Criar uma lista de aplicativos implantados para cada grupo comercial

Este tópico descreve o processo de coletar requisitos de uso de aplicativos de cada grupo comercial para implementar políticas de controle de aplicativos usando o AppLocker.

Determinando o uso de aplicativos

Para cada grupo comercial, determine o seguinte:

• A lista completa de aplicativos usados, inclusive diferentes versões de um aplicativo

• O caminho de instalação completo do aplicativo

• O editor e o status assinado de cada aplicativo

• O tipo de requisito que os grupos comerciais definem para cada aplicativo, como crítico para os negócios, de produtividade de negócios, opcional ou pessoal. Isso também pode ser útil durante esta iniciativa para identificar quais aplicativos recebem ou não suporte do seu departamento de TI, ou recebem suporte de terceiros, fora do seu controle.

• Uma lista de arquivos ou aplicativos que exigem credenciais administrativas para serem instalados ou executados. Se o arquivo exigir credenciais administrativas para ser instalado ou executado, os usuários que não conseguirem fornecer credenciais administrativas serão impedidos de executar o arquivo mesmo se o arquivo for explicitamente permitido por uma política do AppLocker. Mesmo com políticas do AppLocker impostas, somente membros do grupo Administradores podem instalar ou executar arquivos que exijam credenciais administrativas.

Como realizar a avaliação de uso de aplicativos

Embora talvez já haja um método implantado para compreender o uso de aplicativos para cada grupo comercial, você precisará usar essas informações para ajudar a criar a coleção de regras do AppLocker. O AppLocker inclui o assistente Gerar Regras Automaticamente e a configuração de imposição Audit only para ajudar você no planejamento e na criação da coleção de regras.

Métodos de inventário de aplicativos

Usar o assistente Gerar Regras Automaticamente cria regras para os aplicativos especificados por você. O assistente foi projetado especificamente para compilar uma coleção de regras. É possível usar o snap-in Política de Segurança Local para exibir e editar as regras. Esse método é muito útil durante a criação de regras em um computador de referência e na criação e na avaliação de políticas do AppLocker em um ambiente de teste. No entanto, ele requer que os arquivos estejam acessíveis no computador de referência ou por meio de uma unidade de rede. Isso pode significar trabalho adicional na configuração do computador de referência e na determinação de uma política de manutenção para esse computador.

Usar o método de imposição Audit only permite exibir os logs porque ele coleta informações sobre todos os processos nos computadores que recebem o Objeto de Política de Grupo (GPO). Por isso, é possível ver que a imposição será nos computadores em um grupo comercial. O AppLocker inclui cmdlets do Windows PowerShell que você pode usar para analisar os eventos do log de eventos e cmdlets para criar regras. No entanto, quando você usa Política de Grupo para implantar vários computadores, um meio de coletar eventos em um local central é muito importante para questões de gerenciamento. Como o AppLocker registra em log as informações sobre arquivos que usuários ou outros processos iniciam em um computador, você pode deixar de criar algumas regras inicialmente. Por isso, você deve continuar a avaliação até poder verificar se todos os aplicativos necessários com permissão para serem executados são acessados de maneira bem-sucedida.

Dica  

Caso você execute o Application Verifier em um aplicativo personalizado com todas as políticas do AppLocker habilitadas, ele pode evitar que o aplicativo seja executado. Você deve desabilitar o Application Verifier ou o AppLocker.

É possível criar um inventário de aplicativos Universais do Windows em um dispositivo usando dois métodos: o cmdlet Get-AppxPackage do Windows PowerShell ou o console do AppLocker.

Os tópicos a seguir no Guia passo a passo do AppLocker descrevem como realizar cada método:

• Gerando automaticamente regras executáveis em um computador de referência

• Usando auditoria para acompanhar quais aplicativos são usados

Pré-requisitos para concluir o inventário

Identifique o grupo comercial e todas as unidades organizacionais (UOs) dentro desse grupo ao qual você aplicará políticas de controle de aplicativos. Além disso, você deve ter identificado se o AppLocker é ou não a solução mais adequada para essas políticas. Para saber mais sobre essas etapas, consulte os seguintes tópicos:

• Entender as decisões de design de política do AppLocker

• Determinar seus objetivos de controle do aplicativo

Próximas etapas

Identifique e desenvolva a lista de aplicativos. Registre o nome do aplicativo, se ele está assinado ou não conforme indicado pelo nome do fornecedor e se é ou não um aplicativo crítico, de produtividade comercial, opcional ou pessoal. Registre o caminho de instalação dos aplicativos. Para saber mais sobre como fazer isso, consulte Documentar a lista de aplicativos.

Depois que você tiver criado a lista de aplicativos, a próxima etapa será identificar as coleções de regras, que se tornarão as políticas. Essas informações podem ser adicionadas à tabela em colunas identificadas:

• Usar regra padrão ou definir nova condição de regra

• Permitir ou negar

• Nome do GPO

Para fazer isso, consulte os seguintes tópicos:

• Selecionar os tipos de regras que serão criados

• Determinar a estrutura da Política de Grupo e a imposição de regras