Monitorar o uso de aplicativos com o AppLocker
Este artigo para profissionais de TI descreve como monitorizar a utilização de aplicações quando as políticas do AppLocker são aplicadas.
Depois de implementar as políticas do AppLocker, monitorize o respetivo efeito nos dispositivos para garantir que os resultados são os esperados.
Descobrir o efeito de uma política appLocker
Pode avaliar como a política appLocker está atualmente implementada para fins de documentação ou auditoria ou antes de modificar a política. Atualizar o documento de Planeamento da Implementação de Políticas do AppLocker ajuda-o a monitorizar as suas conclusões. Pode efetuar um ou mais dos seguintes passos para compreender que controlos de aplicação são atualmente aplicados através das regras do AppLocker.
Analisar os registos do AppLocker no Visualizador de Eventos
Quando a imposição de política do AppLocker está definida como Impor regras, todos os ficheiros que não são permitidos pela sua política são bloqueados. Nesse caso, é gerado um evento no registo de eventos do AppLocker para a coleção de regras. Quando a imposição de política do AppLocker está definida como Apenas auditoria, as regras não são impostas, mas ainda são avaliadas para gerar dados de eventos de auditoria que são escritos nos registos do AppLocker.
Para obter mais informações sobre o procedimento para aceder ao registo, consulte Ver o Início de Sessão do AppLocker Visualizador de Eventos.
Ativar a definição de imposição Apenas auditoria do AppLocker
Ao utilizar a definição de imposição Apenas auditoria, pode garantir que as regras do AppLocker estão corretamente configuradas para a sua organização. Quando a imposição de política do AppLocker está definida como Apenas auditoria, as regras só são avaliadas, mas todos os eventos gerados a partir dessa avaliação são escritos no registo do AppLocker.
Para obter mais informações sobre o procedimento para efetuar esta configuração, veja Configurar uma política appLocker apenas para auditoria.
Rever eventos do AppLocker com Get-AppLockerFileInformation
Para subscrições de eventos e eventos locais, pode utilizar o cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar que ficheiros foram bloqueados ou seriam bloqueados (se estiver a utilizar o modo de imposição apenas de auditoria) e quantas vezes ocorreu o evento de bloqueio para cada ficheiro.
Para obter mais informações sobre o procedimento para efetuar esta verificação, veja Rever Eventos do AppLocker com Get-AppLockerFileInformation.
Rever eventos do AppLocker com Test-AppLockerPolicy
Pode utilizar o cmdlet Test-AppLockerPolicy Windows PowerShell para determinar se alguma das regras nas coleções de regras afeta os ficheiros executados no seu dispositivo de referência ou no dispositivo no qual mantém as políticas.
Para obter mais informações sobre o procedimento para efetuar este teste, consulte Testar uma política appLocker com Test-AppLockerPolicy.
Rever eventos do AppLocker com Get-AppLockerFileInformation
Para subscrições de eventos e eventos locais, pode utilizar o cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar que ficheiros foram bloqueados ou seriam bloqueados (se a definição de imposição Apenas auditoria for aplicada) e quantas vezes ocorreu o evento de bloqueio para cada ficheiro.
A associação ao grupo local Administradores , ou equivalente, é o mínimo necessário para concluir este procedimento.
Observação
Se os registos do AppLocker não estiverem no seu dispositivo local, precisará de permissão para ver os registos. Se a saída for guardada num ficheiro, precisará de permissão para ler esse ficheiro.
Para rever os eventos do AppLocker com Get-AppLockerFileInformation
Na linha de comandos, escreva PowerShell e, em seguida, selecione ENTER.
Execute o seguinte comando para rever quantas vezes a política do AppLocker não permitiu um ficheiro:
Get-AppLockerFileInformation -EventLog -EventType Audited -StatisticsExecute o seguinte comando para rever quantas vezes um ficheiro foi autorizado a ser executado ou impedido de ser executado:
Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
Ver o Início de Sessão do AppLocker Visualizador de Eventos
Quando a imposição de política do AppLocker está definida como Impor regras, todos os ficheiros que não são permitidos pela sua política são bloqueados. Nesse caso, é gerado um evento no registo de eventos do AppLocker para a coleção de regras. Quando a imposição de política do AppLocker está definida como Apenas auditoria, as regras não são impostas, mas ainda são avaliadas para gerar dados de eventos de auditoria que são escritos nos registos do AppLocker.
A associação ao grupo local Administradores , ou equivalente, é o mínimo necessário para concluir este procedimento.
Para ver eventos no registo do AppLocker com Visualizador de Eventos
- Para abrir Visualizador de Eventos, aceda ao menu Iniciar, escreva eventvwr.msc e, em seguida, selecione ENTER.
- Na árvore da consola, em Registos de Aplicações e Serviços\Microsoft\Windows, faça duplo clique em AppLocker.
Os eventos do AppLocker estão listados no registo EXE e DLL , no msi e no registo script ou no registo Implementação de aplicações em pacote ou Execução de aplicações em pacote . As informações do evento incluem a definição de imposição, o nome de ficheiro, a data e a hora e o nome de utilizador. Os registos podem ser exportados para outros formatos de ficheiro para análise adicional.