Trabalhando com regras do AppLocker
Este tópico para profissionais de TI descreve tipos de regra do AppLocker e como trabalhar com elas para suas políticas de controle do aplicativo.
Nesta seção
Tópico | Descrição |
---|---|
Este tópico para profissionais de TI mostra como criar uma regra do AppLocker com uma condição de hash de arquivo. |
|
Este tópico para profissionais de TI mostra como criar uma regra do AppLocker com uma condição de caminho. |
|
Este tópico para profissionais de TI mostra como criar uma regra do AppLocker com uma condição de fornecedor. |
|
Este tópico para profissionais de TI descreve as etapas para criar um conjunto padrão de regras do AppLocker que permitirá a execução de arquivos de sistema do Windows. |
|
Este tópico para profissionais de TI descreve as etapas para especificar quais aplicativos podem ou não ser executados como exceções a uma regra do AppLocker. |
|
Este tópico para profissionais de TI mostra como criar uma regra de AppLocker para aplicativos empacotados com uma condição de editor. |
|
Este tópico para profissionais de TI descreve as etapas para excluir uma regra do AppLocker. |
|
Este tópico para profissionais de TI descreve as etapas para editar uma regra de editor, a regra de caminho e a regra de hash do arquivo no AppLocker. |
|
Este tópico para profissionais de TI descreve as etapas para habilitar o recurso de coleção de regras DLL para o AppLocker. |
|
Este tópico para profissionais de TI descreve como impor regras de controle do aplicativo usando o AppLocker. |
|
Este tópico para profissionais de TI descreve as etapas para executar o assistente para criar regras do AppLocker em um dispositivo de referência. |
Os três modos de imposição do AppLocker são descritos na tabela a seguir. A configuração de modo de imposição definida aqui pode ser substituída pela configuração derivada de um GPO (Objeto de Política de Grupo) vinculado com uma precedência maior.
Modo de imposição | Descrição |
---|---|
Não configurado |
Essa é a configuração padrão que significa que as regras definidas aqui serão impostas, a menos que um GPO vinculado com uma precedência maior tenha um valor diferente para essa configuração. |
Impor regras |
As regras são impostas. |
Somente auditoria |
As regras são auditadas, mas não impostas. Quando um usuário executa um aplicativo que é afetado por uma regra do AppLocker, o aplicativo tem permissão para ser executado e as informações sobre o aplicativo são adicionadas ao log de eventos do AppLocker. O modo de imposição somente auditoria ajuda você a determinar quais aplicativos serão afetados pela política antes que ela seja imposta. Quando a política do AppLocker de uma coleção de regras é definida como Somente auditoria, as regras dessa coleção de regras não são impostas |
Quando as políticas do AppLocker de vários GPOs são mescladas, as regras de todos os GPOs são mescladas e a configuração do modo de imposição do GPO vencedor é aplicada.
Coleções de regras
O console do AppLocker está organizado em coleções de regras, que são arquivos executáveis, scripts, arquivos do Windows Installer, aplicativos empacotados, instaladores de aplicativos empacotados e arquivos DLL. Essas coleções oferecem uma maneira fácil de diferenciar as regras de diferentes tipos de aplicativos. A tabela a seguir lista os formatos de arquivo que estão incluídos em cada coleção de regras.
Coleção de regras | Formatos de arquivo associados |
---|---|
Arquivos executáveis |
.exe .com |
Scripts |
.ps1 .bat .cmd .vbs .js |
Arquivos do Windows Installer |
.msi .msp .mst |
Aplicativos empacotados e instaladores de aplicativos empacotados |
.appx |
Arquivos DLL |
.dll .ocx |
Importante
Se você usa as regras de DLL, será necessário criar uma regra de permissão para cada DLL que é usada por todos os aplicativos permitidos.
Quando as regras de DLL são usadas, o AppLocker deverá verificar cada DLL que um aplicativo carrega. Portanto, os usuários poderão experimentar uma redução no desempenho se as regras de DLL forem usadas.
A coleção de regras de DLL não está habilitada por padrão. Para saber como habilitar a coleção de regras de DLL, consulte Coleções de regras de DLL.
Condições de regra
As condições da regra são critérios que ajudam o AppLocker a identificar os aplicativos aos quais a regra se aplica. As três condições de regra principais são de fornecedor, caminho e hash do arquivo.
Fornecedor: identifica um aplicativo com base em sua assinatura digital
Caminho: identifica um aplicativo por seu local no sistema de arquivos do computador ou na rede
Hash do arquivo: representa o hash criptográfico calculado do sistema do arquivo identificado
Fornecedor
Esta condição identifica um aplicativo com base na sua assinatura digital e nos atributos estendidos quando disponíveis. A assinatura digital contém informações sobre a empresa que criou o aplicativo (o fornecedor). Arquivos executáveis, dlls, instaladores do Windows, aplicativos empacotados e instaladores de aplicativos empacotados também têm atributos estendidos, que são obtidos do recurso binário. Em caso de arquivos executáveis, dlls e instaladores do Windows, esses atributos contêm o nome do produto do qual o arquivo é uma parte, o nome original do arquivo, conforme fornecido pelo fornecedor e o número da versão do arquivo. Em caso de aplicativos empacotados e instaladores de aplicativos empacotados, esses atributos estendidos contêm o nome e a versão do pacote do aplicativo.
Observação
As regras criadas em aplicativos empacotados e na coleção de regras de instaladores de aplicativos empacotados só podem ter condições de fornecedor, já que o Windows não dá suporte a aplicativos empacotados não assinados e a instaladores de aplicativos empacotados.
Observação
Use uma condição de regra de fornecedor quando possível porque elas podem sobreviver a atualizações de aplicativos, bem como a uma alteração no local dos arquivos.
Quando você selecionar um arquivo de referência para uma condição de fornecedor, o assistente criará uma regra que especifica o fornecedor, o produto, o nome de arquivo e o número de versão. Você pode tornar a regra mais genérica, movendo o controle deslizante para cima ou usando um caractere curinga (*) no produto, no nome do arquivo ou nos campos de número de versão.
Observação
Para inserir valores personalizados de qualquer um dos campos de uma condição de regra de fornecedor no Assistente para Criação de Regras, você deve marcar a caixa de seleção Usar valores personalizados. Quando essa caixa de seleção estiver marcada, você não poderá usar o controle deslizante.
A Versão do arquivo e a Versão do pacote controlam se um usuário pode executar uma versão específica, versões anteriores ou versões posteriores do aplicativo. Você pode escolher um número de versão e, em seguida, configurar as seguintes opções:
Exatamente. A regra se aplica somente a esta versão do aplicativo
E acima. A regra se aplica a esta versão e a todas as versões posteriores.
E abaixo. A regra se aplica a esta versão e a todas as versões anteriores.
A tabela a seguir descreve como uma condição de fornecedor é aplicada.
Opção | A condição de fornecedor permite ou nega... |
---|---|
Todos os arquivos assinados |
Todos os arquivos que foram assinados por qualquer fornecedor. |
Somente fornecedor |
Todos os arquivos que foram assinados pelo fornecedor identificado. |
Fornecedor e nome do produto |
Todos os arquivos do produto especificado que foram assinados pelo fornecedor identificado. |
Fornecedor, nome do produto e nome do arquivo |
Qualquer versão do arquivo ou pacote nomeado do produto nomeado, assinada pelo fornecedor. |
Fornecedor, nome do produto, nome do arquivo e versão do arquivo |
Exatamente A versão especificada do arquivo ou do pacote nomeado do produto nomeado, assinada pelo fornecedor. |
Fornecedor, nome do produto, nome do arquivo e versão do arquivo |
E acima A versão especificada do arquivo ou do pacote nomeado e qualquer nova versão do produto que seja assinada pelo fornecedor. |
Fornecedor, nome do produto, nome do arquivo e versão do arquivo |
E abaixo A versão especificada do arquivo ou do pacote nomeado e qualquer versão anterior do produto que seja assinada pelo fornecedor. |
Personalizado |
Você pode editar os campos Fornecedor, Nome do produto, Nome de arquivo, Versão Nome do pacote e Versão do pacote para criar uma regra personalizada. |
Caminho
Esta condição de regra identifica um aplicativo por seu local no sistema de arquivos do computador ou na rede.
O AppLocker usa as variáveis de caminho personalizadas para caminhos conhecidos, como Arquivos de Programas e Windows.
A tabela a seguir detalha essas variáveis de caminho.
Diretório do Windows ou disco | Variável de caminho do AppLocker | Variável de ambiente do Windows |
---|---|---|
Windows |
%WINDIR% |
%SystemRoot% |
System32 |
%SYSTEM32% |
%SystemDirectory% |
Diretório de instalação do Windows |
%OSDRIVE% |
%SystemDrive% |
Program Files |
%PROGRAMFILES% |
%ProgramFiles% e %ProgramFiles(x86)% |
Mídia removível (por exemplo, um CD ou DVD) |
%REMOVABLE% |
|
Dispositivo de armazenamento removível (por exemplo, uma unidade flash USB) |
%HOT% |
Importante
Como uma condição de regra de caminho pode ser configurada para incluir um grande número de arquivos e pastas, as condições de caminho devem ser planejadas com cuidado. Por exemplo, se uma regra de permissão com uma condição de caminho inclui um local de pasta em que usuários não administradores têm permissão para gravar dados, um usuário pode copiar arquivos não aprovados para esse local e executar os arquivos. Por esse motivo, é uma prática recomendada não criar condições de caminho para locais de gravação padrão do usuário, como um perfil de usuário.
Hash do arquivo
Quando você escolhe a condição de regra de hash do arquivo, o sistema calcula um hash criptográfico do arquivo identificado. A vantagem dessa condição de regra é que, como cada arquivo tem um hash exclusivo, uma condição de regra de hash do arquivo se aplica a apenas um arquivo. A desvantagem é que cada vez em que o arquivo é atualizado (como uma atualização de segurança ou upgrade), o hash do arquivo será alterado. Como resultado, você deve atualizar manualmente as regras de hash do arquivo.
Regras padrão do AppLocker
O AppLocker permite que você gere regras padrão para cada coleção de regras.
Os tipos de regra padrão executáveis incluem:
Permitir que os membros do grupo local Administradores executem todos os aplicativos.
Permitir que os membros do grupo Todos executem os aplicativos localizados na pasta Windows.
Permitir que os membros do grupo Todos executem os aplicativos localizados na pasta Arquivos de Programas.
Os tipos de regra de script padrão incluem:
Permitir que os membros do grupo local Administradores executem todos os scripts.
Permitir que os membros do grupo Todos executem scripts localizados na pasta Arquivos de Programas.
Permitir que os membros do grupo Todos executem os scripts localizados na pasta Windows.
Os tipos de regra padrão do Windows Installer incluem:
Permitir que os membros do grupo local Administradores executem todos os arquivos do Windows Installer.
Permitir que os membros do Todos executem todos os arquivos do Windows Installer assinados digitalmente.
Permitir que os membros do grupo Todos executem todos os arquivos do Windows Installer localizados na pasta Windows\Installer.
Tipos de regra de DLL padrão:
Permitir que os membros do grupo local Administradores executem todas as DLLs.
Permitir que os membros do grupo Todos executem as DLLs localizadas na pasta Arquivos de Programas.
Permitir que os membros do grupo Todos executem as DLLs localizadas na pasta Windows.
Os tipos de regra padrão de aplicativos empacotados são:
- Permitir que os membros do grupo Todos instalem e executem todos os aplicativos empacotados e os instaladores de aplicativos empacotados assinados.
Comportamento da regra do AppLocker
Se não houver regras do AppLocker para uma coleção de regras específica, todos os arquivos com esse formato de arquivo poderão ser executados. Entretanto, quando uma regra do AppLocker para uma coleção de regras específica é criada, somente os arquivos explicitamente permitidos em uma regra podem ser executados. Por exemplo, se você criar uma regra executável que permite que os arquivos .exe em %SystemDrive%\FilePath sejam executados, apenas os arquivos executáveis localizados nesse caminho têm permissão para serem executados.
Uma regra pode ser configurada para usar ações de permissão ou negação:
Permitir. Você pode especificar quais arquivos têm permissão para serem executados no seu ambiente, e para quais usuários ou grupos de usuários. Você também pode configurar exceções para identificar os arquivos que são excluídos da regra.
Negar. Você pode especificar quais arquivos not têm permissão para serem executados em seu sistema, e para quais usuários ou grupos de usuários. Você também pode configurar exceções para identificar os arquivos que são excluídos da regra.
Importante
Uma prática recomendada é usar ações de permissão com exceções. Você pode usar uma combinação de ações de permissão e negação, mas entenda que as ações de negação substituem as ações de permissão em todos os casos e podem ser evitadas.
Importante
Se você entrar em um computador que esteja executando pelo menos o Windows Server 2012 ou o Windows 8 em um domínio que já impõe as regras do AppLocker para arquivos executáveis, os usuários não poderão executar quaisquer aplicativos empacotados, a menos que você também crie regras para aplicativos empacotados. Se você deseja permitir quaisquer aplicativos empacotados em seu ambiente enquanto continua a controlar arquivos executáveis, será preciso criar as regras padrão para aplicativos empacotados e definir o modo de imposição como Somente auditoria para a coleção de regras de aplicativos empacotados.
Exceções de regra
Você pode aplicar as regras do AppLocker a usuários individuais ou a um grupo de usuários. Se você aplicar uma regra a um grupo de usuários, todos os usuários desse grupo serão afetados por essa regra. Se você precisa permitir que um subconjunto de um grupo de usuários use um aplicativo, será preciso criar uma regra especial para esse subconjunto. Por exemplo, a regra "Permitir que todos executem o Windows exceto o Editor do Registro" permite que todos na organização executem o sistema operacional Windows, mas não permite que qualquer pessoa execute o Editor do Registro.
O efeito dessa regra impediria que os usuários, como a equipe de suporte técnico, executassem um programa que é necessário para suas tarefas de suporte. Para resolver esse problema, crie uma segunda regra aplicável ao grupo de usuários de suporte técnico: "Permitir que o suporte técnico execute o Editor do Registro". Se você criar uma regra de negação que não permita que todos os usuários executem o Editor do Registro, a regra de negação substituirá a segunda regra que permite que o grupo de usuários de suporte técnico execute o Editor do Registro.
Coleção de regras de DLL
Como a coleção de regras de DLL não está habilitada por padrão, você deve executar o procedimento a seguir antes de poder criar e aplicar as regras de DLL.
A associação ao grupo local Administradores, ou equivalente, é o requisito mínimo para concluir este procedimento.
Para habilitar a coleção de regras de DLL
Clique em Iniciar, digite secpol.msc e, em seguida, pressione ENTER.
Caso a caixa de diálogo Controle de Conta de Usuário seja exibida, confirme se a ação exibida é a desejada e clique em Sim.
Na árvore do console, clique duas vezes em Políticas de Controle do Aplicativo, clique com botão direito do mouse em AppLocker e clique em Propriedades.
Clique na guia Avançado, marque a caixa de seleção Habilitar a coleção de regras de DLL e, em seguida, clique em OK.
Importante
Antes de você aplicar as regras de DLL, certifique-se de que há regras de permissão para cada DLL que é usada por qualquer um dos aplicativos permitidos.
Assistentes do AppLocker
Você pode criar regras usando dois assistentes do AppLocker:
O Assistente para Criar Regras permite que você crie uma regra de cada vez.
O Assistente para Gerar Regras Automaticamente permite que você crie várias regras de uma só vez. Você pode selecionar uma pasta e permitir que o assistente crie regras para os arquivos relevantes dentro dessa pasta ou em caso de aplicativos empacotados, deixar que o assistente crie regras para todos os aplicativos empacotados instalados no computador. Você também pode especificar o usuário ou grupo ao qual deseja aplicar as regras. Este assistente gera automaticamente apenas as regras de permissão.
Considerações adicionais
Por padrão, as regras do AppLocker não permitem que os usuários abram ou executem todos os arquivos que não são permitidos especificamente. Os administradores devem manter uma lista atualizada de aplicativos permitidos.
Existem dois tipos de condições do AppLocker que não persistem após uma atualização de um aplicativo:
Uma condição de hash do arquivo As condições de regra de hash do arquivo podem ser usadas com qualquer aplicativo porque um valor de hash criptográfico do aplicativo é gerado no momento em que a regra é criada. No entanto, o valor de hash é específico da versão exata do aplicativo. Se houver várias versões do aplicativo em uso dentro da organização, você precisará criar um arquivo de condições de hash para cada versão em uso e para quaisquer novas versões que são lançadas.
Uma condição de fornecedor com um conjunto de versões do produto específico Se você criar uma condição de regra de fornecedor que use a opção de versão Exatamente, a regra não persistirá quando uma nova versão do aplicativo for instalada. Uma nova condição de fornecedor deve ser criada ou a versão deve ser editada na regra que deve se tornar menos específica.
Se um aplicativo não estiver assinado digitalmente, você não poderá usar uma condição de regra de fornecedor para esse aplicativo.
As regras do AppLocker não podem ser usadas para gerenciar computadores que executam um sistema operacional Windows anterior ao Windows Server 2008 R2 ou Windows 7. As políticas de restrição de software deve ser usadas em vez disso. Se as regras do AppLocker forem definidas em um GPO (Objeto de Política de Grupo), somente essas regras serão aplicadas. Para garantir a interoperabilidade entre as regras de políticas de restrição de software e as do AppLocker, defina as regras de políticas de restrição de software e do AppLocker em GPOs diferentes.
A coleção de regras de aplicativos empacotados e do instalador de aplicativos empacotados está disponível em dispositivos que executam pelo menos o Windows Server 2012 e o Windows 8.
Quando as regras da coleção de regras executáveis são impostas e a regra dos instaladores de aplicativos empacotados não contiverem quaisquer regras, nenhum aplicativo empacotado e instalador de aplicativos empacotados terá permissão para ser executado. Para permitir quaisquer aplicativos empacotados e instaladores de aplicativos empacotados, você deverá criar regras para a coleção de regras de aplicativos empacotado e de instaladores de aplicativos empacotados.
Quando uma coleção de regras do AppLocker é definida como Somente auditoria, as regras não são impostas. Quando um usuário executa um aplicativo que está incluído na regra, o aplicativo é aberto e executado normalmente, e as informações sobre esse aplicativo são adicionadas ao log de eventos do AppLocker.
Uma URL configurada de forma personalizado pode ser incluída na mensagem que é exibida quando um aplicativo é bloqueado.
Espere um aumento no número de chamadas ao suporte técnico inicialmente por causa dos aplicativos bloqueados até que os usuários compreendam que não podem executar aplicativos que não são permitidos.