AppLocker

  • Artigo

Este tópico apresenta uma descrição de AppLocker e pode ajudar a decidir se a organização pode se beneficiar da implantação de políticas de controle do aplicativo AppLocker. O AppLocker ajuda a controlar quais aplicativos e arquivos os usuários podem executar. Isso inclui arquivos executáveis, scripts, arquivos do instalador do Windows, bibliotecas de vínculo dinâmico (DLLs), aplicativos empacotados e instaladores de aplicativos empacotados.

O AppLocker pode ajudar a:

  • Definir regras baseadas em atributos de arquivo que persistem em atualizações de aplicativo, como o nome do fornecedor (derivado da assinatura digital), o nome do produto, o nome do arquivo e a versão do arquivo. Você também pode criar regras com base no caminho do arquivo e no hash.

  • Atribua uma regra para um grupo de segurança ou um usuário individual.

  • Crie exceções para as regras. Por exemplo, você pode criar uma regra que permite que todos os usuários executem todos os binários do Windows, exceto o Editor do Registro (regedit.exe).

  • Use o modo somente de auditoria para implantar a política e entender seu impacto antes de forçá-la.

  • Criar regras em um servidor de preparo, testá-las, exportá-las para o ambiente de produção e importá-las para um objeto de política de grupo.

  • Simplificar a criação e o gerenciamento de regras do AppLocker usando o Windows PowerShell.

O AppLocker ajuda a reduzir a sobrecarga administrativa e o custo de gerenciamento dos recursos de computação da organização diminuindo o número de chamadas para o suporte técnico resultantes de usuários que executam aplicativos não aprovados. O AppLocker aborda os seguintes cenários de segurança do aplicativo:

  • Inventário de aplicativos

    O AppLocker tem a capacidade de impor a política em um modo somente auditoria em que todas as atividades de acesso do aplicativo são registradas em logs de eventos. Esses eventos podem ser coletados para análise posterior. Os cmdlets do Windows PowerShell também ajudam a analisar esses dados de maneira programática.

  • Proteção contra software indesejado

    O AppLocker tem a capacidade de evitar que aplicativos sejam executados quando você os exclui da lista de aplicativos permitidos. Quando as regras do AppLocker são impostas no ambiente de produção, todos os aplicativos não incluídos nas regras permitidas são impedidos de serem executados.

  • Conformidade com o licenciamento

    O AppLocker pode ajudar a criar regras que impedem que software não licenciado seja executado e restringem o software licenciado a usuários autorizados.

  • Padronização de software

    As políticas do AppLocker podem ser configuradas para permitir que apenas aplicativos compatíveis ou aprovados sejam executados em computadores dentro de um grupo comercial. Isso permite uma implantação de aplicativos mais uniforme.

  • Aperfeiçoamento da capacidade de gerenciamento

    O AppLocker inclui vários aperfeiçoamentos na capacidade de gerenciamento em comparação com as políticas de restrição de software anteriores. Políticas de importação e exportação, geração automática de regras com base em vários arquivos, implantação do modo somente auditoria e cmdlets do Windows PowerShell são alguns dos aperfeiçoamentos em relação às políticas de restrição de software.

Funcionalidades novas e alteradas

Para saber as novidades no AppLocker para Windows 10, consulte Novidades do BitLocker?

Quando usar o AppLocker

Em muitas organizações, as informações são o ativo mais valioso, e garantir que apenas usuários aprovados tenham acesso a essas informações é fundamental. Tecnologias de controle de acesso, como o Active Directory Rights Management Services (AD RMS) e as listas de controle de acesso (ACLs), ajudam a controlar o que os usuários têm permissão para acessar.

No entanto, quando um usuário executa um processo, esse processo tem o mesmo nível de acesso aos dados que o usuário tem. Dessa forma, as informações confidenciais podem ser facilmente excluídas ou transmitidas para fora da organização caso um usuário execute um software mal-intencionado consciente ou inconscientemente. O AppLocker pode ajudar a atenuar esses tipos de violações de segurança restringindo os arquivos que os usuários ou grupos têm permissão para executar.

Os editores de software estão começando a criar mais aplicativos que podem ser instalados por usuários não administrativos. Isso pode comprometer a política de segurança por escrito da organização e evitar soluções de controle de aplicativo tradicional que dependam da incapacidade de usuários instalarem aplicativos. Criando uma lista permitida de arquivos e aplicativos aprovados, o AppLocker ajuda a evitar que esses aplicativos sejam executados por usuário. Como pode controlar DLLs, o AppLocker também é útil para controlar quem pode instalar e executar controles ActiveX.

O AppLocker é ideal para organizações que usem Política de Grupo no momento para gerenciar os computadores.

Estes são exemplos de cenários nos quais o AppLocker pode ser usado:

  • A política de segurança da organização determina o uso apenas de software licenciado, logo, você precisa evitar que os usuários executem um software não licenciado e também restringir o uso do software licenciado a usuários autorizados.

  • Um aplicativo não é mais compatível com a organização, de maneira que você precisa evitar que ele seja usado por todos.

  • Como o potencial para um software indesejado ser introduzido no ambiente é alto, você precisa reduzir essa ameaça.

  • A licença para um aplicativo foi revogada ou expirou na organização, de maneira que você precisa impedir que ele seja usado por todos.

  • Um novo aplicativo ou uma nova versão de um aplicativo é implantado, e você precisa evitar que os usuários executem a versão anterior.

  • Ferramentas de software específico não são permitidas dentro da organização, ou apenas usuários específicos devem ter acesso a essas ferramentas.

  • Um único usuário ou um pequeno grupo de usuários precisa usar um aplicativo cujo acesso seja negado a todos os outros.

  • Alguns computadores na organização são compartilhados por pessoas com necessidades de uso de software diferentes, e você precisa proteger aplicativos específicos.

  • Além de outras medidas, você precisa controlar o acesso a dados confidenciais por meio do uso do aplicativo.

O AppLocker pode ajudar a proteger os ativos digitais dentro da organização, reduzir a ameaça de software mal-intencionado introduzido no ambiente e melhorar o gerenciamento de controle de aplicativos e a manutenção das políticas de controle de aplicativo.

Requisitos do sistema

As políticas do AppLocker só podem ser configuradas em e aplicadas a computadores nos quais estejam em execução as versões e as edições compatíveis do sistema operacional Windows. Política de Grupo é necessária para distribuir objetos de política de grupo que contenham políticas do AppLocker. Para obter mais informações, consulte Requisitos para usar o AppLocker.

As regras do AppLocker podem ser criadas em controladores de domínio.

Instalação do AppLocker

O AppLocker está incluído em edições de nível corporativo do Windows. Você pode criar regras do AppLocker para um único computador ou para um grupo de computadores. Para um único computador, você pode criar regras usando o Editor de Política de Segurança Local (secpol.msc). Para um grupo de computadores, você pode criar as regras dentro de um objeto de política de grupo usando o Console de Gerenciamento de políticas de Grupo (GPMC).

Observação  

O GPMC está disponível em computadores cliente nos quais o Windows esteja em execução instalando as Ferramentas de Administração de Servidor Remoto. No computador no qual o Windows Server esteja em execução, você deve instalar o recurso Gerenciamento de políticas de Grupo.

 

Como usar o AppLocker em Server Core

O AppLocker não tem suporte em instalações no Núcleo do Servidor.

Considerações sobre a virtualização

Você pode administrar as políticas do AppLocker usando uma instância virtualizada do Windows desde que ela atenda a todos os requisitos de sistema listados anteriormente. Você também pode executar Política de Grupo em uma instância virtualizada. No entanto, você corre o risco de perder as políticas que criou e mantém caso a instância virtualizada seja removida ou falhe.

Considerações sobre a segurança

As políticas de controle do aplicativo especificam quais aplicativos podem ser executados no computador local.

As diversas formas que um software mal-intencionado pode assumir dificulta para os usuários saberem o que é seguro executar. Quando ativado, um software mal-intencionado pode danificar o conteúdo em uma unidade de disco rígido, inundar uma rede com solicitações para causar um ataque de negação de serviço (DoS), enviar informações confidenciais para a Internet ou comprometer a segurança de um computador.

A contramedida é criar um bom design para as políticas de controle do aplicativo em computadores na organização e depois testar integralmente as políticas em um ambiente de laboratório antes de implantá-las em um ambiente de produção. O AppLocker pode fazer parte da estratégia de controle do aplicativo porque você pode controlar o que o software tem permissão para executar nos computadores.

Uma implementação da política de controle do aplicativo com falhas pode desabilitar os aplicativos necessários ou permitir a execução de um software mal-intencionado ou indesejado. Por isso, é importante que organizações dediquem recursos suficientes para gerenciar e solucionar problemas na implementação dessas políticas.

Para obter informações adicionais sobre problemas de segurança específicos, consulte Considerações de segurança sobre o AppLocker.

Ao usar o AppLocker para criar políticas de controle do aplicativo, você deve estar ciente das seguintes considerações de segurança:

  • Quem tem os direitos para definir políticas do AppLocker?

  • Como você valida se as políticas foram impostas?

  • Quais eventos você deve auditar?

Para consultar o planejamento de segurança, a seguinte tabela identifica as configurações de linha de base para um computador com AppLocker instalado:

Configuração Valor padrão

Contas criadas

Nenhum

Método de autenticação

Não aplicável

Interfaces de gerenciamento

O AppLocker pode ser gerenciado usando-se um snap-in Console de Gerenciamento Microsoft, Gerenciamento de políticas de Grupo, e o Windows PowerShell

Portas abertas

Nenhum

Privilégios mínimos necessários

O administrador no computador local, Admin do Domínio, ou qualquer conjunto de direitos que permitam criar, editar e distribuir objetos de política de grupo.

Protocolos usados

Não aplicável

Tarefas agendadas

Appidpolicyconverter.exe é colocado em uma tarefa agendada a ser executada sob demanda.

Políticas de segurança

Nenhum necessário. O AppLocker cria políticas de segurança.

Serviços do sistema necessários

O serviço Identidade do Aplicativo (aplicativoidsvc) é executado em LocalServiceAndNoImpersonation.

Armazenamento de credenciais

Nenhum

 

Nesta seção

Tópico Descrição

Administrar o AppLocker

Este tópico para profissionais de TI fornece links para procedimentos específicos a serem usados durante a administração de políticas do AppLocker.

Guia de design do AppLocker

Este tópico para o profissional de TI apresenta as etapas de design e planejamento necessárias para implantar políticas de controle de aplicativo usando-se o AppLocker.

Guia de Implantação do AppLocker

Este tópico para profissionais de TI apresenta os conceitos e descreve as etapas necessárias para implantar políticas do AppLocker.

Referência técnica do AppLocker

Este tópico de visão geral para profissionais de TI fornece links para os tópicos na referência técnica.