Share via

Planejar para gerenciamento de políticas do AppLocker

  • Artigo

 

Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico para descreve as decisões que você precisa fazer estabelecer os processos de gerenciamento e manutenção de políticas do AppLocker.

Gerenciamento de política

Antes de começar o processo de implantação, considere como as regras de AppLocker serão gerenciadas. Desenvolvimento de um processo para gerenciar o AppLocker regras ajuda a garantir que o AppLocker continua efetivamente controla como os aplicativos têm permissão para executar em sua organização.

Política de suporte do aplicativo e do usuário

Desenvolvimento de um processo para gerenciar o AppLocker regras ajuda a garantir que o AppLocker continua efetivamente controla como os aplicativos têm permissão para executar em sua organização. As considerações incluem:

  • Que tipo de suporte ao usuário final é fornecido para aplicativos bloqueados?

  • Como novas regras são adicionadas à política?

  • Como as regras existentes são atualizadas?

  • Os eventos são encaminhados para revisão?

Suporte técnico

Se sua organização tiver um departamento de suporte de suporte técnico ajuda estabelecida no lugar, considere o seguinte ao implantar políticas do AppLocker:

  • Quais documentos que requer o seu departamento de suporte para novas implantações de diretiva?

  • Quais são os processos críticos em cada empresa grupo no fluxo de trabalho e de tempo que será afetado pelas políticas de controle de aplicativos e como elas poderiam afetar carga de trabalho do seu departamento de suporte?

  • Quem são os contatos no departamento de suporte?

  • Como o departamento de suporte resolverá problemas de controle de aplicativo entre o usuário final e aqueles que mantêm as regras de AppLocker?

Suporte ao usuário final

Como o AppLocker está impedindo a execução de aplicativos não aprovadas, é importante que sua organização planejar cuidadosamente como fornecer suporte ao usuário final. As considerações incluem:

  • Você deseja usar um site de intranet como uma primeira linha de suporte para usuários que tentaram executar um aplicativo bloqueado?

  • Como você deseja oferecer suporte a exceções à política? Permitir que os usuários executem um script para permitir o acesso a um aplicativo bloqueado temporariamente?

Usando um site da intranet

O AppLocker pode ser configurado para exibir a mensagem padrão, mas com uma URL personalizada. Você pode usar essa URL para redirecionar os usuários para um site de suporte que contém informações sobre por que o usuário recebeu o erro e quais aplicativos são permitidos. Se você não exibir uma URL para a mensagem personalizada quando um aplicativo é bloqueado, a URL padrão será usada.

A imagem a seguir mostra um exemplo da mensagem de erro para um aplicativo bloqueado. Você pode usar o definir um link da web de suporte configuração de diretiva para personalizar o obter mais informações link.

AppLocker blocked application error message

Mensagem de erro de aplicativo bloqueado

Para obter as etapas exibir uma URL para a mensagem personalizada, consulte Exibir um personalizado URL mensagem quando os usuários tentarem executar um aplicativo bloqueado (https://go.microsoft.com/fwlink/?LinkId=160265).

Gerenciamento de eventos do AppLocker

Cada vez que um processo solicita permissão para executar, o AppLocker cria um evento no log de eventos do AppLocker. Os detalhes do evento que arquivo tentou executar, os atributos de arquivo, o usuário que iniciou a solicitação e a regra de GUID que foi usado para tomar a decisão de execução do AppLocker. O log de eventos do AppLocker está localizado no seguinte caminho: aplicativos e serviços Logs\Microsoft\Windows\AppLocker. O log do AppLocker inclui três logs:

  1. EXE e DLL. Contém eventos para todos os arquivos afetados pelo executável e coleções de regras de DLL (.exe,. com,. dll e. ocx).

  2. MSI e Script. Contém eventos para todos os arquivos afetados pelas coleções de regras do Windows Installer e script (. msi,. msp,. ps1,. bat,. cmd,. vbs e. js).

  3. Pacotes de implantação do aplicativo ou empacotado de execução do aplicativo, contém eventos para todos os aplicativos do Windows 8 afetados pelo aplicativo empacotados e pacote instalador do aplicativo (AppX) a coleção de regras.

A coleta desses eventos em um local central pode ajudá-lo a manter sua diretiva AppLocker e solucionar problemas de configuração de regra. Tecnologias de coleta de eventos, como aqueles disponíveis no Windows permitem que os administradores se inscrever em canais de evento específico e tem os eventos de computadores de origem agregados em um log de eventos encaminhado em um coletor de sistema operacional Windows Server. Para obter mais informações sobre como configurar uma inscrição de evento, consulte Configurar computadores para coletar e encaminhar eventos (https://go.microsoft.com/fwlink/?LinkId=145012).

Manutenção de política

Conforme novos aplicativos são implantados ou aplicativos existentes são atualizados pelo fornecedor de software, você precisará fazer revisões em suas coleções de regras para garantir que a diretiva seja atual.

Você pode editar uma política AppLocker adicionando, alterando ou removendo regras. No entanto, você não pode especificar uma versão para a política Importando regras adicionais. Para garantir o controle de versão ao modificar uma política AppLocker, use o software de gerenciamento de diretiva de grupo que permite criar versões dos objetos de diretiva de grupo (GPOs). Um exemplo desse tipo de software é o recurso Gerenciamento Avançado de Política de Grupo do Microsoft Desktop Optimization Pack. Para obter mais informações, consulte o site sobre a visão geral do Gerenciamento Avançado de Política de Grupo (https://go.microsoft.com/fwlink/?LinkId=145013).

Aviso

Você não deve editar uma coleção de regras de AppLocker enquanto ela estiver sendo imposta na diretiva de grupo. Como o AppLocker controla quais arquivos têm permissão para executar, fazer alterações em uma diretiva ativa pode gerar um comportamento inesperado.

Nova versão de um aplicativo com suporte

Quando uma nova versão de um aplicativo é implantada na organização, você precisa determinar se deseja continuar a oferecer suporte à versão anterior do aplicativo. Para adicionar a nova versão, apenas talvez seja necessário criar uma nova regra para cada arquivo que está associado com o aplicativo. Se você estiver usando condições de editor e a versão não for especificada, então a regra existente ou regras podem ser suficientes para permitir que o arquivo atualizado executar. Você deve garantir, no entanto, o aplicativo atualizado não tiver alterado os nomes de arquivo ou adicionados arquivos para suportar a nova funcionalidade. Nesse caso, você deve modificar as regras existentes ou criar novas regras. Para continuar a reutilizar uma regra baseada no Editor sem uma versão de arquivo específico, você também deve garantir que a assinatura digital do arquivo seja ainda idêntica da versão anterior — o Editor, nome do produto e nome do arquivo (se configurado na regra) devem corresponder para a regra ser aplicada corretamente.

Para determinar se um arquivo foi modificado durante uma atualização do aplicativo, analise detalhes da versão do publicador fornecidos com o pacote de atualização. Você também pode examinar a página de Web do Editor para recuperar essas informações. Cada arquivo também pode ser inspecionado para determinar a versão.

Para arquivos que são permitidos ou negados com condições de hash do arquivo, você deve recuperar o novo hash do arquivo. Para adicionar suporte para uma nova versão e manter o suporte para a versão mais antiga, você pode criar uma nova regra de hash de arquivo para a nova versão ou editar a regra existente e adicionar o novo hash de arquivo à lista de condições.

Para arquivos com condições de caminho, você deve verificar se o caminho de instalação não mudou do que é mencionado na regra. Se o caminho for alterado, você precisa atualizar a regra antes de instalar a nova versão do aplicativo.

Aplicativo implantado recentemente

Para oferecer suporte a um novo aplicativo, você deve adicionar uma ou mais regras para a política AppLocker existente.

Não há suporte para o aplicativo

Se a organização determinou que não suporta um aplicativo que tem regras de AppLocker associadas a ele, a maneira mais fácil de evitar que usuários executem o aplicativo é excluir essas regras.

Aplicativo é bloqueado, mas deve ser permitido

Um arquivo pode ter sido bloqueado por três motivos:

  • O motivo mais comum é que nenhuma regra existe para permitir que o aplicativo seja executado.

  • Pode haver uma regra existente que foi criada para o arquivo é muito restritivo.

  • Uma regra de negação que não pode ser substituída, explicitamente está bloqueando o arquivo.

Antes de editar a coleção de regras, primeiro determine qual regra está impedindo que o arquivo seja executado. Você pode solucionar o problema usando o Test-AppLockerPolicy cmdlet do Windows PowerShell. Para obter mais informações sobre como solucionar uma AppLockerpolicy, consulte Testando e atualizando uma política AppLocker (https://go.microsoft.com/fwlink/?LinkId=160269).

Próximas etapas

Depois de decidir como sua organização irá gerenciar a política AppLocker, registre suas descobertas.

  • Política de suporte do usuário final. Documente o processo que você usará para manipular chamadas de usuários que tentaram executar um aplicativo bloqueado e garantir a equipe de suporte que etapas de escalonamento claro para que o administrador pode atualizar a política AppLocker, se necessário.

  • Processamento de eventos. Se os eventos serão coletados em um local central chamado um repositório, como que o repositório será arquivado e se os eventos serão processados para análise de documentos.

  • Manutenção de política. Detalhes sobre como regras serão adicionadas à diretiva e em qual GPO as regras são definidas.

Para obter informações e etapas como seus processos de documentos, consulte Documente seus processos de gerenciamento de controle de aplicativo.