Visão geral técnica do AppLocker
Aplicável a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Esta visão geral técnica para profissionais de TI fornece uma descrição do AppLocker. Essas informações podem ajudá-lo a decidir se sua organização pode se beneficiar da implantação de políticas de controle do aplicativo AppLocker. O AppLocker ajuda os administradores a controlarem quais aplicativos e arquivos os usuários podem executar. Isso inclui arquivos executáveis, scripts, arquivos do Windows Installer, DLLs, aplicativos empacotados e instaladores de aplicativos empacotados.
Dica
Para salvar ou imprimir páginas desta biblioteca digitalmente, clique em Exportar (no canto superior direito da página) e siga as instruções.
O que o AppLocker faz?
Com o AppLocker, é possível:
Definir regras com base em atributos de arquivos que persistem entre atualizações dos aplicativos, como nome do editor (derivado da assinatura digital), nome do produto, nome do arquivo e versão do arquivo. Você também pode criar regras com base no caminho do arquivo e no hash.
Atribuir uma regra a um grupo de segurança ou a um usuário individual.
Criar exceções para regras. Por exemplo, você pode criar uma regra que permita que todos os usuários executem todos os binários do Windows, exceto o Editor do Registro (Regedit.exe).
Usar o modo somente auditoria para implantar a política e entender seu impacto antes de sua imposição.
Criar regras em um servidor de preparo, testá-las e, em seguida, exportá-las para o ambiente de produção e importá-las para um Objeto de Política de Grupo.
Simplificar a criação e o gerenciamento de regras do AppLocker usando cmdlets do Windows PowerShell para AppLocker.
O AppLocker ajuda a reduzir a sobrecarga administrativa e o custo de gerenciar recursos de computação da organização, diminuindo o número de chamadas ao suporte técnico resultantes dos usuários que executam aplicativos não aprovados. O AppLocker abrange os seguintes cenários de segurança do aplicativo:
Inventário de aplicativos
O AppLocker tem a capacidade de impor sua política em um modo somente auditoria, onde todas as atividades de acesso ao aplicativo são registradas em logs de eventos. Esses eventos podem ser coletados para análise posterior. Os cmdlets do Windows PowerShell também ajudam a analisar esses dados de forma programática.
Proteção contra software indesejado
O AppLocker tem a capacidade de impedir que os aplicativos sejam executados excluindo-os da lista de aplicativos permitidos. Depois que as regras do AppLocker são impostas no ambiente de produção, a execução de qualquer aplicativo que não esteja incluído nas regras permitidas será bloqueada.
Conformidade de licenciamento
O AppLocker pode ajudá-lo a criar regras que impeçam a execução de software não licenciado e restrinjam o software licenciado a usuários autorizados.
Padronização de software
As políticas AppLocker podem ser configuradas para permitir que somente aplicativos com suporte e aprovados sejam executados nos computadores em um grupo comercial. Isso permite uma implantação de aplicativo mais uniforme.
Aprimoramento da capacidade de gerenciamento
O AppLocker inclui várias melhorias na capacidade de gerenciamento quando comparado a suas Políticas de Restrição de Software anteriores. Políticas de importação e exportação, geração automática de regras por meio de vários arquivos, implantação do modo somente auditoria e cmdlets do Windows PowerShell são apenas algumas das melhorias nas Políticas de Restrição de Software.
Quando usar o AppLocker
Em muitas organizações, as informações são o ativo mais valioso, e garantir que somente usuários aprovados tenham acesso a essas informações é imperativo. As tecnologias de controle de acesso, como o AD RMS (Active Directory Rights Management Services) e as ACLs (listas de controle de acesso), ajudam a controlar quais usuários terão permissão de acesso.
No entanto, quando um usuário executa um processo, este tem o mesmo nível de acesso aos dados possuído pelo usuário. Como resultado, informações sigilosas poderão ser facilmente excluídas ou transmitidas da organização se um usuário intencional ou involuntariamente executar software mal-intencionado. O AppLocker pode ajudar a reduzir esses tipos de violações de segurança restringindo os arquivos que usuários ou grupos têm permissão de executar.
Fornecedores de software estão começando a criar mais aplicativos do que pode ser instalado por usuários não administrativos. Isso pode comprometer a política de segurança registrada de uma organização e contornar as tradicionais soluções de controle de aplicativo provenientes da incapacidade de usuários padrão de instalar aplicativos. Ao permitir que administradores criem uma lista permitida de arquivos e aplicativos aprovados, o AppLocker impede a execução de tais aplicativos por usuário. Como o AppLocker pode controlar DLLs, ele também é útil no controle de quem pode instalar e executar controles ActiveX.
O AppLocker é ideal para organizações que atualmente usam a Política de Grupo para gerenciar seus computadores baseados em Windows. Como o AppLocker conta com a Política de Grupo para criação e implantação, a experiência com a Política de Grupo é útil.
Veja os exemplos de cenários a seguir nos quais o AppLocker pode ser usado:
A política de segurança da sua organização impõe o uso de software licenciado apenas, portanto você precisa impedir que usuários executem software não licenciado e também precisa restringir o uso de software licenciado a usuários autorizados.
Um aplicativo não conta mais com suporte da sua organização, de modo que você precisa impedir que todas as pessoas o usem.
A possibilidade que softwares indesejados sejam introduzidos no seu ambiente é alta, de modo que você precisa reduzir essa ameaça.
A licença para um aplicativo foi revogada ou expirou na sua organização, de modo que você precisa impedi-lo de ser usado pelas pessoas.
Um novo aplicativo ou uma nova versão de um aplicativo foi implantada e você precisa impedir que os usuários executem a versão antiga.
Ferramentas de software específicas não são permitidas na organização ou apenas usuários específicos têm acesso a elas.
Um único usuário ou um pequeno grupo de usuários precisa usar um aplicativo específico que é negado a todas as outras pessoas.
Alguns computadores em sua organização são compartilhados por pessoas com diferentes necessidades de uso de software, e você precisa proteger aplicativos específicos.
Além de outras medidas, você precisa controlar o acesso aos dados confidenciais por meio do uso do aplicativo.
O AppLocker pode ajudar a proteger os ativos digitais na sua organização, reduzir a ameaça de softwares mal-intencionados introduzidos no seu ambiente e melhorar o gerenciamento do controle de aplicativo e a manutenção das políticas de controle de aplicativo.
Versões, interoperabilidade e diferenças na funcionalidade
Versões com suporte e considerações de interoperabilidade
As políticas do AppLocker só podem ser configuradas e aplicadas em computadores que executam versões e edições com suporte do sistema operacional Windows. Para obter mais informações, consulte Requisitos para usar o AppLocker.
Diferenças na funcionalidade entre versões
A tabela a seguir lista as diferenças por versão de sistema operacional de cada um dos principais recursos ou funções do AppLocker:
| Recurso ou função | Windows Server 2008 R2 e Windows 7 | R2 do Windows Server 2012, Windows Server 2012, Windows 8.1 e Windows 8 |
|---|---|---|
| Capacidade de definir regras para aplicativos empacotados e instaladores de aplicativos empacotados. | Não | Sim |
| As políticas AppLocker são mantidas por meio da Política de Grupo e somente o administrador do computador pode atualizar uma política AppLocker. | Sim | Sim |
| O AppLocker permite personalização de mensagens de erro para que administradores possam direcionar usuários a uma página da Web para obter ajuda. | Sim | Sim |
| Capacidade de trabalhar em conjunto com Políticas de Restrição de Software (usando GPOs separados). | Sim | Sim |
| O AppLocker dá suporte a um pequeno conjunto de cmdlets do Windows PowerShell para auxiliar na administração e manutenção. | Sim | Sim |
| As regras de AppLocker podem controlar os formatos de arquivo listados. | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Para obter informações de comparação de funções de controle de aplicativos em Políticas de Restrição de Software e no AppLocker e também sobre como usar os dois recursos juntos, consulte Usar o AppLocker e diretivas de restrição de Software no mesmo domínio.
Requisitos de sistema
As políticas do AppLocker só podem ser configuradas e aplicadas em computadores que executam versões e edições com suporte do sistema operacional Windows. A Política de Grupo é necessária para distribuir Objetos de Política de Grupo que contêm políticas do AppLocker. Para obter mais informações, consulte Requisitos para usar o AppLocker.
As regras do AppLocker podem ser criadas em controladores de domínio.
Dica
A capacidade de criar regras para aplicativos empacotados e instaladores de aplicativos empacotados não está disponível no Windows Server 2008 R2 e no Windows 7.
Instalando o AppLocker
O AppLocker é incluído com edições de nível empresarial do Windows. É possível criar regras de AppLocker para um só computador ou para um grupo de computadores. Para um único computador, você pode criar regras usando o editor de Política de Segurança Local (secpol. msc). Para um grupo de computadores, você pode criar regras dentro de um objeto de política de grupo usando o GPMC (Console de Gerenciamento de Política de Grupo).
Dica
O GPMC está disponível em computadores cliente que executam o Windows instalando as Ferramentas de Administração de Servidor Remoto. No computador executando o Windows Server, você deve instalar o recurso Gerenciamento de Política de Grupo.
Usando o AppLocker em Server Core
O Windows PowerShell pode ser usado para gerenciar o AppLocker em instalações Server Core usando os cmdlets do AppLocker e, se administrado em um GPO, usando os cmdlets da Política de Grupo do PowerShell. Para obter mais informações, consulte a Referência de comandos PowerShell para o AppLocker.
Considerações sobre virtualização
É possível administrar as políticas do AppLocker usando uma instância virtualizada do Windows, desde que ela atenda a todos os requisitos de sistema listados anteriormente. Também é possível executar a Política de Grupo em uma instância virtualizada. No entanto, você arrisca a perder as políticas que criou e mantém, se a instância virtualizada for removida ou falhar.
Considerações de segurança
As políticas de controle de aplicativo especificam quais programas têm permissão para serem executados no computador local.
Com a variedade de formatos que um software mal-intencionado pode tomar, fica difícil para os usuários saberem o que é e o que não é seguro de executar. Quando ativado, o software mal-intencionado pode danificar o conteúdo em um disco rígido, saturar uma rede com solicitações para causar um ataque de DoS (negação de serviço), enviar informações confidenciais à Internet ou comprometer a segurança de um computador.
A contramedida é criar um projeto de som para as políticas de controle de aplicativo nos computadores dos usuários finais da sua organização e, em seguida, testar completamente as políticas em um ambiente de laboratório antes de implantá-las em um ambiente de produção. O AppLocker pode fazer parte de sua estratégia de controle de aplicativo, pois você pode controlar o software que tem permissão para executar em seus computadores.
Uma implementação falha da política de controle de aplicativo pode desabilitar os aplicativos necessários ou permitir que software mal-intencionado ou não autorizado seja executado. Portanto, é importante que as organizações dediquem recursos suficientes para gerenciar e solucionar problemas da implementação dessas políticas.
Para obter informações adicionais sobre problemas de segurança específicos, consulte Considerações de segurança para AppLocker.
Ao usar o AppLocker para criar políticas de controle de aplicativo, você deve ter conhecimento das seguintes considerações de segurança:
Quem tem direitos para definir as políticas do AppLocker?
Como você valida as políticas impostas?
Quais eventos devem passar por auditoria?
Para referência em seu planejamento de segurança, a tabela a seguir identifica as configurações de linha de base de um computador cliente com o recurso AppLocker instalado:
| Configuração | Valor padrão |
|---|---|
| Contas criadas | Não |
| Método de autenticação | Não Aplicável |
| Interfaces de gerenciamento | O AppLocker pode ser gerenciado por um snap-in de Console de Gerenciamento Microsoft, Gerenciamento de política de grupo e Windows PowerShell |
| Portas abertas | Não |
| Privilégios mínimos necessários | Administrador no computador local; Administrador de domínio ou qualquer conjunto de direitos que lhe permite criar, editar e distribuir Objetos de Política de Grupo. |
| Protocolos usados | Não Aplicável |
| Tarefas Agendadas | Appidpolicyconverter.exe é colocado em uma tarefa agendada a ser executada sob demanda. |
| Políticas de Segurança | Nenhuma necessária. O AppLocker cria políticas de segurança. |
| Serviços de Sistema necessários | O Serviço de Identidade de Aplicativo (appidsvc) é executado em LocalServiceAndNoImpersonation. |
| Armazenamento de credenciais | Não |
Mantendo políticas do AppLocker
Informações sobre a manutenção de políticas do Applocker são fornecidas nos seguintes tópicos:
Consulte também
| Recurso | Windows Server 2008 R2 e Windows 7 | R2 do Windows Server 2012, Windows Server 2012, Windows 8.1 e Windows 8 |
|---|---|---|
| Avaliação do produto | perguntas frequentes Guia passo a passo do AppLocker (a página pode estar em inglês) |
perguntas frequentes Guia passo a passo do AppLocker (a página pode estar em inglês) |
| Procedimentos | Guia de Operações do AppLocker | Administrar o AppLocker Gerenciar aplicativos empacotados com o AppLocker |
| Criação de scripts | Usando os cmdlets do Windows PowerShell para o AppLocker | Usar os Cmdlets do Windows PowerShell de AppLocker |
| Conteúdo técnico | Referência técnica do AppLocker | Referência técnica do AppLocker |
| Criação, planejamento e implantação | Guia de Design de Políticas do AppLocker Guia de implantação de diretivas AppLocker |
Guia de Design de Políticas do AppLocker Guia de implantação de diretivas AppLocker |