Testar e atualizar uma política do AppLocker

Este tópico discute as etapas necessárias para testar uma política do AppLocker antes da implantação.

Você deve testar cada conjunto de regras para garantir sua execução conforme o esperado. Se você usar a Política de Grupo para gerenciar políticas do AppLocker, conclua as etapas a seguir para cada Objeto de Política de Grupo (GPO) em que tiverem sido criadas regras do AppLocker. Como as regras do AppLocker são herdadas dos GPOs vinculados, implante todas as regras para testar simultaneamente todos os GPOs de teste.

Etapa 1: Habilitar a configuração de imposição Somente auditoria

Usando a configuração de imposição Somente auditoria, você pode garantir que as regras do AppLocker que você criou estão configuradas corretamente para sua organização. Essa configuração pode ser habilitada na guia Imposição da caixa de diálogo Propriedades do AppLocker. Para obter o procedimento para fazer isso, consulte Configurar uma política do AppLocker como Somente auditoria.

Etapa 2: Configurar o serviço Identidade de Aplicativo para iniciar automaticamente

Como o AppLocker usa o serviço Identidade de Aplicativo para verificar os atributos de um arquivo, você deve configurá-lo para iniciar automaticamente em qualquer GPO que aplique as regras do AppLocker. Para obter o procedimento para fazer isso, consulte Configurar o serviço Identidade de Aplicativo. Para as políticas do AppLocker que não são gerenciados por um GPO, você deve garantir que o serviço está em execução em cada computador para que as políticas sejam aplicadas.

Etapa 3: Testar a política

Teste a política do AppLocker para determinar se sua coleção de regras precisa ser modificada. Como você criou as regras do AppLocker, habilitou o serviço Identidade de Aplicativo e as configuração de imposição Somente auditoria, a política do AppLocker deve estar presente em todos os computadores cliente que estão configurados para receber sua política do AppLocker.

O cmdlet Test-AppLockerPolicy do Windows PowerShell pode ser usado para determinar se alguma das regras em sua coleção de regras será bloqueada nos computadores de referência. Para obter o procedimento para fazer isso, consulte Testar uma política do AppLocker usando Test-AppLockerPolicy.

Etapa 4: Analisar eventos do AppLocker

Você pode analisar manualmente os eventos do AppLocker ou usar o cmdlet Get-AppLockerFileInformation do Windows PowerShell para automatizar a análise.

Para analisar manualmente os eventos do AppLocker

Você pode exibir os eventos no Visualizador de Eventos ou em um editor de texto e classificá-los para executar uma análise, como ao procurar padrões em eventos de uso de aplicativos, frequências de acesso ou acesso por grupos de usuários. Se você não tiver configurado uma assinatura de evento, terá que examinar os logs em uma amostragem de computadores em sua organização. Para obter mais informações sobre como usar o Visualizador de Eventos, consulte Monitorar o uso de aplicativos com o AppLocker.

Para analisar os eventos do AppLocker usando Get-AppLockerFileInformation

Você pode usar o cmdlet Get-AppLockerFileInformation do Windows PowerShell para analisar os eventos do AppLocker de um computador remoto. Se um aplicativo estiver sendo bloqueado e deveria ser autorizado, você poderá usar os cmdlets do AppLocker para ajudar a solucionar o problema.

Para assinaturas de eventos e eventos locais, você pode usar o cmdlet Get-AppLockerFileInformation para determinar quais arquivos foram bloqueados ou seriam bloqueados (se você estiver usando o modo de imposição Somente auditoria) e quantas vezes o evento ocorreu para cada arquivo. Para obter o procedimento para fazer isso, consulte Monitorar o uso de aplicativos com o AppLocker.

Depois de usar Get-AppLockerFileInformation para determinar quantas vezes um arquivo teria sua execução bloqueada, revise sua lista de regras para determinar se uma nova regra deve ser criada para o arquivo bloqueado ou se uma regra existente foi definida muito estritamente. Certifique-se de que você verificou qual GPO está impedindo a execução do arquivo. Para determinar isso, você pode usar o Assistente de Resultados de Política de Grupo para exibir os nomes das regras.

Etapa 5: Modificar a política do AppLocker

Depois de ter identificado quais regras precisam ser editadas ou adicionadas à política, você pode usar o Console de Gerenciamento de políticas de Grupo para modificar as regras do AppLocker nos GPOs relevantes. Para as políticas do AppLocker que não são gerenciados por um GPO, você pode usar o snap-in Política de Segurança Local (secpol.msc). Para saber como modificar uma política do AppLocker, consulte, Editar uma política do AppLocker.

Etapa 6: Repetir teste de política, análise e modificação de política

Repita as etapas anteriores 3 – 5 até que todas as regras sejam executadas conforme o esperado antes de aplicar imposição.

Recursos adicionais

• Para obter as etapas para realizar outras tarefas da política do AppLocker, consulte Administrar o AppLocker.