AppLocker è una funzionalità “inedita”, integrata in Windows 7 così come in Windows Server 2008 R2. Grazie ad essa l’amministratore può impostare delle regole che consentano di limitare la libertà d’azione degli utenti che utilizzano il personal computer. AppLocker permette di impostare in che modo gli utenti possono accedere ai file, se hanno il diritto di avviare file eseguibili, avviare file d’installazione, script e così via.
L’interfaccia di amministrazione di AppLocker suddivide le tipologie di file gestibili in quattro grandi gruppi: file eseguibili (.exe e .com), procedure d’installazione Windows (.msi e .msp), script (.ps1, .bat, .cmd, .js e .vbs), librerie (.dll e .ocx).
AppLocker può essere impiegato solamente nelle versioni Ultimate ed Enterprise di Windows 7.
Prima di iniziare ad usare AppLocker, è necessario fare in modo che il servizio di sistema Identità applicazione sia in esecuzione e richiederne l’avvio automatico. Per provvedere, basta cliccare sul menù Start, digitare Servizi
scegliendo poi l’omonima voce dalla sezione Programmi, fare doppio clic su Identità applicazione, impostare Automatico come Tipo di avvio e premere il pulsante Avvia.
A questo punto si può accedere alla finestra Criteri di sicurezza locali digitando secpol.msc
nel menù Start e premendo il tasto Invio. Facendo doppio clic su Criteri di controllo delle applicazioni quindi su AppLocker, si potrà decidere il tipo di regola da creare.
Dal momento che la creazione di regole relative alle librerie DLL può avere effetti negativi sulle prestazioni del sistema, questa possibilità non viene visualizzata per default. Gli interessati possono eventualmente attivarla in modo manuale cliccando con il tasto destro su AppLocker, su Proprietà ed infine sulla scheda Avanzate.
Per impostare una nuova regola, è necessario fare clic con il tasto destro del mouse su uno dei gruppi elencati nella sezione AppLocker (ossia Regole eseguibili, Regole di Windows Installer e Regole script) quindi selezionare Crea regole predefinite. In questo modo Windows 7 creerà automaticamente alcune regole di default che consentono il normale accesso a file e cartelle.
Adesso è possibile produrre una nuova regola cliccando ancora, sempre con il tasto destro del mouse, sul gruppo prescelto quindi scegliendo la voce Crea nuova regola.
La procedura passo-passo di AppLocker permetterà di definire regole che consentano di accordare o negare completamente l’accesso a determinate tipologie di file per singoli utenti o gruppi di essi. Il pulsante Seleziona permette di specificare per quali utenti o gruppi è valida la regola.
Scegliendo Autore come “condizione primaria”, AppLocker controllerà la firma digitale del file oltre ad altri attributi accessori. Si possono creare anche condizioni in base al percorso di esecuzione ed al nome del file oltre che al suo hash.