Ciao a tutti! Ho postato lo stesso problema sul forum di tom's hardware, ma nessuno risponde o riesce a risolvere questo impiccio, vediamo se qui c'è qualche bravo sistemista? :asd:

Stavo sperimentando un po' di cose sulla sicurezza con win 8.1.
Sono entrato con l'account di amministratore ed ho provato ad utilizzare AppLocker e creare delle regole che negano l'utilizzo di alcuni software, (tipo ccleaner, emule, ecc) ad un account di utente locale standard e fittizio, creato appositamente per l'esperimento. Ho attivato il servizio "Identità Applicazione" per far funzionare le regole di applocker e spuntato "imponi regole". Quando accedo con l'account standard e faccio partire l'eseguibile, il software, invece di essere negato, funziona e non capisco perchè. Ho provato ad andare sulla proprietà dell'eseguibile e precisamente sulla voce "sicurezza" che riguarda gli utenti e i vari permessi: ho notato che non posso modificare l'autorizzazione dell'account standard che, di default, è spuntato su "lettura" e "lettura ed esecuzione". Qualcuno di voi ha già avuto a che fare e risolto questo impiccio? Grazie in anticipo. ;)

Prima di rispondere alla domanda vorrei darti un paio di consigli, sei libero di non seguirli:

1) I forum non sono help desk 24/7 ma una comunità di persone che mette il proprio tempo libero e la propria conoscenza a disposizione di chi ne ha bisogno. "Pretendere" una risposta in meno di 24 ore ( mi riferisco all'altro forum, come data del post è "Ieri, 10:30" ) non ha senso. Considera inoltre che il numero di visite non ha nessun valore, magari chi apre il tuo thread è solo curioso di sapere il contenuto. Cerca di essere un utente "attivo" che che prova ad aiutare altre persone e vedrai che troverai maggiore collaborazione.

2) Il crossposting tra vari forum contemporaneamente personalmente è una cosa che sconsiglio, in ogni caso. Chi legge qui non sa cosa consigliano da altre parti, si crea solo confusione e magari alcune risposte sono in conflitto e possono causare ancora più problemi

Detto questo, ho usato poche volte AppLocker preferendogli l'Editor criteri di gruppi locali, si può bloccare un eseguibile o scegliere di avviare solo eseguibili "certificati" senza passare per i criteri di sicurezza locali.
Assicurati che il servizio "Identità Applicazione" sia in esecuzione anche sull'account limitato e soprattutto che la regola che hai creato non sia in conflitto con le regole predefinite. Ciò che vuoi fare è assolutamente fattibile, ho provato adesso e funziona. Ricontrolla che la regola sia stata creata correttamente.

P.S. La voce "Sicurezza" nei permessi non c'entra nulla.

scusa x_ se torno sul discorso AppLocker ma:

sicuri che questa funzionalità sia disponibile su 8.x?? (qui, infatti, si fa riferimento al solo 8.1 Enterprise, cliccami (http://www.eightforums.com/tutorials/32281-compare-windows-8-1-editions.html) che, peraltro, troverebbe conforto nelle FAQ su TechNet, Windows 8.1 Editions (http://technet.microsoft.com/en-us/windows/jj721676.aspx#editions)
"Windows 8.1 Enterprise edition [...] includes all the capabilities of Windows 8.1 Pro, plus premium features such as [...] AppLocker, [...]").


In effetti, dalle velocissime prove che ho fatto in VM direi che non si riesce in nessun modo a bloccare l'esecuzione...

Detto questo, poco male perchè AppLocker mi fa (personalmente) pena e, se di buono ha qualcosa, sarebbe giusto il fatto di essere integrato nel sistema (se funzionasse)...

Le prove che ho fatto sono state eseguite su una VM con 8.1 Enterprise ( non l'ho scritto, mia dimenticanza ) dando prescontato che quella feature fosse presente su tutte le distribuzioni.
Controllando ora i vari documenti MDSN-Technet fanno riferimento al semplice "Si applica a: Windows 8", invece nel dettaglio specificano la versione "Enterprise", c'è come al solito un po' di confusione.
Visto che a te non funziona, dando prescontato che sai come applicare una regola, mentre a me sì ne deduco che sia abilitato solo sulla versione Enterprise.

Se c'è una cosa che non mi mancherà tra le feature rimosse è proprio AppLocker, ripeto usato molto raramente in favore dell'Editor criteri di gruppi locali.

la cosa (diciamo) curiosa è che è presente la voce, da la possibilità di effettuare le più disparate configurazioni...ma poi, alla resa dei conti, è come trasparente...

Tanto valeva a quel punto escluderla proprio invece che far finta di implementarla lasciando poi i consumatori basiti quando si accorgono che in realtà non fa nulla...


Se c'è una cosa che non mi mancherà tra le feature rimosse è proprio AppLocker...

se è per quello siamo in 2 visto che, se devo usare un Antieseguibile, non penso certo alla soluzione MS visto che esistono alternative specializzate e di gran lunga più flessibili..

Prima di rispondere alla domanda vorrei darti un paio di consigli, sei libero di non seguirli

Hai ragione non è un help desk, ma una comunità. Solo che credevo ci fossero molti utenti ipper avantazati. Ad ogni modo non hanno ancora risposto, ma i tuoi consigli li seguirò, grazie!;)

Detto questo, ho usato poche volte AppLocker preferendogli l'Editor criteri di gruppi locali, si può bloccare un eseguibile o scegliere di avviare solo eseguibili "certificati" senza passare per i criteri di sicurezza locali.
Assicurati che il servizio "Identità Applicazione" sia in esecuzione anche sull'account limitato e soprattutto che la regola che hai creato non sia in conflitto con le regole predefinite. Ciò che vuoi fare è assolutamente fattibile, ho provato adesso e funziona. Ricontrolla che la regola sia stata creata correttamente.

Identità applicazione sono attive in entrambi gli account. Quando creo una regola che nega, automaticamente applocker ne crea 3 di default, però ho provato sia a lasciarle che toglierle, ma non blocca l'eseguibile quando dovrebbe. L'editor "criteri di gruppi locali" non ha il limite di bloccare l'eseguibile a tutti?

Visto che a te non funziona, dando prescontato che sai come applicare una regola, mentre a me sì ne deduco che sia abilitato solo sulla versione Enterprise.

Io ho windows 8.1 pro aggiornato e ha applocker come funzionalità, ma non mi blocca l'eseguibile all'utente standard.

Comunque grazie della disponibilità. Sto cercando di fare un po' pratica con queste applicazioni avanzate perchè vorrei poi passare ad imparare windows server 2008 e in futuro tentare di prendere qualche certificazione. Il problema è che non dispongo di una macchina che mi permette di fare simulazioni con virtualizzazione decente (dual core e 4gb di ram). Qualcuno mi ha consigliato di utilizzare Azure, ma costa una follia! :(

L'editor "criteri di gruppi locali" non ha il limite di bloccare l'eseguibile a tutti?

Se apri direttamente gpedit.msc sì, ma c'è un metodo non molto conosciuto che ti permette di applicare le restrizioni per i singoli account o gruppi di account

Apri Microsoft Management Console ( mmc.exe )
File --> Aggiungi-Rimuovi snap-in...
Clicca su "Editor oggetti criteri di gruppo" --> Aggiungi
Quindi clicca su Sfoglia... --> Tab "Utenti"

Seleziona l'utente a cui vuoi applicare le restrizioni --> Ok --> Fine --> Ok
Espandi "Criteri Computer Locali\Tuo_Utente" ed avrai Configurazione Utente.
Vai in Modelli Amministrativi\Sistema\Non eseguire applicazioni Windows specificate

Io ho windows 8.1 pro aggiornato e ha applocker come funzionalità, ma non mi blocca l'eseguibile all'utente standard.

perchè invece l'utente amministratore verrebbe "frenato" in qualche modo??

Amico mio, mi sa che l'ascolto non è un tuo dono visto che è stato detto che AppLocker, a dispetto di quello che possa apparire, è disponibile SOLO nelle versioni Enterprise...

Amico mio, mi sa che l'ascolto non è un tuo dono visto che è stato detto che AppLocker, a dispetto di quello che possa apparire, è disponibile SOLO nelle versioni Enterprise...

Lo avevo letto quando lo hai scritto, tuttavia, come mai, pur funzionando solo per la versione enterprise, la voce è presente anche nella versione di windows 8.1 pro?

Se apri direttamente gpedit.msc sì, ma c'è un metodo non molto conosciuto che ti permette di applicare le restrizioni per i singoli account o gruppi di account

Apri Microsoft Management Console ( mmc.exe )
File --> Aggiungi-Rimuovi snap-in...
Clicca su "Editor oggetti criteri di gruppo" --> Aggiungi
Quindi clicca su Sfoglia... --> Tab "Utenti"

Seleziona l'utente a cui vuoi applicare le restrizioni --> Ok --> Fine --> Ok
Espandi "Criteri Computer Locali\Tuo_Utente" ed avrai Configurazione Utente.
Vai in Modelli Amministrativi\Sistema\Non eseguire applicazioni Windows specificate

Wow hoo provato e funziona. Ti ringrazio davvero per questo metodo che è davvero utile e da solo non l'avrei mai scoperto. Ringrazio anche nv 25 che anche se mi ha dato del sordo, mi ha aiutato a capire per quale motivo applocker non funziona nella mia versione. Bravi ragazzi! ;)

...tuttavia, come mai...la voce è presente anche nella versione di windows 8.1 pro?
ah, questo lo dovresti chiedere a MS...

Ringrazio anche nv 25 che anche se mi ha dato del sordo...
a volte sono un pò crudo, è una mia dote...

Il lato positivo, cmq, è che in questo modo ci si fa capire subito...

ricordavo qualcosa anche a proposito di 8, e infatti:
AppLocker Policies Not Working in Windows 8 PRO (x64) (http://social.technet.microsoft.com/Forums/en-US/d4609974-0a79-4710-b6e8-0ac6b055f620/applocker-policies-not-working-in-windows-8-pro-x64?forum=w8itprosecurity) → conclusione: c'è ma non non funziona...

APPLOCKER & WINDOWS 8 (http://www.wilderssecurity.com/threads/applocker-windows-8.330543/) → evidentemente solito risultato...



In sintesi:

tanto valeva "renderla direttamente indisponibile" che dare subdolamente altri messaggi (è presente → a regola la posso utilizzare, no?)




Lati positivi:
AppLocker fa pena rispetto a soluzioni dedicate (flessibilità 0, ...) dunque non "si" perde nulla...

In sintesi:

tanto valeva "renderla direttamente indisponibile" che dare subdolamente altri messaggi (è presente → a regola la posso utilizzare, no?)

vero hai ragione

Lati positivi:
AppLocker fa pena rispetto a soluzioni dedicate (flessibilità 0, ...) dunque non "si" perde nulla...

anche se funzionasse come mai farebbe pena e con cosa lo si può sostituire, oltre il metodo spiegato da x_Master_X?

Lo scopo di AppLocker è quello di fare da Anti-eseguibile.

Preso atto di questo, c'è ad es. anche una piccola società italiana che ha in portafoglio un prodotto che fa proprio quello:
http://www.novirusthanks.org/products/exe-radar-pro/

http://www.wilderssecurity.com/threads/new-antiexecutable-novirusthanks-exe-radar-pro.300552/