Gerenciar aplicativos empacotados com o AppLocker
Este tópico para profissionais de TI descreve conceitos e lista procedimentos para ajudar você a gerenciar aplicativos empacotados com o AppLocker como parte da estratégia de controle de aplicativo geral.
Noções básicas sobre aplicativos empacotados instaladores de aplicativos empacotados para AppLocker
Aplicativos empacotados, também conhecidos como aplicativos universais do Windows, se baseiam em um modelo que garante que todos os arquivos dentro de um pacote do aplicativo compartilham a mesma identidade. Com aplicativos Clássicos do Windows, cada arquivo dentro do aplicativo pode ter uma identidade exclusiva. Com aplicativos empacotados, é possível controlar todo o aplicativo usando uma única regra do AppLocker.
Observação
O AppLocker só dá suporte a regras de editor para aplicativos empacotados. Todos os aplicativos empacotados devem ser assinados pelo fornecedor de software porque o Windows não dá suporte a aplicativos empacotados não assinados.
Normalmente, um aplicativo consiste em vários componentes: o instalador usado para instalar o aplicativo e um ou mais exes, dlls ou scripts. Com aplicativos Clássicos do Windows, nem todos esses componentes sempre compartilham atributos comuns, como nome do fornecedor do software, nome do produto e versão do produto. Por isso, o AppLocker controla cada um desses componentes separadamente por meio de coleções de regras diferentes, como exe, dll, script e as regras do Windows Installer. Por outro lado, todos os componentes de um aplicativo empacotado compartilham os mesmos nome do editor, nome do pacote e atributos da versão do pacote. Assim, é possível controlar um aplicativo inteiro com uma única regra.
Comparação de aplicativos Clássicos do Windows e aplicativos empacotados
As políticas do AppLocker para aplicativos empacotados só podem ser aplicadas a aplicativos instalados em computadores nos quais esteja em execução pelo menos Windows Server 2012 ou Windows 8, mas aplicativos Clássicos do Windows podem ser controlados em dispositivos nos quais esteja em execução pelo menos Windows Server 2008 R2 ou Windows 7. As regras para aplicativos Clássicos do Windows e aplicativos empacotados podem ser impostas juntas. Entre as diferenças entre aplicativos empacotados e aplicativos Clássicos do Windows que você deve levar em consideração estão:
Instalação dos aplicativos Todos os aplicativos empacotados podem ser instalados por um usuário padrão, e vários aplicativos Clássicos do Windows exigem privilégios administrativos para serem instalados. Em um ambiente em que a maioria dos usuários é de usuários padrão, convém não ter diversas regras de exe (porque aplicativos Clássicos do Windows exigem privilégios administrativos para serem instalados), mas você pode ter políticas mais explícitas para aplicativos empacotados.
Alteração do estado do sistema Os aplicativos Clássicos do Windows podem ser escritos para alterar o estado do sistema caso sejam executados com privilégios administrativos. A maioria dos aplicativos empacotados não pode alterar o estado do sistema porque eles são executados com privilégios limitados. Ao projetar suas políticas do AppLocker, é importante entender se um aplicativo que você está permitindo pode fazer alterações em todo o sistema.
Aquisição de aplicativos Pacotes de aplicativos podem ser adquiridos por meio da Loja ou do carregamento usando-se cmdlets do Windows PowerShell (o que requer uma licença corporativa especial). Os aplicativos Clássicos do Windows podem ser adquiridos por meios tradicionais.
O AppLocker usa coleções de regras diferentes para controlar aplicativos empacotados e aplicativos Clássicos do Windows. Você tem a opção de controlar um tipo, o outro tipo ou ambos.
Para obter informações sobre como controlar aplicativos Clássicos do Windows, consulte Administrar o AppLocker.
Para obter mais informações sobre aplicativos empacotados, consulte Aplicativos empacotados e regras de instalador de aplicativos empacotados no AppLocker.
Decisões de design e implantação
É possível usar dois métodos para criar um inventário de aplicativos empacotados em um computador: o console AppLocker ou o cmdlet Get-AppxPackage do Windows PowerShell.
Observação
Nem todos os aplicativos empacotados estão listados no assistente de inventário de aplicativos do AppLocker. Determinados pacotes de aplicativos são pacotes de estrutura aproveitados por outros aplicativos. Sozinhos, esses pacotes não podem fazer nada, mas bloquear esses pacotes pode inadvertidamente causar uma falha em aplicativos que você deseja permitir. Em vez disso, é possível criar regras Permitir ou Negar para os aplicativos empacotados que usam esses pacotes de estrutura. A interface do usuário do AppLocker filtra deliberadamente todos os pacotes registrados como pacotes de estrutura. Para obter mais informações sobre como criar uma lista de inventário, consulte Criar lista de aplicativos implantados para cada grupo comercial.
Para obter informações sobre como usar o cmdlet Get-AppxPackage do Windows PowerShell, consulte a Referência aos comandos do PowerShell do AppLocker.
Para obter informações sobre como criar regras para aplicativos empacotados, consulte Criar uma regra para aplicativos empacotados.
Leve em consideração as seguintes informações quando você estiver projetando e implantando aplicativos:
Como o AppLocker dá suporte apenas a regras de editor para aplicativos empacotados, coletar as informações do caminho de instalação para aplicativos empacotados não é necessário.
Não é possível criar regras baseadas em hash ou caminho para aplicativos empacotados porque todos os aplicativos empacotados e os instaladores de aplicativos empacotados são assinados pelo fornecedor do software do pacote. Os aplicativos Clássicos do Windows nem sempre foram assinados de maneira consistente; por isso, o AppLocker precisa dar suporte a regras baseadas em hash ou caminho.
Por padrão, caso não haja regras em uma determinada coleção de regras específica, o AppLocker permite todos os arquivos incluídos nessa coleção de regras. Por exemplo, caso haja regras do Windows Installer, o AppLocker permite que todos os arquivos .msi, .msp e .mst sejam executados. Uma política do AppLocker existente que foi direcionada para computadores nos quais o Windows Server 2008 R2 e o Windows 7 estejam em execução não teria regras para aplicativos empacotados. Por isso, quando um computador com pelo menos Windows Server 2012 ou Windows 8 ingressasse em um domínio no qual uma política do AppLocker já esteja configurada, os usuários teriam permissão para executar qualquer aplicativo empacotado. Isso pode ser contrário ao projeto.
Para impedir que todos os aplicativos empacotados sejam executados em um computador recém-adicionado ao domínio, por padrão, o AppLocker bloqueia todos os aplicativos empacotados em um computador no qual pelo menos Windows Server 2012 ou Windows 8 esteja em execução caso a política de domínio existente tenha regras configuradas na coleção de regras exe. Você deve executar uma ação explícita para permitir aplicativos empacotados na empresa. Só é possível permitir um conjunto selecionado de aplicativos empacotados. Ou, caso queira permitir todos os aplicativos empacotados, você pode criar uma regra padrão para a coleção de aplicativos empacotados.
Como usar o AppLocker para gerenciar aplicativos empacotados
Assim como há diferenças no gerenciamento de cada coleção de regras, você precisa gerenciar os aplicativos empacotados com a seguinte estratégia:
Colete informações sobre quais aplicativos empacotados estão em execução no ambiente. Para obter informações sobre como fazer isso, consulte Criar lista de aplicativos implantados para cada grupo comercial.
Crie regras do AppLocker para aplicativos empacotados específicos com base nas estratégias de política. Para obter mais informações, consulte Criar uma regra para aplicativos empacotados e Regras padrão de aplicativos empacotados no AppLocker.
Continue atualizando as políticas do AppLocker à medida que novos aplicativos empacotados forem introduzidos ao ambiente. Para isso, consulte Adicionar regras para aplicativos empacotados ao conjunto de regras do AppLocker existente.
Continue monitorando o ambiente para verificar a eficiência das regras implantadas em políticas do AppLocker. Para isso, consulte Monitorar o uso do aplicativo com AppLocker.