Administrar políticas de restrição de Software

  • Artigo

 

Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8

Este tópico para profissionais de TI contém procedimentos como administrar políticas de controle de aplicativo usando o início de diretivas de restrição de Software (SRP) no Windows Server 2008 e Windows Vista.

Introdução

A política SRP (Política de Restrição de Software) é um recurso baseado em políticas de grupo que identifica programas de software que são executados em um domínio e que controla a capacidade desses programas de serem executados. Use políticas de restrição de software para criar uma configuração altamente restrita para computadores nos quais você permite que apenas aplicativos especificamente identificados sejam executados. Integrado com o Microsoft Active Directory Domain Services e diretiva de grupo, mas também pode ser configurados em computadores autônomos. Para obter mais informações sobre o SRP, consulte oVisão geral das Políticas de Restrições de Software.

Começando comWindows Server 2008 R2eWindows 7Windows AppLocker pode ser usado em vez de ou em conjunto com SRP por uma parte de sua estratégia de controle de aplicativo. Para obter informações sobre o AppLocker emWindows Server 2012eWindows 8consulte oVisão geral do AppLocker [cliente].

Este tópico contém:

  • Para abrir as diretivas de restrição de Software

  • Para criar novas diretivas de restrição de software

  • Para adicionar ou excluir um tipo de arquivo designado

  • Para impedir que as diretivas de restrição de software aplicadas a administradores locais

  • Para alterar o nível de segurança padrão das diretivas de restrição de software

  • Para aplicar diretivas de restrição de software a DLLs

Para obter informações sobre como executar tarefas específicas usando o SRP, consulte o seguinte:

Para abrir as diretivas de restrição de Software

  • Para o computador local

  • Para um domínio, site ou unidade organizacional e você está em um servidor membro ou em uma estação de trabalho que tenha ingressada em um domínio

  • Em um domínio ou unidade organizacional e você está em um controlador de domínio ou em uma estação de trabalho que tenha as ferramentas de administração de servidor remoto instalado

  • Em um site, você está em um controlador de domínio ou em uma estação de trabalho que tenha as ferramentas de administração de servidor remoto instalado

Para o computador local

  1. Abra as Configurações de Segurança Locais.

  2. Na árvore de console, clique emdiretivas de restrição de Software.

    Onde?

    • Diretivas de restrição de Software/configurações de segurança

Dica

Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada.

Para um domínio, site ou unidade organizacional e você está em um servidor membro ou em uma estação de trabalho que tenha ingressada em um domínio

  1. Abra o MMC (Console de Gerenciamento Microsoft).

  2. Sobre oarquivomenu, clique emAdicionar/Remover Snap-ine, em seguida, clique emAdd.

  3. Clique em Editor de Objeto de Política de Grupo Local e clique em Adicionar.

  4. Em Selecionar Objeto de Política de Grupo, clique em Procurar.

  5. EmProcurar um objeto de diretiva de gruposelecione um objeto de diretiva de grupo (GPO) no domínio apropriado, no site ou na unidade organizacional ou criar um novo e, em seguida, clique emConcluir.

  6. Clique em Fechare clique em OK.

  7. Na árvore de console, clique emdiretivas de restrição de Software.

    Onde?

    • o objeto de diretiva de grupo[NomeDoComputador] configuração de diretiva de computador ou

      Diretivas de restrição de configurações de Software do usuário Configuration/Windows/configurações de segurança

Dica

Para executar este procedimento, você deve ser um membro do grupo Admins. do domínio.

Em um domínio ou unidade organizacional e você está em um controlador de domínio ou em uma estação de trabalho que tenha as ferramentas de administração de servidor remoto instalado

  1. Abra o Console de gerenciamento de diretiva de grupo.

  2. Na árvore de console, clique com botão direito do grupo de diretiva de GPO (objeto) que você deseja abrir diretivas de restrição de software para.

  3. Clique em Editar para abrir o GPO que quer editar. Você também pode clicar em Novo para criar um novo GPO e clique em Editar.

  4. Na árvore de console, clique emdiretivas de restrição de Software.

    Onde?

    • o objeto de diretiva de grupo[NomeDoComputador] configuração de diretiva de computador ou

      Diretivas de restrição de configurações de Software do usuário Configuration/Windows/configurações de segurança

Dica

Para executar este procedimento, você deve ser um membro do grupo Admins. do domínio.

Em um site, você está em um controlador de domínio ou em uma estação de trabalho que tenha as ferramentas de administração de servidor remoto instalado

  1. Abra o Console de gerenciamento de diretiva de grupo.

  2. Na árvore de console, clique com botão direito no site que você deseja definir a diretiva de grupo.

    Onde?

    • Serviços e Sites do Active Directory [nome_do_controlador_do_domínio. nome_do_domínio] / Sites/Site

  3. Clique em uma entradaGroup Policy Object Linkspara selecionar um objeto de diretiva de grupo (GPO) existente e, em seguida, clique emEditar. Você também pode clicar em Novo para criar um novo GPO e clique em Editar.

  4. Na árvore de console, clique emdiretivas de restrição de Software.

    Onde

    • o objeto de diretiva de grupo[NomeDoComputador] configuração de diretiva de computador ou

      Diretivas de restrição de configurações de Software do usuário Configuration/Windows/configurações de segurança

Dica

  • Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada. Se o computador fizer parte de um domínio, é possível que os membros do grupo Administradores de domínio possam executar esse procedimento.

  • Para definir configurações de diretiva que serão aplicadas a computadores, independentemente de quais usuários se conectem a eles, clique emComputer Configuration.

  • Para definir configurações de diretiva que serão aplicadas a usuários, independentemente do computador que efetuam logon, clique emUser Configuration.

Para criar novas diretivas de restrição de software

  1. Abra Políticas de Restrição de Software.

  2. No menu Ação, clique em Novas Políticas de Restrição de Software.

Aviso

  • São necessárias diferentes credenciais administrativas para executar esse procedimento, dependendo do seu ambiente:

    • Se você criar novas políticas de restrição de software para o computador local: A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.

    • Se você criar novas políticas de restrição de software para um computador que ingressou em um domínio, os membros do grupo Administradores de Domínio poderão executar esse procedimento.

  • Se as políticas de restrição de software já tiverem sido criadas para um GPO (Objeto de Política de Grupo), o comando Novas Políticas de Restrição de Software não será exibido no menu Ação. Para excluir as políticas de restrição de software aplicadas a um GPO, na árvore de console, clique com o botão direito do mouse em Políticas de Restrição de Software e clique em Excluir Políticas de Restrição de Software. Quando você exclui as diretivas de restrição de software para um GPO, você também excluir todas as regras de diretivas de restrição de software para o GPO. Depois de criar as políticas de restrição de software, você pode criar novas políticas de restrição de software para esse GPO.

Para adicionar ou excluir um tipo de arquivo designado

  1. Abra Políticas de Restrição de Software.

  2. No painel de detalhes, clique duas vezes em Tipos de Arquivo Designados.

  3. Realize um dos seguintes procedimentos:

    • Para adicionar um tipo de arquivo, em Extensão de nome de arquivo, digite a extensão do nome do arquivo e clique em Adicionar.

    • Para excluir um tipo de arquivo, em Tipos de arquivo designados, clique no tipo de arquivo e clique em Remover.

Dica

  • São necessárias diferentes credenciais administrativas para executar esse procedimento, dependendo do ambiente em que você adiciona ou exclui um tipo de arquivo designado:

    • Se você adicionar ou excluir um tipo de arquivo designado para o computador local: A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.

    • Se você criar novas políticas de restrição de software para um computador que ingressou em um domínio, os membros do grupo Administradores de Domínio poderão executar esse procedimento.

  • Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.

  • A lista de tipos de arquivo designados é compartilhada por todas as regras para configuração do computador e configuração do usuário para um GPO.

Para impedir que as diretivas de restrição de software aplicadas a administradores locais

  1. Abra Políticas de Restrição de Software.

  2. No painel de detalhes, clique duas vezes em Imposição.

  3. Em Aplicar políticas de restrição de software aos seguintes usuários, clique em Todos os usuários, exceto administradores locais.

Aviso

  • A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.

  • Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.

  • Se for comum que os usuários sejam membros do grupo local de administradores nos computadores de sua organização, convém não habilitar essa opção.

  • Se você estiver definindo uma configuração de política de restrição de software para o computador local, use esse procedimento para impedir que administradores locais tenham as políticas de restrição de software aplicadas a eles. Se você estiver definindo uma configuração de diretiva de restrição de software para a sua rede, filtre configurações de diretiva de usuário com base na participação em grupos de segurança por meio da diretiva de grupo.

Para alterar o nível de segurança padrão das diretivas de restrição de software

  1. Abra Políticas de Restrição de Software.

  2. No painel de detalhes, clique duas vezes em Níveis de Segurança.

  3. Clique com o botão direito do mouse no nível de segurança que você quer definir como padrão e clique em Definir como padrão.

Aviso

Em determinados diretórios, a configuração do nível de segurança como Não Permitido pode prejudicar o sistema operacional.

Dica

  • São necessárias diferentes credenciais administrativas para executar esse procedimento, dependendo do ambiente para o qual você altera o nível de segurança padrão das políticas de restrição de software.

  • Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.

  • No painel de detalhes, o nível de segurança padrão atual é indicado por um círculo preto com uma marca de seleção nele. Se você clicar com o botão direito do mouse no nível de segurança padrão, o comando Definir como padrão não será exibido no menu.

  • Regras de diretivas de restrição de software são criadas para especificar exceções ao nível de segurança padrão. Quando o nível de segurança padrão for definido como Irrestrito, as regras poderão especificar software que não têm permissão para serem executados. Quando o nível de segurança padrão for definido como Não Permitido, as regras poderão especificar software que têm permissão para serem executados.

  • Na instalação, o nível de segurança padrão das políticas de restrição de software em todos os arquivos no sistema é definido como Irrestrito.

Para aplicar diretivas de restrição de software a DLLs

  1. Abra Políticas de Restrição de Software.

  2. No painel de detalhes, clique duas vezes em Imposição.

  3. Em Aplicar políticas de restrição de software a, clique em Todos os arquivos de software.

Dica

  • Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada. Se o computador fizer parte de um domínio, é possível que os membros do grupo Administradores de domínio possam executar esse procedimento.

  • Por padrão, as políticas de restrição de software não verificam DLLs (bibliotecas de links dinâmicos). A verificação de DLLs pode diminuir o desempenho do sistema, porque as políticas de restrição de software devem ser avaliadas sempre que uma DLL é carregada. Entretanto, você poderá optar por verificar as DLLs se estiver preocupado que receberá um vírus direcionado a DLLs. Se o nível de segurança padrão é definido comonão permitidoe habilitar a verificação de DLLs, você deve criar a restrição de software regras de políticas que permitem que cada DLL seja executada.