Compartilhar via

Determinar seus objetivos de controle do aplicativo

  • Artigo

Este tópico ajuda você nas decisões que precisa tomar para determinar quais aplicativos controlar e como controlá-los, comparando Políticas de Restrição de Software (SRP) e o AppLocker.

O AppLocker é muito eficaz para organizações com requisitos de restrição de aplicativos cujos ambientes tenham uma topografia simples e metas simples de política de controle de aplicativos. Por exemplo, o AppLocker pode beneficiar um ambiente onde não funcionários tenham acesso aos computadores conectados à rede organizacional, como uma escola ou biblioteca. Grandes organizações também se beneficiam da implantação da política do AppLocker quando a meta é atingir um nível detalhado de controle nos computadores que gerenciam para um número relativamente pequeno de aplicativos.

Existem custos de gerenciamento e manutenção associados a uma lista de aplicativos permitidos. Além disso, a finalidade das políticas de controle de aplicativos é permitir ou evitar que funcionários usem aplicativos que possam ser ferramentas de produtividade. Manter os funcionários ou usuários produtivos durante a implementação das políticas pode custar tempo e esforço. Por fim, criar processos de suporte ao usuário e de suporte à rede para manter a organização produtiva também é uma preocupação.

Use a tabela a seguir para desenvolver os próprios objetivos e determinar qual recurso de controle de aplicativo atende melhor a esses objetivos.

Função de controle do aplicativo SRP AppLocker

Escopo

As políticas SRP podem ser aplicadas a todos os sistemas operacionais Windows a partir do Windows XP e do Windows Server 2003.

As políticas do AppLocker se aplicam apenas a versões de suporte do Windows listadas em Requisitos para usar o AppLocker.

Criação de política

As políticas SRP são mantidas por meio da política de grupo e apenas o administrador do GPO pode atualizar a política SRP. O administrador no computador local pode modificar as políticas SRP definidas no GPO local.

As políticas do AppLocker são mantidas por meio da Política de Grupo e apenas o administrador do GPO pode atualizar a política. O administrador no computador local pode modificar as políticas do AppLocker definidas no GPO local.

O AppLocker permite a personalização das mensagens de erro para direcionar usuários para uma página da Web para obter ajuda.

Manutenção de políticas

As políticas SRP devem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente) ou do GPMC (Console de Gerenciamento de Política de Grupo).

As políticas do AppLocker podem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente), do GPMC ou dos cmdlets do Windows PowerShell do AppLocker.

Aplicação de políticas

As políticas SRP são distribuídas por meio da política de grupo.

As políticas do AppLocker são distribuídas por meio da política de grupo.

Modo de imposição

A SRP funciona no "modo de lista de negação", onde os administradores podem criar regras para arquivos que não desejam permitir nesta empresa, enquanto o restante dos arquivos pode ser executado por padrão.

A SRP também pode ser configurada no "modo de lista de permissão", de forma que por padrão todos os arquivos sejam bloqueados e os administradores precisem criar regras para os arquivos que desejam permitir.

O AppLocker por padrão funciona no "modo de lista de permissão", no qual somente os arquivos que possuem uma regra de permissão correspondente têm permissão para serem executados.

Tipos de arquivo que podem ser controlados

A SRP pode controlar os seguintes tipos de arquivo:

  • Executáveis

  • Dlls

  • Scripts

  • Windows Installers

A SRP não pode controlar cada tipo de arquivo separadamente. Todas as regras SRP estão em uma coleção de regras única.

O AppLocker pode controlar os seguintes tipos de arquivo:

  • Executáveis

  • Dlls

  • Scripts

  • Windows Installers

  • Instaladores e aplicativos empacotados

O AppLocker mantém uma coleção de regras separada para cada um dos cinco tipos de arquivo.

Tipos de arquivo designados

A SRP dá suporte a uma lista extensa de tipos de arquivos que são considerados executáveis. Você pode adicionar extensões de arquivos considerados executáveis.

O AppLocker não dá suporte a isso. O AppLocker atualmente aceita as seguintes extensões de arquivo:

  • Executáveis (.exe, .com)

  • Dlls (.ocx, .dll)

  • Scripts (.vbs, .js, .ps1, .cmd, .bat)

  • Windows Installers (.msi, .mst, .msp)

  • Instaladores de aplicativos empacotados (.appX)

Tipos de regra

A SRP aceita quatro tipos de regras:

  • Hash

  • Caminho

  • Assinatura

  • Zona da Internet

O AppLocker aceita três tipos de regras:

  • Hash

  • Caminho

  • Fornecedor

Editando o valor de hash

A SRP permite que você selecione um arquivo para hash.

O AppLocker calcula o valor de hash em si. Internamente, ele usa o hash SHA2 Authenticode para executáveis portáteis (Exe e Dll), Windows Installers e um hash de arquivo simples SHA2 para o restante.

Suporte para diferentes níveis de segurança

Com a SRP, você pode especificar as permissões com as quais um aplicativo pode ser executado. Assim, você pode configurar uma regra para que o Bloco de Notas sempre seja executado com permissões restritas e nunca com privilégios administrativos.

A SRP no Windows Vista e em versões anteriores dava suporte a vários níveis de segurança. No Windows 7, essa lista era restrita a apenas dois níveis: Não Permitido e Irrestrito (Usuário Básico se converte em Não Permitido).

O AppLocker não oferece suporte a níveis de segurança.

Gerencie aplicativos empacotados e instaladores de aplicativos empacotados.

Não é possível

.appx é um tipo de arquivo válido que o AppLocker pode gerenciar.

Direcionando uma regra para um usuário ou um grupo de usuários

As regras SRP se aplicam a todos os usuários em um computador específico.

As regras do AppLocker podem ser direcionadas para um usuário ou um grupo de usuários específico.

Suporte às exceções de regra

A SRP não dá suporte às exceções de regra

As regras do AppLocker podem ter exceções que permitem que os administradores criem regras como "Permitir tudo do Windows, exceto Regedit.exe".

Suporte ao modo de auditoria

A SRP não oferece suporte ao modo de auditoria. A única maneira de testar as políticas SRP é configurar um ambiente de teste e executar algumas experiências.

O AppLocker dá suporte ao modo de auditoria que permite que os administradores testem o efeito de sua política no ambiente de produção real sem afetar a experiência do usuário. Quando estiver satisfeito com os resultados, você pode começar a impor a política.

Suporte para exportar e importar políticas

A SRP não oferece suporte à importação/exportação de política.

O AppLocker dá suporte à importação e exportação de políticas. Isso permite que você crie a política do AppLocker em um computador de exemplo, teste-a e, em seguida, exporte essa política e importe-a novamente para o GPO desejado.

Imposição de política

Internamente, a imposição de regras SRP acontece no modo de usuário, que é menos seguro.

Internamente, as regras do AppLocker para exes e dlls são impostas no modo de kernel, que é mais seguro que a imposição delas no modo de usuário.

 

Para obter mais informações gerais, consulte AppLocker.