Trabalhar com regras de políticas de restrição de software

Aplica-se a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2 e Windows Server 2012

Este tópico descreve procedimentos para trabalhar com regras de certificado, caminho, zona da Internet e hash usando as Políticas de Restrição de Software.

Introdução

Com as políticas de restrição de software, você pode proteger o ambiente de computação contra software não confiável identificando e especificando quais itens de software podem ser executados. Você pode definir um nível de segurança padrão de Irrestrito ou Não Permitido para um GPO (Objeto de Política de Grupo) para que o software tenha ou não permissão de ser executado por padrão. Você pode criar exceções para esse nível de segurança padrão criando regras de políticas de restrição de software para softwares específicos. Por exemplo, se o nível de segurança padrão for definido como Não Permitido, você poderá criar regras que permitam que software específico seja executado. Os tipos de regras são os seguintes:

• Regras de certificado

  Para procedimentos, consulte o artigo sobre trabalho com regras de certificado.

• Regras de hash

  Para procedimentos, consulte o artigo sobre trabalho com regras de hash.

• Regras de zona da Internet

  Para procedimentos, confira Trabalhando com regras de Zona da Internet.

• Regras de caminho

  Para procedimentos, consulte o artigo sobre trabalho com regras de caminho.

Para obter informações sobre outras tarefas para gerenciar Políticas de Restrição de Software, confira Administrar Políticas de Restrição de Software.

Trabalhando com regras de certificado

As políticas de restrição de software também podem identificar o software pelo certificado de autenticação. Você pode criar uma regra de certificado que identifica software e que permite ou não que ele seja executado, dependendo do nível de segurança. Por exemplo, você pode usar regras de certificado para confiar automaticamente em software de uma fonte confiável em um domínio sem solicitar informações do usuário. Também pode usar regras de certificado para executar arquivos em áreas não permitidas do sistema operacional. As regras de certificado não são habilitadas por padrão.

Quando regras são criadas para o domínio usando a Política de Grupo, você precisa ter permissões para criar ou modificar um Objeto de Política de Grupo. Se estiver criando regras para o computador local, você deverá ter credenciais administrativas nesse computador.

Para criar uma regra de certificado

1. Abra Políticas de Restrição de Software.

2. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse em Regras Adicionais e clique em Nova Regra de Certificado.

3. Clique em Procurar e selecione um certificado ou arquivo assinado.

4. Em Nível de segurança, clique em Não Permitido ou em Irrestrito.

5. Em Descrição, digite uma descrição para essa regra e clique em OK.

Observação

• Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
• As regras de certificado não são habilitadas por padrão.
• Os únicos tipos de arquivos afetados pelas regras de certificado são aqueles listados em Tipos de arquivo designados no painel de detalhes para Políticas de Restrição de Software. Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
• Para que as políticas de restrição de software tenham efeito, os usuários precisam atualizar as configurações de política fazendo logoff e depois logon nos computadores.
• Quando mais de uma regra de política de restrição de software é aplicada às configurações da política, há uma precedência de regras para lidar com conflitos.

Habilitando as regras de certificado

Há diferentes procedimentos para habilitar as regras de certificado dependendo do seu ambiente:

• Para o computador local

• Para um Objeto de Política de Grupo, e você está em um servidor ingressado em um domínio

• Para um Objeto de Política de Grupo, e você está em um controlador de domínio ou em uma estação de trabalho que tem as Ferramentas de Administração de Servidor Remoto instaladas

• Somente para controladores de domínio, e você está em um controlador de domínio ou em uma estação de trabalho que tem o Pacote de Ferramentas de Administração de Servidor Remoto instalado

Para habilitar regras de certificado para o computador local

1. Abra as Configurações de Segurança Locais.

2. Na árvore de console, clique em Opções de Segurança localizado em Configurações de Segurança/Políticas Locais.

3. No painel de detalhes, clique duas vezes em Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software.

4. Siga um destes procedimentos e clique em OK:

   • Para habilitar as regras de certificado, clique em Habilitado.

   • Para desabilitar as regras de certificado, clique em Desabilitado.

Para habilitar regras de certificado para um Objeto de Política de Grupo, e você está em um servidor ingressado em um domínio

1. Abra o MMC (Console de Gerenciamento Microsoft).

2. No menu Arquivo, clique em Adicionar ou Remover snap-in e clique em Adicionar.

3. Clique em Editor de Objeto de Política de Grupo Local e clique em Adicionar.

4. Em Selecionar Objeto de Política de Grupo, clique em Procurar.

5. Em Procurar um Objeto de Política de Grupo, selecione um GPO (Objeto de Política de Grupo) no domínio, no site ou na unidade organizacional apropriada (ou crie um novo) e clique em Concluir.

6. Clique em Fechare clique em OK.

7. Na árvore de console, clique em Opções de Segurança, localizado em GroupPolicyObject [NomeDoComputador] Política/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas Locais/.

8. No painel de detalhes, clique duas vezes em Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software.

9. Se essa configuração de política não tiver sido definida ainda, marque a caixa de seleção Definir estas configurações de políticas.

10. Siga um destes procedimentos e clique em OK:

    • Para habilitar as regras de certificado, clique em Habilitado.

    • Para desabilitar as regras de certificado, clique em Desabilitado.

Para habilitar regras de certificado para um Objeto de Política de Grupo, e você está em um controlador de domínio ou em uma estação de trabalho que tem as Ferramentas de Administração de Servidor Remoto instaladas

1. Abra Usuários e Computadores do Active Directory.

2. Na árvore de console, clique com o botão direito do mouse no GPO (Objeto de Política de Grupo) para o qual você quer habilitar as regras de certificado.

3. Clique em Propriedades e clique na guia Política de Grupo.

4. Clique em Editar para abrir o GPO que quer editar. Você também pode clicar em Novo para criar um novo GPO e clique em Editar.

5. Na árvore de console, clique em Opções de Segurança, localizado em GroupPolicyObject [NomeDoComputador] Política/Configuração do Computador/Configurações do Windows/Configurações de Segurança/Políticas Locais.

6. No painel de detalhes, clique duas vezes em Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software.

7. Se essa configuração de política não tiver sido definida ainda, marque a caixa de seleção Definir estas configurações de políticas.

8. Siga um destes procedimentos e clique em OK:

   • Para habilitar as regras de certificado, clique em Habilitado.

   • Para desabilitar as regras de certificado, clique em Desabilitado.

Para habilitar regras de certificado somente para controladores de domínio, e você está em um controlador de domínio ou em uma estação de trabalho que tem as Ferramentas de Administração de Servidor Remoto instaladas

1. Abra as Configurações de Segurança do Controlador de Domínio.

2. Na árvore de console, clique em Opções de Segurança, localizado em GroupPolicyObject [Nome_do_Computador] Política/Configuração do computador/Configurações do Windows/Configurações de segurança/Políticas locais.

3. No painel de detalhes, clique duas vezes em Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para políticas de restrição de software.

4. Se essa configuração de política não tiver sido definida ainda, marque a caixa de seleção Definir estas configurações de políticas.

5. Siga um destes procedimentos e clique em OK:

   • Para habilitar as regras de certificado, clique em Habilitado.

   • Para desabilitar as regras de certificado, clique em Desabilitado.

Observação

Você deve executar esse procedimento antes que as regras de certificado possam surtir efeito.

Definir opções de distribuidor confiável

A assinatura de software está sendo usada por um crescente número de fornecedores de software e desenvolvedores de aplicativo para verificar se os aplicativos vêm de uma origem confiável. Porém, muitos usuários não entendem ou prestam pouca atenção aos certificados de autenticação associados a aplicativos que instalam.

As configurações de políticas na guia Fornecedores Confiáveis da política de validação de caminho do certificado permitem que administradores controlem os certificados que podem ser aceitos por virem de um fornecedor confiável.

Para configurar as definições de política de fornecedores confiáveis para um computador local

1. Na tela Início, digite gpedit.msc e pressione ENTER.

2. Na árvore de console em Política do Computador Local\Configuração do Computador\Configurações do Windows\Configurações de Segurança, clique em Políticas de Chave Pública.

3. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Fornecedores Confiáveis.

4. Marque a caixa de seleção Definir estas configurações de política, selecione as configurações de política que deseja aplicar e clique em OK para aplicar as novas configurações.

Para definir as configurações da política de fornecedores confiáveis para um domínio

1. Abra Gerenciamento de Política de Grupo.

2. Na árvore de console, clique duas vezes em Objetos de Política de Grupo na floresta e no domínio que contêm o GPO (Objeto de Política de Grupo) Política de Domínio Padrão que você quer editar.

3. Clique com o botão direito do mouse no GPO Política de Domínio Padrão e clique em Editar.

4. Na árvore de console em Configuração do Computador\Configurações do Windows\Configurações de Segurança, clique em Políticas de Chave Pública.

5. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Fornecedores Confiáveis.

6. Marque a caixa de seleção Definir estas configurações de política, selecione as configurações de política que deseja aplicar e clique em OK para aplicar as novas configurações.

Para permitir que apenas administradores gerenciem certificados usados na assinatura de códigos de um computador local

1. Na tela Início, digite gpedit.msc em Pesquisar programas e arquivos ou, no Windows 8, na Área de Trabalho, e pressione ENTER.

2. Na árvore de console, em Política de Domínio Padrão ou Política de Computador Local, clique duas vezes em Configuração do Computador, Configurações do Windows, Configurações de Segurança e clique em Políticas de Chave Pública.

3. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Fornecedores Confiáveis.

4. Marque a caixa de seleção Definir estas configurações de políticas.

5. Em Gerenciamento de fornecedores confiáveis, clique em Permitir que somente todos os administradores gerenciem os Fornecedores Confiáveis e clique em OK para aplicar as novas configurações.

Para permitir que somente administradores gerenciem certificados usados na assinatura de códigos de um domínio

1. Abra Gerenciamento de Política de Grupo.

2. Na árvore de console, clique duas vezes em Objetos de Política de Grupo na floresta e no domínio que contêm o GPO Política de Domínio Padrão que você deseja editar.

3. Clique com o botão direito do mouse no GPO Política de Domínio Padrão e clique em Editar.

4. Na árvore de console em Configuração do Computador\Configurações do Windows\Configurações de Segurança, clique em Políticas de Chave Pública.

5. Clique duas vezes em Configurações de Validação de Caminho do Certificado e clique na guia Fornecedores Confiáveis.

6. Marque a caixa de seleção Definir estas configurações de política, implemente as alterações desejadas e clique em OK para aplicar as novas configurações.

Trabalhando com regras de hash

Um hash é uma série de bytes com comprimento fixo que identifica exclusivamente um programa de software ou arquivo. O hash é calculado por um algoritmo de hash. Quando uma regra de hash é criada para um programa de software, as políticas de restrição de software calculam um hash do programa. Quando um usuário tenta abrir um programa de software, um hash do programa é comparado com as regras de hash existentes para as políticas de restrição de software. O hash de um programa de software sempre é o mesmo, independentemente de onde o programa está localizado no computador. Entretanto, se um programa de software for alterado de alguma maneira, seu hash também será alterado e ele não corresponderá mais ao hash na regra de hash para políticas de restrição de software.

Por exemplo, é possível criar uma regra de hash e definir o nível de segurança como Não Permitido para impedir que os usuários executem um determinado arquivo. Um arquivo pode ser renomeado ou movido para outra pasta e ainda resultar no mesmo hash. Entretanto, quaisquer alterações no arquivo em si também alteram seu valor hash e permitem que o arquivo ignore as restrições.

Para criar uma regra de hash

1. Abra Políticas de Restrição de Software.

2. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse em Regras Adicionais e clique em Nova Regra de Hash.

3. Clicar em Procurar para encontrar um arquivo.

   Observação

   No Windows XP, é possível colar um hash pré-calculado no Hash de arquivo. No Windows Server 2008 R2 , Windows 7 e versões posteriores, essa opção não está disponível.

4. Em Nível de segurança, clique em Não Permitido ou em Irrestrito.

5. Em Descrição, digite uma descrição para essa regra e clique em OK.

Observação

• Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
• Uma regra de hash pode ser criada para impedir que um vírus ou um cavalo de Troia seja executado.
• Se você quiser que outras pessoas usem uma regra de hash para que um vírus não possa ser executado, calcule o hash do vírus usando políticas de restrição de software e envie por email o valor de hash para essas pessoas. Nunca envie o próprio vírus por email.
• Se um vírus tiver sido enviado por email, você também poderá criar uma regra de caminho para impedir a execução de anexos de email.
• Um arquivo que é renomeado ou movido para outra pasta resulta no mesmo hash. Qualquer alteração no próprio arquivo resulta em um hash diferente.
• Os únicos tipos de arquivos afetados pelas regras de hash são aqueles listados em Tipos de Arquivo Designados no painel de detalhes para Políticas de Restrição de Software. Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
• Para que as políticas de restrição de software tenham efeito, os usuários precisam atualizar as configurações de política fazendo logoff e depois logon nos computadores.
• Quando mais de uma regra de política de restrição de software é aplicada às configurações da política, há uma precedência de regras para lidar com conflitos.

Trabalhando com regras de Zona da Internet

As regras de zona da Internet se aplicam somente aos pacotes do Windows Installer. Uma zona da Internet pode identificar software de uma zona especificada pelo Internet Explorer. Essas zonas são Internet, Intranet local, Sites restritos, Sites confiáveis e Meu Computador. Uma regra de Zona da Internet tem a finalidade de impedir que os usuários baixem e instalem software.

Para criar uma regra de zona da Internet

1. Abra Políticas de Restrição de Software.

2. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse em Regras Adicionais e clique em Nova Regra de Zona da Internet.

3. Em Zona da Internet, clique em uma zona da Internet.

4. Em Nível de segurança, clique em Não Permitido ou em Irrestrito e clique em OK.

Observação

• Talvez seja necessário criar uma nova configuração de política de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
• As regras de zona se aplicam somente a arquivos com um tipo de arquivo .msi, que são pacotes do Windows Installer.
• Para que as políticas de restrição de software tenham efeito, os usuários precisam atualizar as configurações de política fazendo logoff e depois logon nos computadores.
• Quando mais de uma regra de política de restrição de software é aplicada às configurações da política, há uma precedência de regras para lidar com conflitos.

Trabalhando com regras de caminho

Uma regra de caminho identifica o software pelo respectivo caminho de arquivo. Por exemplo, se você tiver um computador com nível de segurança padrão de Não Permitido, ainda assim poderá conceder acesso irrestrito a uma pasta específica para cada usuário. Você pode criar uma regra de caminho usando o caminho de arquivo e definindo o nível de segurança como Irrestrito. Alguns caminhos comuns para esse tipo de regra são %userprofile%, %windir%, %appdata%, %programfiles% e %temp%. Você também pode criar regras de caminho do Registro que usam a chave do Registro do software como caminho.

Como essas regras são especificadas pelo caminho, se um programa de software for movido, a regra de caminho não será mais aplicada.

Para criar uma regra de caminho

1. Abra Políticas de Restrição de Software.

2. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse em Regras Adicionais e clique em Nova Regra de Caminho.

3. Em Caminho, digite um caminho, ou clique em Procurar para encontrar um arquivo ou pasta.

4. Em Nível de segurança, clique em Não Permitido ou em Irrestrito.

5. Em Descrição, digite uma descrição para essa regra e clique em OK.

Cuidado

• Em determinadas pastas, como a pasta do Windows, definir o nível de segurança como Não Permitido pode prejudicar a operação do sistema operacional. Verifique se você permitiu um componente crucial do sistema operacional ou um de seus programas dependentes.

Observação

• Talvez seja necessário criar novas políticas de restrição de software para o GPO (Objeto de Política de Grupo), se você ainda não tiver feito isso.
• Se você criar uma regra de caminho para software com um nível de segurança Não Permitido, os usuários ainda poderão executar o software copiando-o para outro local.
• Os caracteres curinga com suporte na regra de caminho são * e ?.
• Você pode usar variáveis de ambiente, como %programfiles% ou %systemroot%, na regra de caminho.
• Se você quiser criar uma regra de caminho para software quando não souber onde ela está armazenada em um computador, mas tiver a respectiva chave do Registro, será possível criar uma regra de caminho do Registro.
• Para impedir que os usuários executem anexos de email, você pode criar uma regra de caminho para o diretório de anexos do programa de email que impeça os usuários de executá-los.
• Os únicos tipos de arquivos afetados pelas regras de caminho são aqueles listados em Tipos de Arquivo Designados no painel de detalhes para Políticas de Restrição de Software. Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
• Para que as políticas de restrição de software tenham efeito, os usuários precisam atualizar as configurações de política fazendo logoff e depois logon nos computadores.
• Quando mais de uma regra de política de restrição de software é aplicada às configurações da política, há uma precedência de regras para lidar com conflitos.

Para criar uma regra de caminho do Registro

1. Na tela Início, digite regedit.

2. Na árvore de console, clique com o botão direito do mouse na chave do Registro para a qual deseja criar uma regra e clique em Copiar Nome da Chave. Observe o nome do valor no painel de detalhes.

3. Abra Políticas de Restrição de Software.

4. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse em Regras Adicionais e clique em Nova Regra de Caminho.

5. Em Caminho, cole o nome da chave de registro seguido pelo nome do valor.

6. Coloque o caminho do registro entre sinais de porcentagem, por exemplo, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

7. Em Nível de segurança, clique em Não Permitido ou em Irrestrito.

8. Em Descrição, digite uma descrição para essa regra e clique em OK.