Entender as decisões de design de política do AppLocker
Este tópico para o profissional de TI lista as perguntas, possíveis respostas e implicações das decisões sobre design ao planejar uma implantação das políticas de controle de aplicativo usando o AppLocker em um ambiente do sistema operacional Windows.
Ao iniciar o processo de planejamento e design, você deve considerar as implicações de suas escolhas de design. As decisões resultantes afetarão o esquema de implantação das políticas e a manutenção de políticas de controle de aplicativo subsequente.
Você deverá considerar usar o AppLocker como parte das políticas de controle de aplicativo da sua organização se todas as seguintes condições forem verdadeiras:
Você implantou ou planeja implantar as versões compatíveis do Windows em sua organização. Para obter os requisitos de versão específicos do sistema operacional, consulte Requisitos para usar o AppLocker.
Você precisa de maior controle sobre o acesso aos aplicativos da sua organização e aos dados que os usuários acessam.
O número de aplicativos em sua organização é conhecido e gerenciável.
Você tem recursos para testar as políticas em relação aos requisitos da organização.
Você tem recursos para envolver o Suporte Técnico ou para criar um processo de autoajuda para os problemas de acesso com o aplicativo do usuário final.
Os requisitos do grupo para segurança, gerenciamento e produtividade podem ser controlados por políticas restritivas.
As seguintes perguntas não estão em ordem de prioridade nem sequencial. Elas devem ser consideradas quando você implanta políticas de controle de aplicativo (conforme apropriado para seu ambiente de destino).
Quais aplicativos você precisa controlar na organização?
Talvez seja necessário controlar um número limitado de aplicativos com acesso a dados confidenciais ou excluir todos os aplicativos, exceto aqueles que são aprovados para fins comerciais. Pode haver certos grupos de negócios que exijam controle rigoroso e outros que promovam o uso de aplicativos independentes.
| Respostas possíveis | Considerações de design |
|---|---|
Controlar todos os aplicativos |
As políticas do AppLocker controlam aplicativos através da criação de uma lista de aplicativos permitidos por tipo de arquivo. Exceções também são possíveis. As políticas do AppLocker só podem ser aplicadas a aplicativos instalados em computadores que executam uma das versões compatíveis do Windows. Para obter os requisitos de versão específicos do sistema operacional, consulte Requisitos para usar o AppLocker. |
Controlar aplicativos específicos |
Ao criar regras do AppLocker, uma lista de aplicativos permitidos é criada. Todos os aplicativos nessa lista poderão ser executados (exceto aqueles na lista de exceções). Os aplicativos que não estiverem na lista serão impedidos de serem executados. As políticas do AppLocker só podem ser aplicadas a aplicativos instalados em computadores executando quaisquer das versões compatíveis do Windows. Para obter os requisitos de versão específicos do sistema operacional, consulte Requisitos para usar o AppLocker. |
Controlar apenas aplicativos Clássico do Windows, apenas aplicativos Universais do Windows, ou ambos |
As políticas do AppLocker controlam aplicativos através da criação de uma lista de aplicativos permitidos por tipo de arquivo. Como os aplicativos Universais do Windows são categorizados pela condição do fornecedor, os aplicativos Clássicos do Windows e os aplicativos Universais do Windows podem ser controlados juntos. As políticas do AppLocker para aplicativos Universais do Windows só podem ser aplicadas aos aplicativos instalados em computadores com suporte a Windows Store, mas os aplicativos Clássicos do Windows podem ser controlados com o AppLocker em todas as versões compatíveis do Windows. As regras já configuradas para os aplicativos Clássicos do Windows permanecem, e você pode criar novos aplicativos Universais do Windows. Para obter uma comparação dos aplicativos Clássicos do Windows com os aplicativos Universais do Windows, consulte Comparando aplicativos Clássicos do Windows com aplicativos Universais do Windows para decisões de design da política do AppLocker neste tópico. |
Controlar aplicativos por grupo de negócios e usuário |
As políticas do AppLocker podem ser aplicadas por meio de um Objeto de Política de Grupo (GPO) para objetos de computador dentro de uma unidade organizacional (UO). As regras individuais do AppLocker podem ser aplicadas a usuários individuais ou grupos de usuários. |
Controlar aplicativos por computador, não por usuário |
A implementação da política do AppLocker é baseada no computador. Se a estrutura organizacional do seu site ou domínio não for baseada em uma estrutura de usuário lógica, como uma unidade organizacional, convém configurar a estrutura antes de começar o planejamento do AppLocker. Caso contrário, você terá que identificar os usuários, computadores e requisitos de acesso do aplicativo. |
Entender o uso dos aplicativos, mas ainda sem a necessidade de controlá-los |
As políticas do AppLocker podem ser definidas para auditar o uso dos aplicativos para ajudá-lo a controlar quais aplicativos são usados em sua organização. Em seguida, você poderá usar o log de eventos do AppLocker para criar as políticas do AppLocker. |
Importante
A lista a seguir contém os arquivos ou tipos de arquivos que não podem ser gerenciados pelo AppLocker:
O AppLocker não protege contra a execução de binários de 16 bits no DOS em uma máquina DOS virtual NT (NTVDM). Essa tecnologia permite a execução de programas DOS herdados e Windows de 16 bits em computadores usando o Intel 80386 ou superior quando já houver outro sistema operacional executando e controlando o hardware. O resultado é que os binários de 16 bits ainda podem ser executados no Windows Server 2008 R2 e Windows 7 com o AppLocker configurado para bloquear binários e bibliotecas. Se houver um requisito para impedir a execução de aplicativos de 16 bits, você deverá configurar a regra de negação na coleção de regras executáveis para o NTVDM.exe.
Você não pode usar o AppLocker para impedir a execução de códigos fora do subsistema Win32. Em particular, isso se aplica para o subsistema (POSIX) no Windows NT. Se houver um requisito para impedir que aplicativos funcionem no subsistema POSIX, você deverá desabilitar o subsistema.
O AppLocker só pode controlar arquivos VBScript, JScript, .bat, .cmd e scripts do Windows PowerShell. Ele não controla todos os códigos interpretados que são executados em um processo de host, por exemplo, macros e scripts Perl. O código interpretado é uma forma de código executável que é executado em um processo de host. Por exemplo, os arquivos em lote do Windows (*. bat) são executados no contexto do host de comando do Windows (cmd.exe). Para usar o AppLocker no controle de código interpretado, o processo de host deve chamar o AppLocker antes de executar o código interpretado e, em seguida, impor a decisão retornada pelo AppLocker. Nem todos os processos de host chamam o AppLocker. Portanto, o AppLocker não pode controlar todo tipo de código interpretado, por exemplo, macros do Microsoft Office.
Importante
Você deverá definir as configurações de segurança adequadas desses processos de host, se sua execução for necessária. Por exemplo, defina as configurações de segurança do Microsoft Office para garantir que apenas as macros assinadas e confiáveis sejam carregadas.
As regras do AppLocker permitem ou impedem que um aplicativo seja iniciado. O AppLocker não controla o comportamento dos aplicativos depois que são iniciados. Os aplicativos podem conter sinalizadores que são transmitidos a funções que avisam ao AppLocker para burlar as regras e permitir que outro arquivo .exe ou. dll seja carregado. Na prática, um aplicativo que é permitido pelo AppLocker poderia usar esses sinalizadores para ignorar as regras do AppLocker e iniciar processos filhos. Você deve seguir o processo que melhor atenda a suas necessidades para verificar por completo cada aplicativo antes de permitir que seja executado usando as regras do AppLocker.
Para obter mais informações, consulte Considerações de segurança para o AppLocker.
Comparando aplicativos Clássicos do Windows com aplicativos Universais do Windows para decisões de design da política do AppLocker
As políticas do AppLocker para aplicativos Universais do Windows só podem ser aplicadas a aplicativos instalados em computadores executando sistemas operacionais Windows com suporte a aplicativos da Windows Store. No entanto, os aplicativos Clássicos do Windows podem ser controlados no Windows Server 2008 R2 e Windows 7, além desses computadores com suporte a aplicativos Universais do Windows. As regras para aplicativos Clássicos do Windows e aplicativos Universais do Windows podem ser aplicadas em conjunto. As diferenças que você deve considerar para os aplicativos Universais do Windows são:
Todos os aplicativos Universais do Windows podem ser instalados por um usuário padrão, enquanto inúmeros aplicativos Clássicos do Windows exigem credenciais administrativas para instalação. Portanto, em um ambiente em que a maioria dos usuários é padrão, talvez você não precise de várias regras executáveis, mas de políticas mais explícitas para aplicativos empacotados.
Os aplicativos Clássicos do Windows podem ser escritos para alterar o estado do sistema, se forem executados com credenciais administrativas. A maioria dos aplicativos Universais do Windows não pode alterar o estado do sistema por serem aplicativos executados com permissões limitadas. Ao projetar suas políticas do AppLocker, é importante entender se um aplicativo que você está permitindo pode fazer alterações em todo o sistema.
Os aplicativos Universais do Windows podem ser adquiridos pela Loja ou podem ser carregados por sideload usando os cmdlets do Windows PowerShell. Se você usar os cmdlets do Windows PowerShell, será necessário uma licença Enterprise especial para adquirir os aplicativos Universais do Windows. Os aplicativos Clássicos do Windows podem ser adquiridos pelos meios tradicionais, como fornecedores de software ou no varejo.
O AppLocker controla os aplicativos Universais do Windows e os aplicativos Clássicos do Windows usando coleções de regras diferentes. Você tem a opção de controlar aplicativos Universais do Windows, aplicativos Clássicos do Windows ou ambos.
Para obter mais informações, consulte Aplicativos empacotados e regras de instalador de aplicativos empacotados no AppLocker.
Como você controla atualmente o uso de aplicativos em sua organização?
A maioria das organizações desenvolveu métodos e políticas de controle de aplicativos ao longo do tempo. Com questões de segurança avançada e ênfase no maior controle da TI sobre uso da área de trabalho, sua organização pode decidir consolidar práticas de controle de aplicativos ou criar um esquema de controle de aplicativos abrangente. O AppLocker inclui melhorias para as políticas SRP na arquitetura e no gerenciamento de políticas de controle de aplicativos.
| Respostas possíveis | Considerações de design |
|---|---|
Políticas de segurança (definidas localmente ou pela Política de Grupo) |
O uso do AppLocker exige maior esforço no planejamento para criar políticas corretas, mas isso resulta em um método mais simples de distribuição. |
Software de controle de aplicativos não Microsoft |
O uso do AppLocker exige uma avaliação e implementação completas das políticas de controle de aplicativos. |
Uso gerenciado por grupo ou unidade organizacional |
O uso do AppLocker exige uma avaliação e implementação completas das políticas de controle de aplicativos. |
Gerenciador de Autorização ou outras tecnologias de acesso baseadas em função |
O uso do AppLocker exige uma avaliação e implementação completas das políticas de controle de aplicativos. |
Outros |
O uso do AppLocker exige uma avaliação e implementação completas das políticas de controle de aplicativos. |
Quais sistemas operacionais de área de trabalho e servidor Windows estão sendo executados em sua organização?
Se sua organização oferecer suporte a vários sistemas operacionais Windows, o planejamento da política de controle de aplicativos será mais complexo. Suas decisões de design iniciais devem considerar as prioridades de segurança e gerenciamento dos aplicativos que estão instalados em cada versão do sistema operacional.
| Respostas possíveis | Considerações de design |
|---|---|
Os computadores da sua empresa estão executando uma combinação dos seguintes sistemas operacionais:
|
As regras do AppLocker só são aplicadas a computadores que executam as versões compatíveis do Windows, mas as regras SRP podem ser aplicadas a todas as versões do Windows a partir do Windows XP e do Windows Server 2003. Para obter os requisitos de versão específicos do sistema operacional, consulte Requisitos para usar o AppLocker. ObservaçãoSe você estiver usando o nível de segurança de usuário básico conforme atribuído no SRP, esses privilégios não serão compatíveis com computadores executando o AppLocker. As políticas do AppLocker, conforme aplicadas por um GPO, têm precedência sobre as políticas SRP no mesmo GPO ou em um GPO vinculado. As políticas SRP podem ser criadas e mantidas da mesma maneira. |
Os computadores da sua organização estão executando os seguintes sistemas operacionais:
|
Use o AppLocker para criar suas políticas de controle de aplicativos. |
Há grupos específicos em sua organização que precisam de políticas de controle de aplicativos personalizadas?
A maioria dos grupos de negócios ou departamentos tem requisitos de segurança específicos relativos ao acesso aos dados e aos aplicativos usados para acessar os dados. Você deve considerar o escopo do projeto para cada grupo e as prioridades do grupo antes de implantar políticas de controle de aplicativos em toda a organização.
| Respostas possíveis | Considerações de design |
|---|---|
Sim |
Para cada grupo, você precisa criar uma lista que inclui seus requisitos de controle de aplicativos. Embora isso possa aumentar o tempo de planejamento, provavelmente resultará em uma implantação mais eficaz. Se sua estrutura de GPO não estiver configurada para que você possa aplicar diferentes políticas a grupos específicos, aplique as regras do AppLocker a um GPO como alternativa para grupos de usuários específicos. |
Não |
As políticas do AppLocker podem ser aplicadas globalmente a aplicativos instalados em computadores executando as versões compatíveis do Windows, conforme listadas no tópico Requisitos para usar o AppLocker. Dependendo do número de aplicativos que você precise controlar, o gerenciamento de todas as regras e exceções pode ser um desafio. |
Seu departamento de TI tem recursos para analisar o uso dos aplicativos e para criar e gerenciar as políticas?
O tempo e os recursos que estão disponíveis para executar a análise e pesquisa podem afetar os detalhes de seu plano e processos de manutenção e gerenciamento contínuos de política.
| Respostas possíveis | Considerações de design |
|---|---|
Sim |
Dedique um tempo para analisar os requisitos de controle de aplicativos da sua organização e planeje uma implantação completa usando as regras mais simples possíveis. |
Não |
Considere uma implantação em fases concentrada em grupos específicos usando um pequeno número de regras. Ao aplicar controles para aplicativos em um grupo específico, aprenda com essa implantação para planejar a próxima. |
Sua organização tem suporte técnico?
Impedir que os usuários acessem aplicativos conhecidos, implantados ou pessoais causará inicialmente um aumento no suporte ao usuário final. Será necessário lidar com os vários problemas de suporte na sua organização para que as políticas de segurança sejam seguidas e o fluxo de trabalho dos negócios não seja obstruído.
| Respostas possíveis | Considerações de design |
|---|---|
Sim |
Envolva o departamento de suporte no início da fase de planejamento porque os usuários podem ser inadvertidamente impedidos de usar seus aplicativos ou podem buscar exceções para usar aplicativos específicos. |
Não |
Dedique um tempo para desenvolver os processos de suporte online e documentação antes da implantação. |
Você sabe quais aplicativos exigem políticas restritivas?
Qualquer implementação de uma política de controle de aplicativos bem-sucedida é baseada no seu conhecimento e compreensão do uso dos aplicativos na organização ou grupo de negócios. Além disso, o design do controle de aplicativos depende dos requisitos de segurança dos dados e dos aplicativos que acessam esses dados.
| Respostas possíveis | Considerações de design |
|---|---|
Sim |
Você deve determinar as prioridades do controle de aplicativos para um grupo de negócios e tentar criar o esquema mais simples para suas políticas de controle de aplicativos. |
Não |
Você terá que executar uma auditoria e projeto de reunião de requisitos para descobrir o uso dos aplicativos. O AppLocker fornece os meios para implantar políticas no modo Somente auditorias e as ferramentas para exibir os logs de eventos. |
Como você implanta ou aprova aplicativos (novos ou atualizados) em sua organização?
A implementação de uma política de controle de aplicativos bem-sucedida é baseada no seu conhecimento e compreensão do uso dos aplicativos na organização ou grupo de negócios. Além disso, o design do controle de aplicativos depende dos requisitos de segurança dos dados e dos aplicativos que acessam esses dados. A compreensão da política de implantação e atualização ajudará a moldar a construção das políticas de controle de aplicativos.
| Respostas possíveis | Considerações de design |
|---|---|
Ad hoc |
Você precisa coletar requisitos de cada grupo. Alguns grupos talvez queiram acesso irrestrito ou instalação, enquanto outros podem desejar controles rigorosos. |
Política ou diretrizes rigorosas a serem seguidas |
Você precisa desenvolver regras do AppLocker que reflitam essas políticas e depois testar e mantêm as regras. |
Nenhum processo em vigor |
Você precisa determinar se tem os recursos para desenvolver uma política de controle de aplicativos e para quais grupos. |
Sua organização já tem SRP implantado?
Embora o SRP e o AppLocker tenham o mesmo objetivo, o AppLocker é uma revisão importante do SRP.
| Respostas possíveis | Considerações de design |
|---|---|
Sim |
Você não pode usar o AppLocker para gerenciar as configurações de SRP, mas pode usar o SRP para gerenciar as políticas de controle de aplicativos em computadores executando qualquer um dos sistemas operacionais com suporte listados em Requisitos para usar o AppLocker. Além disso, se as configurações do AppLocker e SRP forem definidas no mesmo GPO, somente as configurações do AppLocker serão aplicadas em computadores executando esses sistemas operacionais com suporte. ObservaçãoSe você estiver usando o nível de segurança de usuário básico conforme atribuído no SRP, essas permissões não serão compatíveis com computadores executando sistemas operacionais com suporte. |
Não |
As políticas configuradas para o AppLocker só podem ser aplicadas a computadores executando sistemas operacionais com suporte, mas o SRP também está disponível nesses sistemas operacionais. |
Quais são as prioridades da sua organização ao implementar políticas de controle de aplicativos?
Algumas organizações se beneficiarão das políticas de controle de aplicativos conforme mostrado por um aumento na produtividade ou conformidade, enquanto outras serão prejudicadas no cumprimento de suas obrigações. Priorizar esses aspectos para cada grupo permitirá que você avalia a eficiência do AppLocker.
| Respostas possíveis | Considerações de design |
|---|---|
Produtividade: a organização garante que as ferramentas funcionam e os aplicativos necessários podem ser instalados. |
Para atender às metas de produtividade e inovação, alguns grupos exigem a capacidade de instalar e executar uma variedade de softwares de diferentes fontes, incluindo softwares desenvolvidos por eles. Portanto, se a inovação e a produtividade têm alta prioridade, o gerenciamento de políticas de controle de aplicativos por uma lista de permissões pode ser demorado e um obstáculo ao progresso. |
Gerenciamento: a organização está ciente e controla os aplicativos com suporte. |
Em alguns grupos de negócios, o uso de aplicativos pode ser gerenciado de um ponto central de controle. As políticas do AppLocker podem ser criadas para um GPO com essa finalidade. Isso muda o custo de acesso dos aplicativos para o departamento de TI, além de oferecer a vantagem do controle do número de aplicativos que podem ser executados e das versões desses aplicativos. |
Segurança: a organização deve proteger os dados, garantindo, em parte, que somente aplicativos aprovados sejam usados. |
O AppLocker pode ajudar a proteger os dados, permitindo o acesso de um conjunto definido de usuários aos aplicativos que acessam os dados. Se a segurança for a maior prioridade, as políticas de controle de aplicativos serão mais restritas. |
Como os aplicativos são acessados atualmente em sua organização?
O AppLocker é muito eficaz para organizações com requisitos de restrição de aplicativo em ambientes com uma topografia e metas de política de controle de aplicativos simples. Por exemplo, o AppLocker pode beneficiar um ambiente onde não funcionários tenham acesso aos computadores conectados à rede organizacional, como uma escola ou biblioteca. Grandes empresas também se beneficiam da implantação da política do AppLocker quando a meta é atingir um nível de controle detalhado nos computadores desktop com um número relativamente pequeno de aplicativos a serem gerenciados ou quando os aplicativos são gerenciáveis com um pequeno número de regras.
| Respostas possíveis | Considerações de design |
|---|---|
Execução por usuários sem direitos administrativos. Os aplicativos são instalados usando uma tecnologia de implantação de instalação. |
O AppLocker pode ajudar a reduzir o custo total de propriedade dos grupos de negócios que geralmente usam um conjunto finito de aplicativos, como os departamentos de recursos humanos e finanças. Ao mesmo tempo, esses departamentos acessam informações altamente confidenciais, que são, em grande parte, sigilosas e proprietárias. Ao usar o AppLocker para criar regras para aplicativos específicos com permissão de serem executados, você pode ajudar a limitar aplicativos não autorizados de acessar essas informações. ObservaçãoO AppLocker também pode ser eficaz para ajudar a criar áreas de trabalho padronizadas em organizações em que os usuários executam aplicativos como administradores. No entanto, é importante observar que os usuários com credenciais administrativas podem adicionar novas regras à política do AppLocker local. |
Os usuários devem poder instalar aplicativos conforme necessário. Atualmente, os usuários têm acesso de administrador, e seria difícil alterar isso. |
A aplicação das regras do AppLocker não é adequada para grupos de negócios que devem poder instalar aplicativos conforme necessário e sem a aprovação do departamento de TI. Se uma ou mais unidades organizacionais de sua organização tiverem esse requisito, você poderá optar por não impor as regras de aplicativo nessas unidades organizacionais usando o AppLocker ou implementar a configuração de imposição Somente auditoria por meio do AppLocker. |
A estrutura nos Serviços de Domínio do Active Directory é baseada na hierarquia da organização?
Criar políticas de controle de aplicativos com base em uma estrutura organizacional já integrada aos Serviços de Domínio do Active Directory (AD DS) é mais fácil do que converter a estrutura existente em uma estrutura organizacional. Como a eficácia das políticas de controle de aplicativos depende da capacidade de atualizar políticas, considere qual trabalho organizacional precisa ser feito antes de começa a implantação.
| Respostas possíveis | Considerações de design |
|---|---|
Sim |
As regras do AppLocker podem ser desenvolvidas e implementadas por meio da Política de Grupo, com base na estrutura do AD DS. |
Não |
O departamento de TI deve criar um esquema para identificar como as políticas de controle de aplicativos podem ser aplicadas ao usuário ou computador correto. |
Registrar suas descobertas
A próxima etapa no processo é registrar e analisar suas respostas para as perguntas acima. Se o AppLocker for a solução certa para suas metas, você poderá definir os objetivos da política de controle de aplicativos e planejar suas regras do AppLocker. Esse processo culmina na criação do seu documento de planejamento.
Para obter informações sobre como definir suas metas de política, consulte Determinar seus objetivos de controle do aplicativo.
Para obter informações sobre como criar o documento de planejamento, consulte Criar seu documento de planejamento do AppLocker.