Manter as políticas do AppLocker

Este tópico descreve como manter regras dentro de políticas do AppLocker.

Entre os cenários de manutenção do AppLocker comuns estão:

• Um novo aplicativo é implantado e você precisar atualizar uma política do AppLocker.

• Uma nova versão de um aplicativo é implantada e você precisa atualizar uma política do AppLocker ou criar uma nova regra para atualizar a política.

• Um aplicativo não é mais compatível com a organização, de maneira que você precisa evitar que ele seja usado.

• Um aplicativo aparenta estar bloqueado, mas deve ser permitido.

• Um aplicativo aparenta estar permitido, mas deve ser bloqueado.

• Um único usuário ou um pequeno subconjunto de usuários precisa usar um aplicativo específico que está bloqueado.

Existem dois métodos que você pode usar para manter políticas do AppLocker:

• Manutenção de políticas do AppLocker usando-se Política de Grupo

• Manutenção de políticas do AppLocker no computador local

À medida que novos aplicativos são implantados ou aplicativos existentes são removidos pela organização ou atualizados pelo fornecedor de software, talvez seja necessário fazer revisões nas regras e atualizar o Objeto de Política de Grupo (GPO) para garantir que a política seja atual.

Você pode editar uma política do AppLocker adicionando, alterando ou removendo regras. No entanto, você não pode especificar uma versão para a política do AppLocker importando regras adicionais. Para garantir o controle da versão quando modificar uma política do AppLocker, use o software de gerenciamento de Política de Grupo que permite que você crie versões de GPOs.

Cuidado  

Você não deve editar uma coleção de regras do AppLocker enquanto ela estiver sendo aplicada à Política de Grupo. Como o AppLocker controla quais arquivos têm permissão para serem executados, fazer alterações em uma política dinâmica pode criar um comportamento inesperado.

Manutenção de políticas do AppLocker usando-se Política de Grupo

Para cada cenário, as etapas para manter uma política do AppLocker distribuída por Política de Grupo incluem as tarefas a seguir.

Etapa 1: Compreender o comportamento atual da política

Antes de modificar uma política, avalie como a política está implementada no momento. Por exemplo, caso uma nova versão do aplicativo seja implantada, você pode usar Test-AppLockerPolicy para verificar a eficiência da política atual para esse aplicativo.

Etapa 2: Exportar a política do AppLocker do GPO

Atualizar uma política do AppLocker atualmente imposta no ambiente de produção pode ter resultados inesperados. Portanto, exporte a política do GPO e atualize a regra ou as regras usando o AppLocker na referência ao AppLocker ou teste o computador. Para preparar uma política do AppLocker para modificação, consulte Exportar uma política AppLocker de um GPO

Etapa 3: Atualizar a política do AppLocker editando a regra do AppLocker apropriada

Depois que a política do AppLocker tiver sido exportada do GPO para a referência do AppLocker o computador de teste, ou tiver sido acessada no computador local, as regras específicas poderão ser modificadas conforme necessário.

Para modificar as regras do AppLocker, consulte o seguinte:

• Editar regras do AppLocker

• Mesclar políticas AppLocker usando Set-ApplockerPolicy ou Mesclar políticas AppLocker manualmente

• Excluir uma regra do AppLocker

• Impor regras do AppLocker

Etapa 4: Testar a política do AppLocker

Você deve testar cada coleção de regras para garantir sua execução conforme o esperado. (Como as regras do AppLocker são herdadas dos GPOs vinculados, implante todas as regras para testar simultaneamente todos os GPOs de teste.) Para obter etapas para realizar esse teste, consulte Testar e atualizar uma política AppLocker.

Etapa 5: Importar a política do AppLocker para o GPO

Depois de testar, reimporte a política do AppLocker para o GPO para implementação. Para atualizar o GPO com uma política do AppLocker modificada, consulte Importar uma política AppLocker para um GPO.

Etapa 6: Monitorar o comportamento da política resultante

Depois de implantar uma política, avalie a eficiência da política.

Manutenção das políticas do AppLocker usando-se o snap-in Política de Segurança Local

Para cada cenário, as etapas para manter uma política do AppLocker usando o Editor de Política de Grupo Local ou o snap-in Política de Segurança Local incluem as tarefas a seguir.

Etapa 1: Compreender o comportamento atual da política

Antes de modificar uma política, avalie como a política está implementada no momento.

Etapa 2: Atualizar a política do AppLocker modificando a regra do AppLocker apropriada

As regras são agrupadas em uma coleção, que pode ter a configuração de imposição de política aplicada a ela. Por padrão, as regras do AppLocker não permitem que os usuários abram ou executem todos os arquivos que não são permitidos especificamente.

Para modificar as regras do AppLocker, consulte o tópico apropriado listado em Administrar o AppLocker.

Etapa 3: Testar a política do AppLocker

Você deve testar cada coleção de regras para garantir sua execução conforme o esperado. Para obter etapas para realizar esse teste, consulte Testar e atualizar uma política AppLocker.

Etapa 4: Implantar a política com a regra modificada

Você pode exportar e importar políticas do AppLocker para implantar a política em outros computadores nos quais o Windows 8 ou posterior esteja em execução. Para executar essa tarefa, consulte Exportar uma política AppLocker para um arquivo XML e Importar uma política do AppLocker de outro computador.

Etapa 5: Monitorar o comportamento da política resultante

Depois de implantar uma política, avalie a eficiência da política.

Recursos adicionais

• Para obter as etapas para realizar outras tarefas da política do AppLocker, consulte Administrar o AppLocker.