Administrar políticas de restrição de software
Este tópico para o profissional de TI contém procedimentos sobre como administrar políticas de controle de aplicativo usando SRP (políticas de restrição de software) a partir do Windows Server 2008 e do Windows Vista.
Introdução
A política SRP (Política de Restrição de Software) é um recurso baseado em políticas de grupo que identifica programas de software que são executados em um domínio e que controla a capacidade desses programas de serem executados. Use políticas de restrição de software para criar uma configuração altamente restrita para computadores nos quais você permite que apenas aplicativos especificamente identificados sejam executados. Eles são integrados com os Microsoft Active Directory Domain Services e com a Política de Grupo, mas também podem ser configurados em computadores independentes. Para saber mais sobre SRP, confira as Políticas de restrição de software.
A partir do Windows Server 2008 R2 e Windows 7, é possível usar o Windows AppLocker no lugar ou em conjunto com a política SRP como uma parte da estratégia de controle de aplicativos.
Este tópico contém:
Para impedir que políticas de restrição de software sejam aplicadas a administradores locais
Para alterar o nível de segurança padrão das políticas de restrição de software
Para saber mais sobre como realizar tarefas específicas usando a SRP, confira o seguinte:
Para abrir as Políticas de restrição de software
Para o computador local
Abra as Configurações de Segurança Locais.
Na árvore de console, clique em Políticas de restrição de software.
Onde?
- Configurações de segurança/políticas de restrição de software
Observação
Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada.
Para um domínio, site ou unidade organizacional e você está em um servidor membro ou em uma estação de trabalho associada a um domínio
Abra o MMC (Console de Gerenciamento Microsoft).
No menu Arquivo, clique em Adicionar ou Remover snap-in e clique em Adicionar.
Clique em Editor de Objeto de Política de Grupo Local e clique em Adicionar.
Em Selecionar Objeto de Política de Grupo, clique em Procurar.
Em Procurar um Objeto de Política de Grupo, selecione um GPO (Objeto de Política de Grupo) no domínio, no site ou na unidade organizacional apropriada (ou crie um novo) e clique em Concluir.
Clique em Fechare clique em OK.
Na árvore de console, clique em Políticas de restrição de software.
Onde?
Objeto de Política de Grupo [ComputerName] configuração da política/computador ou
Configuração do Usuário/Configurações do Windows/Configurações de Segurança/Políticas de Restrição de Software
Observação
Para executar esse procedimento, você deve ser membro do grupo Administradores de Domínio.
Para um domínio ou unidade organizacional, e você está em um controlador de domínio ou em uma estação de trabalho que tenha as Ferramentas de Administração de Servidor Remoto instaladas
Abra o Console de Gerenciamento de Política de Grupo.
Na árvore de console, clique com o botão direito do mouse no GPO (Objeto de Política de Grupo) para o qual você deseja abrir políticas de restrição de software.
Clique em Editar para abrir o GPO que quer editar. Você também pode clicar em Novo para criar um novo GPO e clique em Editar.
Na árvore de console, clique em Políticas de restrição de software.
Onde?
Objeto de Política de Grupo [ComputerName] configuração da política/computador ou
Configuração do Usuário/Configurações do Windows/Configurações de Segurança/Políticas de Restrição de Software
Observação
Para executar esse procedimento, você deve ser membro do grupo Administradores de Domínio.
Para um site, e você está em um controlador de domínio ou em uma estação de trabalho que tenha as Ferramentas de Administração de Servidor Remoto instaladas
Abra o Console de Gerenciamento de Política de Grupo.
Na árvore de console, clique com o botão direito do mouse no site para o qual você deseja definir a Política de Grupo.
Onde?
- Sites e serviços do Active Directory [Domain_Controller_Name.Domain_Name]/Sites/Site
Clique em uma entrada em Links do Objeto de Política de Grupo para selecionar um GPO (Objeto de Política de Grupo) existente e clique em Editar. Você também pode clicar em Novo para criar um novo GPO e clique em Editar.
Na árvore de console, clique em Políticas de restrição de software.
Onde
Objeto de Política de Grupo [ComputerName] configuração da política/computador ou
Configuração do Usuário/Configurações do Windows/Configurações de Segurança/Políticas de Restrição de Software
Observação
- Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada. Se o computador estiver em um domínio, é possível que os membros do grupo Admins. do Domínio possam executar esse procedimento.
- Para definir as configurações de política que serão aplicadas aos computadores, independentemente de quais usuários façam logon neles, clique em Configuração do Computador.
- Para definir as configurações de política que serão aplicadas aos usuários, independentemente de qual computador eles fizerem logon, clique em Configuração do Usuário.
Para criar novas políticas de restrição de software
Abra Políticas de Restrição de Software.
No menu Ação, clique em Novas Políticas de Restrição de Software.
Aviso
São necessárias diferentes credenciais administrativas para executar esse procedimento, dependendo do seu ambiente:
- Se você criar novas políticas de restrição de software para seu computador local: a associação no grupo local Administradores ou equivalente, será o mínimo necessário para concluir este procedimento.
- Se você criar novas políticas de restrição de software para um computador que ingressou em um domínio, os membros do grupo Administradores de Domínio poderão executar esse procedimento.
Se as políticas de restrição de software já tiverem sido criadas para um GPO (Objeto de Política de Grupo), o comando Novas Políticas de Restrição de Software não será exibido no menu Ação. Para excluir as políticas de restrição de software aplicadas a um GPO, na árvore de console, clique com o botão direito do mouse em Políticas de Restrição de Software e clique em Excluir Políticas de Restrição de Software. Ao excluir políticas de restrição de software de um GPO, você também pode excluir todas as regras de políticas de restrição de software referentes a esse GPO. Depois de criar as políticas de restrição de software, você pode criar novas políticas de restrição de software para esse GPO.
Para adicionar ou excluir um tipo de arquivo designado
Abra Políticas de Restrição de Software.
No painel de detalhes, clique duas vezes em Tipos de Arquivo Designados.
Realize um dos seguintes procedimentos:
Para adicionar um tipo de arquivo, em Extensão de nome de arquivo, digite a extensão do nome do arquivo e clique em Adicionar.
Para excluir um tipo de arquivo, em Tipos de arquivo designados, clique no tipo de arquivo e clique em Remover.
Observação
São necessárias diferentes credenciais administrativas para executar esse procedimento, dependendo do ambiente em que você adiciona ou exclui um tipo de arquivo designado:
- Se você adicionar ou excluir um tipo de arquivo designado para seu computador local: a associação no grupo local Administradores ou equivalente, será o mínimo necessário para concluir este procedimento.
- Se você criar novas políticas de restrição de software para um computador que ingressou em um domínio, os membros do grupo Administradores de Domínio poderão executar esse procedimento.
Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
A lista de tipos de arquivo designados é compartilhada por todas as regras para Configuração do Computador e Configuração do Usuário.
Para impedir que políticas de restrição de software sejam aplicadas a administradores locais
Abra Políticas de Restrição de Software.
No painel de detalhes, clique duas vezes em Imposição.
Em Aplicar políticas de restrição de software aos seguintes usuários, clique em Todos os usuários, exceto administradores locais.
Aviso
- A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento.
- Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
- Se for comum que os usuários sejam membros do grupo local de administradores nos computadores de sua organização, convém não habilitar essa opção.
- Se você estiver definindo uma configuração de política de restrição de software para o computador local, use esse procedimento para impedir que administradores locais tenham as políticas de restrição de software aplicadas a eles. Se estiver definindo uma configuração de política de restrição de software para a rede, filtre as configurações das políticas com base na associação a grupos de segurança usando a Política de Grupo.
Para alterar o nível de segurança padrão das políticas de restrição de software
Abra Políticas de Restrição de Software.
No painel de detalhes, clique duas vezes em Níveis de Segurança.
Clique com o botão direito do mouse no nível de segurança que você quer definir como padrão e clique em Definir como padrão.
Cuidado
Em determinados diretórios, a configuração do nível de segurança como Não Permitido pode prejudicar o sistema operacional.
Observação
- São necessárias diferentes credenciais administrativas para executar esse procedimento, dependendo do ambiente para o qual você altera o nível de segurança padrão das políticas de restrição de software.
- Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
- No painel de detalhes, o nível de segurança padrão atual é indicado por um círculo preto com uma marca de seleção nele. Se você clicar com o botão direito do mouse no nível de segurança padrão, o comando Definir como padrão não será exibido no menu.
- As regras de políticas de restrição de software são criadas para especificar exceções ao nível de segurança padrão. Quando o nível de segurança padrão for definido como Irrestrito, as regras poderão especificar software que não têm permissão para serem executados. Quando o nível de segurança padrão for definido como Não Permitido, as regras poderão especificar software que têm permissão para serem executados.
- Na instalação, o nível de segurança padrão das políticas de restrição de software em todos os arquivos no sistema é definido como Irrestrito.
Para aplicar as políticas de restrição de software a DLLs
Abra Políticas de Restrição de Software.
No painel de detalhes, clique duas vezes em Imposição.
Em Aplicar políticas de restrição de software a, clique em Todos os arquivos de software.
Observação
- Para executar esse procedimento, você deve ser membro do grupo Administradores no computador local ou deve ter recebido a autoridade apropriada. Se o computador estiver em um domínio, é possível que os membros do grupo Admins. do Domínio possam executar esse procedimento.
- Por padrão, as políticas de restrição de software não verificam DLLs (bibliotecas de links dinâmicos). A verificação de DLLs pode diminuir o desempenho do sistema, porque as políticas de restrição de software devem ser avaliadas sempre que uma DLL é carregada. Entretanto, você poderá optar por verificar as DLLs se estiver preocupado que receberá um vírus direcionado a DLLs. Se o nível de segurança padrão estiver definido como Não Permitido e você habilitar a verificação de DLLs, será necessário criar regras de políticas de restrição de software que permitam que cada DLL seja executada.