Colecções de regras

O snap-in da Consola de Gestão da Microsoft (MMC) de AppLocker está organizado em quatro áreas chamadas colecções de regras. As quatro colecções de regras são ficheiros executáveis, scripts, ficheiros do Windows Installer e ficheiros DLL. Estas colecções dão ao administrador uma forma fácil de diferenciar as regras para diferentes tipos de aplicações. A tabela seguinte lista os formatos de ficheiros incluídos em cada colecção de regras.

Nota

A colecção de regras de DLL não está activada por predefinição. Para obter informações sobre como activar a colecção de regras de DLL, consulte Impor Regras do AppLocker.

Colecção de regras Formatos de ficheiros associados

Executável

.exe

.com

Scripts

.ps1

.bat

.cmd

.vbs

.js

Windows Installer

.msi

.msp

DLL

.dll

.ocx

Importante

Caso utilize regras de DLL, tem de ser criada uma regra de permissão de DLL para cada DLL utilizada por todas as aplicações permitidas.

Atenção

Se forem utilizadas regras de DLL, o AppLocker tem de verificar cada DLL carregada por uma aplicação. Por esse motivo, os utilizadores podem sentir uma redução do desempenho se forem utilizadas regras de DLL.

Condições de regras

As condições de regras são critérios em que a regra de AppLocker é baseada. As condições primárias são necessárias para criar uma regra de AppLocker. As três condições de regras primárias são fabricante, caminho e hash de ficheiro.

Publicador

Esta condição identifica uma aplicação baseada na sua assinatura digital e atributos expandidos. A assinatura digital contém informações sobre a empresa que criou a aplicação (o fabricante). Os atributos expandidos, que se obtém a partir do recurso binário, contêm o nome do produto de que a aplicação faz parte e o número de versão da aplicação. O fabricante pode ser uma empresa de desenvolvimento de software, como a Microsoft, ou o departamento de tecnologias de informação da sua organização.

Nota

Utilize uma condição de fabricante quando possível. As condições de fabricante podem ser criadas para permitir que as aplicações continuem a funcionar mesmo que a localização da aplicação mude ou que a aplicação seja actualizada.

Ao seleccionar um ficheiro de referência para uma condição de fabricante, o assistente cria uma regra que especifica o fabricante, o produto, o nome do ficheiro e o número de versão. É possível tornar a regra mais genérica movendo o controlo de deslize para baixo, ou utilizando um carácter universal (*) nos campos do produto, nome de ficheiro ou número de versão.

Nota

Para introduzir valores personalizados ao criar um regra no Assistente para Criar Regras, deve seleccionar a caixa de verificação Utilizar valores personalizados. Quando esta caixa de verificação está seleccionada, não pode utilizador o controlo de deslize para tornar a regra mais ou menos específica.

A versão do ficheiro controlo se um utilizador podem executar uma versão específica, versões anteriores ou versões superiores. É possível escolher um número de versão e configurar as seguintes opções:

  • Exactamente. A regra aplica-se apenas a esta versão da aplicação.

  • E superior. A regra aplica-se a esta versão e a todas as versões superiores.

  • E inferior. A regra aplica-se a esta versão e a todas as versões anteriores.

A tabela seguinte descreve como uma condição de fabricante é aplicada.

OpçãoA condição de publicado permite ou nega…

Todos os ficheiros assinados

Todos os ficheiros são assinados por um fabricante.

Apenas fabricante

Todos os ficheiros que sejam assinados pelo fabricante nomeado.

Fabricante e nome de produto

Todos os ficheiros para o produto especificado que sejam assinados pelo fabricante nomeado.

Fabricante e nome de produto e nome de ficheiro

Qualquer versão do ficheiro nomeado para o produto nomeado que seja assinado pelo fabricante.

Fabricante, nome de produto, nome de ficheiro e versão de ficheiro

Exactamente

A versão especificada do ficheiro nomeado para o produto nomeado que seja assinado pelo fabricante.

Fabricante, nome de produto, nome de ficheiro e versão de ficheiro

E superior

A versão especificada do ficheiro nomeado e quaisquer versões novas para o produto que seja assinado pelo fabricante.

Fabricante, nome de produto, nome de ficheiro e versão de ficheiro

E inferior

A versão especificada do ficheiro nomeado e quaisquer versões antigas do produto que seja assinado pelo fabricante.

Personalizar

É possível editar os campos Fabricante, Nome do produto, Nome do ficheiro e Versão para criar uma regra personalizada.

Caminho

Esta condição identifica uma aplicação pela sua localização no sistema de ficheiros do computador ou na rede.

O AppLocker utiliza variáveis de caminho para directórios no Windows.

Nota

Embora duas destas variáveis de caminho utilizem o mesmo formato que as variáveis de ambiente do Windows, não são variáveis de ambiente. O AppLocker só pode interpretar variáveis de caminho do AppLocker.

A tabela seguinte mostra detalhes destas variáveis de caminho.

Directório do Windows ou unidadeVariável de caminho do AppLockerVariável de ambiente do Windows

Windows

%WINDIR%

%SystemRoot%

System32

%SYSTEM32%

%SystemDirectory%

Directório de instalação do Windows

%OSDRIVE%

%SystemDrive%

Programas

%PROGRAMFILES%

%ProgramFiles% e

%ProgramFiles(x86)%

Suporte de dados amovível (por exemplo, CD ou DVD)

%REMOVABLE%

Dispositivo de armazenamento amovível (por exemplo, unidade Flash USB)

%HOT%

Importante

Como uma condição de caminho pode ser configurada para incluir um grande número de pastas e ficheiros, as condições de caminho devem ser planeadas cuidadosamente. Por exemplo, se uma regra de permissão com uma condição de caminho incluir uma localização de pasta na qual os não administradores podem escrever dados, um utilizador pode copiar ficheiros não autorizados para essa localização e executar os ficheiros. Por esse motivo, é melhor prática não criar condições de caminho para localizações graváveis por utilizadores padrão, como um perfil de utilizador.

Hash de ficheiro

Se for escolhida a condição de hash de ficheiro, o sistema calcula um hash criptográfico do ficheiro identificado.

Regras predefinidas do AppLocker

O AppLocker permite gerar regras predefinidas para cada um dos tipos de regras.

Tipos de regras predefinidas de executáveis:

  • Permite que os membros do grupo Administradores local executem todas as aplicações.

  • Permite que os membros do grupo Todos executem aplicações localizadas na pasta do Windows.

  • Permite que os membros do grupo Todos executem aplicações localizadas na pasta do Programas.

Tipos de regras predefinidas do Windows Installer:

  • Permite que os membros do grupo Administradores local executem todos os ficheiros do Windows Installer.

  • Permite que os membros do grupo Todos local executem os ficheiros do Windows Installer assinados digitalmente.

  • Permite que os membros do grupo Todos executem todos os ficheiros do Windows Installer localizados na pasta do Windows\Installer.

Tipos de regras predefinidas de scripts:

  • Permite que os membros do grupo Administradores local executem todos os scripts.

  • Permite que os membros do grupo Todos executem scripts localizados na pasta de Programas.

  • Permite que os membros do grupo Todos executem scripts localizados na pasta do Windows.

Tipos de regras predefinidas de DLL:

  • Permite que os membros do grupo Administradores local executem todas as DLLs.

  • Permite que os membros do grupo Todos executem DLLs localizadas na pasta de Programas.

  • Permite que os membros do grupo Todos executem DLLs localizadas na pasta do Windows.

Para obter mais informações, consulte Criar Regras de AppLocker Predefinidas.

Comportamento das regras do AppLocker

Se não existirem regras de AppLocker para uma colecção de regras específica, é permitida a execução de todos os ficheiros com esse formato de ficheiro. Contudo, se for criada uma regra de AppLocker para uma colecção de regras específica, só os ficheiros permitidos explicitamente na regra podem ser executados. Por exemplo, se criar uma regra de executável que permita que ficheiros .exe sejam executados em %SystemDrive%\FilePath, só é permitida a execução de ficheiros executáveis localizados nesse caminho.

Uma regra pode ser configurada para utilizar uma acção de permissão ou negação:

  • Permitir. É possível especificar que ficheiros podem ser executados no ambiente e para que utilizadores ou grupos de utilizadores. Também é possível configurar excepções para identificar ficheiros que sejam excluídos da regra.

  • Negar. É possível especificar que ficheiros not podem ser executados no ambiente e para que utilizadores ou grupos de utilizadores. Também é possível configurar excepções para identificar ficheiros que sejam excluídos da regra.

Importante

É possível utilizar uma combinação de acções de permissão e negação. Contudo, recomenda-se que utilize acções de permissão com excepções porque as acções de negação substituem as acções de permissão em todos os casos. As acções de negação também podem ser contornadas.

Excepções de regras

É, possível aplicar regras de AppLocker a utilizadores individuais ou a grupos de utilizadores. Se aplicar uma regra a um grupo de utilizadores, todos os utilizadores nesse grupo serão afectados por essa regra. Se necessitar de permitir um subconjunto de um grupo de utilizadores para utilizar uma aplicação, é possível criar uma regra especial para esse subconjunto. Por exemplo, a regra "Permitir que Todos executem o Windows excepto o Editor de Registo" permite que todos os utilizadores na organização executem o Windows, mas não permite que alguém execute o Editor de Registo. O efeito desta regra impede que utilizadores, tal como o pessoal do suporte técnico, executem um programa necessário para as suas tarefas de suporte. Para resolver este problema, crie uma segunda regra que se aplique ao grupo de utilizadores do Suporte Técnico: "Permitir que Suporte Técnico execute o Editor de Registo." Se criar uma regra de negação que não permita que quaisquer utilizadores executem o Editor de Registo, a regra de negação substitui a segunda regra que permite que o grupo de utilizadores do Suporte Técnico execute o Editor de Registo.

Assistentes do AppLocker

É possível criar regras personalizadas de duas formas:

  1. O Assistente para Criar Regras permite criar uma regra de cada vez. Para mais informações, consulte Criar uma Regra de AppLocker.

  2. O Assistente para Gerar Regras Automaticamente permite seleccionar uma pasta, seleccionar um utilizador ou um grupo ao qual aplicar a regra e, em seguida, criar várias regras de uma só vez para essa pasta. Este assistente só gera de permissão automaticamente. Para obter mais informações, consulte Gerar Automaticamente Regras do AppLocker.

Considerações adicionais

  • Por predefinição, as regras de AppLocker não permitem que os utilizadores abram ou executem quaisquer ficheiros que não sejam permitidos especificamente. Os administradores devem manter uma lista actualizada das aplicações permitidas.

  • Existem dois tipos de condições de AppLocker que não persistem após uma actualização:

    • Condição de hash de ficheiro. As condições de hash de ficheiro podem ser utilizadas com qualquer aplicação, porque um valor de hash criptográfico da aplicação é gerado no momento em que a regra é criada. Contudo, o valor de hash é específico dessa versão exacta da aplicação. Se existirem várias versões da aplicação a serem utilizadas na organização, é necessário criar condições de hash de ficheiro para cada versões utilizada e para quaisquer novas versões que sejam disponibilizadas.

    • Uma condição de fabricante com uma versão de produto específica definida. Se criar uma condição de fabricante que utilize a opção de condição de ficheiro Exactamente, a regra não pode persistir se for instalada uma nova versão da aplicação. Tem de ser criada uma nova condição de fabricante, ou a versão da regra tem de ser editada para que seja menos específica.

  • Se uma aplicação não estiver assinada digitalmente, não é possível utilizar uma condição de fabricante.

  • As regras de AppLocker não podem ser utilizadas para gerir computadores com um sistema operativo Windows anterior ao Windows 7. Em vez disso, devem ser utilizadas Políticas de Restrição de Software.

  • Se forem definidas regras de AppLocker num objecto de Política de Grupo (GPO), só são aplicadas essas regras. Para garantir a interoperabilidade entre regras de Políticas de Restrição de Software e regras de AppLocker, defina as regras de Políticas de Restrição de Software e as regras de AppLocker em GPOs diferentes.

  • Quando uma regra de AppLocker é definida como Apenas auditoria, a regra não é imposta. Quando um utilizador executa uma aplicação incluída na regra, a aplicação é aberta e executada normalmente e as informações sobre essa aplicação são adicionadas ao registo de eventos de AppLocker.

  • É possível incluir um URL configurado personalizadamente na mensagem que é apresentada quando uma aplicação é bloqueada.

  • Inicialmente, espere um aumento das chamadas para o suporte técnico devido às aplicações bloqueadas. Conforme os utilizadores começarem a compreender que não podem executar aplicações para as quais não têm permissão, as chamadas para o suporte técnico podem diminuir.

Referências adicionais