Compartilhar via

Usar o AppLocker e as políticas de restrição de software no mesmo domínio

  • Artigo

Este tópico para profissionais de TI descreve conceitos e procedimentos para ajudá-lo a gerenciar sua estratégia de controle do aplicativo, usando políticas de restrição de Software e o AppLocker.

Usando o AppLocker e as políticas de restrição de software no mesmo domínio

O AppLocker é compatível com sistemas que executam o Windows 7 e acima. A SRP (políticas de restrição de software) é compatível com sistemas que executam o Windows Vista ou anterior. Você pode continuar a usar a SRP para controle de aplicativo em seus computadores anteriores ao Windows 7, mas use o AppLocker em computadores que executam o Windows Server 2008 R2, Windows 7 e posterior. É recomendável que você crie as regras do AppLocker e SRP em GPOs separados e direcione o GPO com as políticas SRP para sistemas que executam o Windows Vista ou anterior. Quando políticas SRP e do AppLocker são aplicadas a computadores que executam o Windows Server 2008 R2, Windows 7 e posterior, as políticas SRP são ignoradas.

A tabela a seguir compara os recursos e as funções de SRP e do AppLocker.

Função de controle do aplicativo SRP AppLocker

Escopo

As políticas SRP podem ser aplicadas a todos os sistemas operacionais Windows a partir do Windows XP e do Windows Server 2003.

As políticas do AppLocker se aplicam apenas ao Windows Server 2008 R2, Windows 7 e posterior.

Criação de política

As políticas SRP são mantidas por meio da Política de Grupo e apenas o administrador do GPO pode atualizar a política SRP. O administrador no computador local pode modificar as políticas SRP definidas no GPO local.

As políticas do AppLocker são mantidas por meio da Política de Grupo e apenas o administrador do GPO pode atualizar a política. O administrador no computador local pode modificar as políticas do AppLocker definidas no GPO local.

O AppLocker permite a personalização das mensagens de erro para direcionar usuários para uma página da Web para obter ajuda.

Manutenção de políticas

As políticas SRP devem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente) ou do GPMC (Console de Gerenciamento de Política de Grupo).

As políticas do AppLocker podem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente), do GPMC ou dos cmdlets do Windows PowerShell do AppLocker.

Aplicação de políticas

As políticas SRP são distribuídas por meio de Política de Grupo.

As políticas do AppLocker são distribuídas por meio de Política de Grupo.

Modo de imposição

A SRP funciona no "modo de lista de negação", onde os administradores podem criar regras para arquivos que não desejam permitir nesta empresa, enquanto o restante dos arquivos pode ser executado por padrão.

A SRP também pode ser configurada no "modo de lista de permissão", de forma que por padrão todos os arquivos sejam bloqueados e os administradores precisem criar regras para os arquivos que desejam permitir.

O AppLocker por padrão funciona no "modo de lista de permissão", no qual somente os arquivos que possuem uma regra de permissão correspondente têm permissão para serem executados.

Tipos de arquivo que podem ser controlados

A SRP pode controlar os seguintes tipos de arquivo:

  • Executáveis

  • Dlls

  • Scripts

  • Windows Installers

A SRP não pode controlar cada tipo de arquivo separadamente. Todas as regras SRP estão em uma coleção de regras única.

O AppLocker pode controlar os seguintes tipos de arquivo:

  • Executáveis

  • Dlls

  • Scripts

  • Windows Installers

  • Instaladores e aplicativos empacotados

O AppLocker mantém uma coleção de regras separada para cada um dos cinco tipos de arquivo.

Tipos de arquivo designados

A SRP dá suporte a uma lista extensa de tipos de arquivos que são considerados executáveis. Os administradores podem adicionar extensões de arquivos que devem ser considerados executáveis.

O AppLocker atualmente aceita as seguintes extensões de arquivo:

  • Executáveis (.exe, .com)

  • Dlls (.ocx, .dll)

  • Scripts (.vbs, .js, .ps1, .cmd, .bat)

  • Windows Installers (.msi, .mst, .msp)

  • Instaladores de aplicativos empacotados (.appX)

Tipos de regra

A SRP aceita quatro tipos de regras:

  • Hash

  • Caminho

  • Assinatura

  • Zona da Internet

O AppLocker aceita três tipos de regras:

  • Hash do arquivo

  • Caminho

  • Fornecedor

Editando o valor de hash

No Windows XP, você podia usar SRP para fornecer os valores de hash personalizados.

A partir do Windows 7 e do Windows Server 2008 R2, você pode selecionar apenas o arquivo para o hash, não fornecer o valor do hash.

O AppLocker calcula o valor de hash em si. Internamente, ele usa o hash SHA2 Authenticode para executáveis portáteis (exe e dll), Windows Installers e um hash de arquivo simples SHA2 para o restante.

Suporte para diferentes níveis de segurança

Com SRP, você pode especificar as permissões com as quais um aplicativo pode ser executado. Assim, você pode configurar uma regra, para que o Bloco de Notas sempre seja executado com permissões restritas e nunca com privilégios administrativos.

A SRP no Windows Vista e em versões anteriores dava suporte a vários níveis de segurança. No Windows 7, essa lista era restrita a apenas dois níveis: Não Permitido e Irrestrito (Usuário Básico se converte em Não Permitido).

O AppLocker não dá suporte a níveis de segurança.

Gerencie aplicativos empacotados e instaladores de aplicativos empacotados.

Incompatível

.appx é um tipo de arquivo válido que o AppLocker pode gerenciar.

Direcionando uma regra para um usuário ou um grupo de usuários

As regras SRP se aplicam a todos os usuários em um computador específico.

As regras do AppLocker podem ser direcionadas para um usuário ou um grupo de usuários específico.

Suporte às exceções de regra

A SRP não dá suporte às exceções de regra.

As regras do AppLocker podem ter exceções que permitem que você crie regras como "Permitir tudo do Windows, exceto regedit.exe".

Suporte ao modo de auditoria

A SRP não dá suporte ao modo de auditoria. A única maneira de testar as políticas SRP é configurar um ambiente de teste e executar algumas experiências.

O AppLocker dá suporte ao modo de auditoria que permite que você teste o efeito de sua política no ambiente de produção real sem afetar a experiência do usuário. Quando estiver satisfeito com os resultados, você pode começar a impor a política.

Suporte para exportar e importar políticas

A SRP não dá suporte à importação/exportação de política.

O AppLocker dá suporte à importação e exportação de políticas. Isso permite que você crie a política do AppLocker em um dispositivo de exemplo, teste-a e, em seguida, exporte essa política e importe-a novamente para o GPO desejado.

Imposição de política

Internamente, a imposição de regras SRP acontece no modo de usuário, que é menos seguro.

Internamente, as regras do AppLocker para arquivos .exe e .dll são impostas no modo de kernel, que é mais seguro que as impor no modo de usuário.