Determinar seus objetivos de controle do aplicativo
Este tópico ajuda você nas decisões que precisa tomar para determinar quais aplicativos controlar e como controlá-los, comparando Políticas de Restrição de Software (SRP) e o AppLocker.
O AppLocker é muito eficaz para organizações com requisitos de restrição de aplicativos cujos ambientes tenham uma topografia simples e metas simples de política de controle de aplicativos. Por exemplo, o AppLocker pode beneficiar um ambiente onde não funcionários tenham acesso aos computadores conectados à rede organizacional, como uma escola ou biblioteca. Grandes organizações também se beneficiam da implantação da política do AppLocker quando a meta é atingir um nível detalhado de controle nos computadores que gerenciam para um número relativamente pequeno de aplicativos.
Existem custos de gerenciamento e manutenção associados a uma lista de aplicativos permitidos. Além disso, a finalidade das políticas de controle de aplicativos é permitir ou evitar que funcionários usem aplicativos que possam ser ferramentas de produtividade. Manter os funcionários ou usuários produtivos durante a implementação das políticas pode custar tempo e esforço. Por fim, criar processos de suporte ao usuário e de suporte à rede para manter a organização produtiva também é uma preocupação.
Use a tabela a seguir para desenvolver os próprios objetivos e determinar qual recurso de controle de aplicativo atende melhor a esses objetivos.
Função de controle do aplicativo | SRP | AppLocker |
---|---|---|
Escopo |
As políticas SRP podem ser aplicadas a todos os sistemas operacionais Windows a partir do Windows XP e do Windows Server 2003. |
As políticas do AppLocker se aplicam apenas a versões de suporte do Windows listadas em Requisitos para usar o AppLocker. |
Criação de política |
As políticas SRP são mantidas por meio da política de grupo e apenas o administrador do GPO pode atualizar a política SRP. O administrador no computador local pode modificar as políticas SRP definidas no GPO local. |
As políticas do AppLocker são mantidas por meio da Política de Grupo e apenas o administrador do GPO pode atualizar a política. O administrador no computador local pode modificar as políticas do AppLocker definidas no GPO local. O AppLocker permite a personalização das mensagens de erro para direcionar usuários para uma página da Web para obter ajuda. |
Manutenção de políticas |
As políticas SRP devem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente) ou do GPMC (Console de Gerenciamento de Política de Grupo). |
As políticas do AppLocker podem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente), do GPMC ou dos cmdlets do Windows PowerShell do AppLocker. |
Aplicação de políticas |
As políticas SRP são distribuídas por meio da política de grupo. |
As políticas do AppLocker são distribuídas por meio da política de grupo. |
Modo de imposição |
A SRP funciona no "modo de lista de negação", onde os administradores podem criar regras para arquivos que não desejam permitir nesta empresa, enquanto o restante dos arquivos pode ser executado por padrão. A SRP também pode ser configurada no "modo de lista de permissão", de forma que por padrão todos os arquivos sejam bloqueados e os administradores precisem criar regras para os arquivos que desejam permitir. |
O AppLocker por padrão funciona no "modo de lista de permissão", no qual somente os arquivos que possuem uma regra de permissão correspondente têm permissão para serem executados. |
Tipos de arquivo que podem ser controlados |
A SRP pode controlar os seguintes tipos de arquivo:
A SRP não pode controlar cada tipo de arquivo separadamente. Todas as regras SRP estão em uma coleção de regras única. |
O AppLocker pode controlar os seguintes tipos de arquivo:
O AppLocker mantém uma coleção de regras separada para cada um dos cinco tipos de arquivo. |
Tipos de arquivo designados |
A SRP dá suporte a uma lista extensa de tipos de arquivos que são considerados executáveis. Você pode adicionar extensões de arquivos considerados executáveis. |
O AppLocker não dá suporte a isso. O AppLocker atualmente aceita as seguintes extensões de arquivo:
|
Tipos de regra |
A SRP aceita quatro tipos de regras:
|
O AppLocker aceita três tipos de regras:
|
Editando o valor de hash |
A SRP permite que você selecione um arquivo para hash. |
O AppLocker calcula o valor de hash em si. Internamente, ele usa o hash SHA2 Authenticode para executáveis portáteis (Exe e Dll), Windows Installers e um hash de arquivo simples SHA2 para o restante. |
Suporte para diferentes níveis de segurança |
Com a SRP, você pode especificar as permissões com as quais um aplicativo pode ser executado. Assim, você pode configurar uma regra para que o Bloco de Notas sempre seja executado com permissões restritas e nunca com privilégios administrativos. A SRP no Windows Vista e em versões anteriores dava suporte a vários níveis de segurança. No Windows 7, essa lista era restrita a apenas dois níveis: Não Permitido e Irrestrito (Usuário Básico se converte em Não Permitido). |
O AppLocker não oferece suporte a níveis de segurança. |
Gerencie aplicativos empacotados e instaladores de aplicativos empacotados. |
Não é possível |
.appx é um tipo de arquivo válido que o AppLocker pode gerenciar. |
Direcionando uma regra para um usuário ou um grupo de usuários |
As regras SRP se aplicam a todos os usuários em um computador específico. |
As regras do AppLocker podem ser direcionadas para um usuário ou um grupo de usuários específico. |
Suporte às exceções de regra |
A SRP não dá suporte às exceções de regra |
As regras do AppLocker podem ter exceções que permitem que os administradores criem regras como "Permitir tudo do Windows, exceto Regedit.exe". |
Suporte ao modo de auditoria |
A SRP não oferece suporte ao modo de auditoria. A única maneira de testar as políticas SRP é configurar um ambiente de teste e executar algumas experiências. |
O AppLocker dá suporte ao modo de auditoria que permite que os administradores testem o efeito de sua política no ambiente de produção real sem afetar a experiência do usuário. Quando estiver satisfeito com os resultados, você pode começar a impor a política. |
Suporte para exportar e importar políticas |
A SRP não oferece suporte à importação/exportação de política. |
O AppLocker dá suporte à importação e exportação de políticas. Isso permite que você crie a política do AppLocker em um computador de exemplo, teste-a e, em seguida, exporte essa política e importe-a novamente para o GPO desejado. |
Imposição de política |
Internamente, a imposição de regras SRP acontece no modo de usuário, que é menos seguro. |
Internamente, as regras do AppLocker para exes e dlls são impostas no modo de kernel, que é mais seguro que a imposição delas no modo de usuário. |
Para obter mais informações gerais, consulte AppLocker.