Usar o AppLocker e as políticas de restrição de software no mesmo domínio
Este tópico para profissionais de TI descreve conceitos e procedimentos para ajudá-lo a gerenciar sua estratégia de controle do aplicativo, usando políticas de restrição de Software e o AppLocker.
Usando o AppLocker e as políticas de restrição de software no mesmo domínio
O AppLocker é compatível com sistemas que executam o Windows 7 e acima. A SRP (políticas de restrição de software) é compatível com sistemas que executam o Windows Vista ou anterior. Você pode continuar a usar a SRP para controle de aplicativo em seus computadores anteriores ao Windows 7, mas use o AppLocker em computadores que executam o Windows Server 2008 R2, Windows 7 e posterior. É recomendável que você crie as regras do AppLocker e SRP em GPOs separados e direcione o GPO com as políticas SRP para sistemas que executam o Windows Vista ou anterior. Quando políticas SRP e do AppLocker são aplicadas a computadores que executam o Windows Server 2008 R2, Windows 7 e posterior, as políticas SRP são ignoradas.
A tabela a seguir compara os recursos e as funções de SRP e do AppLocker.
Função de controle do aplicativo | SRP | AppLocker |
---|---|---|
Escopo |
As políticas SRP podem ser aplicadas a todos os sistemas operacionais Windows a partir do Windows XP e do Windows Server 2003. |
As políticas do AppLocker se aplicam apenas ao Windows Server 2008 R2, Windows 7 e posterior. |
Criação de política |
As políticas SRP são mantidas por meio da Política de Grupo e apenas o administrador do GPO pode atualizar a política SRP. O administrador no computador local pode modificar as políticas SRP definidas no GPO local. |
As políticas do AppLocker são mantidas por meio da Política de Grupo e apenas o administrador do GPO pode atualizar a política. O administrador no computador local pode modificar as políticas do AppLocker definidas no GPO local. O AppLocker permite a personalização das mensagens de erro para direcionar usuários para uma página da Web para obter ajuda. |
Manutenção de políticas |
As políticas SRP devem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente) ou do GPMC (Console de Gerenciamento de Política de Grupo). |
As políticas do AppLocker podem ser atualizadas por meio do snap-in de política de segurança local (se as políticas forem criadas localmente), do GPMC ou dos cmdlets do Windows PowerShell do AppLocker. |
Aplicação de políticas |
As políticas SRP são distribuídas por meio de Política de Grupo. |
As políticas do AppLocker são distribuídas por meio de Política de Grupo. |
Modo de imposição |
A SRP funciona no "modo de lista de negação", onde os administradores podem criar regras para arquivos que não desejam permitir nesta empresa, enquanto o restante dos arquivos pode ser executado por padrão. A SRP também pode ser configurada no "modo de lista de permissão", de forma que por padrão todos os arquivos sejam bloqueados e os administradores precisem criar regras para os arquivos que desejam permitir. |
O AppLocker por padrão funciona no "modo de lista de permissão", no qual somente os arquivos que possuem uma regra de permissão correspondente têm permissão para serem executados. |
Tipos de arquivo que podem ser controlados |
A SRP pode controlar os seguintes tipos de arquivo:
A SRP não pode controlar cada tipo de arquivo separadamente. Todas as regras SRP estão em uma coleção de regras única. |
O AppLocker pode controlar os seguintes tipos de arquivo:
O AppLocker mantém uma coleção de regras separada para cada um dos cinco tipos de arquivo. |
Tipos de arquivo designados |
A SRP dá suporte a uma lista extensa de tipos de arquivos que são considerados executáveis. Os administradores podem adicionar extensões de arquivos que devem ser considerados executáveis. |
O AppLocker atualmente aceita as seguintes extensões de arquivo:
|
Tipos de regra |
A SRP aceita quatro tipos de regras:
|
O AppLocker aceita três tipos de regras:
|
Editando o valor de hash |
No Windows XP, você podia usar SRP para fornecer os valores de hash personalizados. A partir do Windows 7 e do Windows Server 2008 R2, você pode selecionar apenas o arquivo para o hash, não fornecer o valor do hash. |
O AppLocker calcula o valor de hash em si. Internamente, ele usa o hash SHA2 Authenticode para executáveis portáteis (exe e dll), Windows Installers e um hash de arquivo simples SHA2 para o restante. |
Suporte para diferentes níveis de segurança |
Com SRP, você pode especificar as permissões com as quais um aplicativo pode ser executado. Assim, você pode configurar uma regra, para que o Bloco de Notas sempre seja executado com permissões restritas e nunca com privilégios administrativos. A SRP no Windows Vista e em versões anteriores dava suporte a vários níveis de segurança. No Windows 7, essa lista era restrita a apenas dois níveis: Não Permitido e Irrestrito (Usuário Básico se converte em Não Permitido). |
O AppLocker não dá suporte a níveis de segurança. |
Gerencie aplicativos empacotados e instaladores de aplicativos empacotados. |
Incompatível |
.appx é um tipo de arquivo válido que o AppLocker pode gerenciar. |
Direcionando uma regra para um usuário ou um grupo de usuários |
As regras SRP se aplicam a todos os usuários em um computador específico. |
As regras do AppLocker podem ser direcionadas para um usuário ou um grupo de usuários específico. |
Suporte às exceções de regra |
A SRP não dá suporte às exceções de regra. |
As regras do AppLocker podem ter exceções que permitem que você crie regras como "Permitir tudo do Windows, exceto regedit.exe". |
Suporte ao modo de auditoria |
A SRP não dá suporte ao modo de auditoria. A única maneira de testar as políticas SRP é configurar um ambiente de teste e executar algumas experiências. |
O AppLocker dá suporte ao modo de auditoria que permite que você teste o efeito de sua política no ambiente de produção real sem afetar a experiência do usuário. Quando estiver satisfeito com os resultados, você pode começar a impor a política. |
Suporte para exportar e importar políticas |
A SRP não dá suporte à importação/exportação de política. |
O AppLocker dá suporte à importação e exportação de políticas. Isso permite que você crie a política do AppLocker em um dispositivo de exemplo, teste-a e, em seguida, exporte essa política e importe-a novamente para o GPO desejado. |
Imposição de política |
Internamente, a imposição de regras SRP acontece no modo de usuário, que é menos seguro. |
Internamente, as regras do AppLocker para arquivos .exe e .dll são impostas no modo de kernel, que é mais seguro que as impor no modo de usuário. |