamente. Io consiglio di usare l'opzione che controlla l'Hash del file, sicuramente la più affidabile.
Inoltre, la comodità di Hash file e Percorso è che è possibile aggiungere più di un file alla regola.
Desidero approfondire in particolare modo Autore, che forse è quella che necessità di qualche spiegazione in più.
Una volta selezionato il file interessato tramite la funzione Sfoglia, passiamo all'indicatore verticale visibile subito sotto.
Di default è posizionato su Versione file, ma la comodità di questa funzione è che si può bloccare un file secondo il suo autore, nome o versione, solo muovendo un indicatore.
Proseguiamo con Avanti e stabiliamo nome e descrizione (facoltativa) per la regola. Al termine, clicchiamo su Crea.
Se è la prima regola che creiamo, ci verrà chiesto se vogliamo creare le regole predefinite, regole che servono a garantire il corretto funzionamento dei componenti di Windows e di Internet Explorer.
La regola creata dovrebbe applicarsi istantaneamente. Se così non fosse, provate a riavviare il sistema.
Quando verrà avviata l'applicazione bloccata (nel mio caso, firefox.exe), il sistema mostrerà un messaggio d'errore informandoci che non abbiamo permessi sufficienti per lanciare il programma.
Eliminare una regola
Dopo averle create, può capitare di voler cancellare le regole create. Per farlo, basta selezionare una regola, cliccarci con il tasto destro del mouse e scegliere la voce Elimina.
Modificare una regola
Allo stesso modo, per modificare una regola è sufficiente effettuarvi un doppio clic sopra per poter modificare tutte le sue caratteristiche.
Notare che è però impossibile modificare il tipo di regola. Quindi, se abbiamo creato una regola Hash file, non possiamo trasformarla in Percorso, ma dobbiamo prima eliminarla e poi ricrearla.
Generare più regole partendo da una cartella
È palese che creare una regola per ogni eseguibile, quando si tratta di una massiccia quantità di file è tutto meno che comodo.
Cliccando con il tasto destro in un punto vuoto della finestra troveremo la voce Genera regole automaticamente. Selezioniamola.
Potremo scegliere una cartella sfogliando le unità collegate tramite il pulsante Sfoglia dalla quale l'utility estrarrà tutti i file eseguibili e creerà una regola per ognuno.
Spuntiamo la voce Crea regola di hash file per tutti i file e proseguiamo con Avanti.
Seguiranno alcuni attimi di attesa mentre il software genererà le regole, quindi presenterà un resoconto dei file trovati.
Cliccando su Esamina i file analizzati potremo visualizzare la lista dei file per cui verrà creata una regola, con la possibilità di deselezionarli a seconda delle nostre preferenze.
Quando siamo pronti, possiamo creare le regole con Crea.
Esportare l'elenco delle regole
Cliccando con il tasto destro del mouse in uno spazio vuoto, troveremo la voce Esporta elenco.
Selezionandola, potremo salvare la lista delle regole create in un file di testo, con la possibilità di scegliere dove salvarlo.
MegaLab.it rispetta la tua privacy. Per esercitare i tuoi diritti scrivi a: privacy@megalab.it .
Copyright 2008 MegaLab.it - Tutti i diritti sono riservati