Gerenciar aplicativos empacotados com o AppLocker
Este artigo para profissionais de TI descreve conceitos e lista procedimentos para ajudar você a gerenciar aplicativos empacotados com o AppLocker como parte de sua estratégia geral de controle de aplicativo.
Entender aplicativos empacotados e instaladores de aplicativos empacotados para AppLocker
Os aplicativos empacotados são baseados em um modelo que garante que todos os arquivos dentro de um pacote de aplicativo compartilhem a mesma identidade. Com aplicativos clássicos do Windows, cada arquivo dentro do aplicativo pode ter uma identidade exclusiva. Com aplicativos empacotados, é possível controlar todo o aplicativo usando uma única regra AppLocker.
Observação
O AppLocker dá suporte apenas a regras de editor para aplicativos empacotados. Todos os aplicativos empacotados devem ser assinados pelo editor de software porque o Windows não dá suporte a aplicativos empacotados não assinados.
Normalmente, um aplicativo consiste em vários componentes: o instalador usado para instalar o aplicativo e um ou mais exes, dlls ou scripts. Com aplicativos clássicos do Windows, nem todos esses componentes sempre compartilham atributos comuns, como o nome do editor do software, o nome do produto e a versão do produto. Portanto, o AppLocker controla cada um desses componentes separadamente por meio de diferentes coleções de regras, como regras exe, dll, script e Windows Installer. Em contraste, todos os componentes de um aplicativo empacotado compartilham os mesmos atributos de versão do editor, nome do pacote e pacote. Portanto, você pode controlar um aplicativo inteiro com uma única regra.
Comparando aplicativos clássicos do Windows e aplicativos empacotados
As regras para aplicativos clássicos do Windows e aplicativos empacotados podem ser impostas em conjunto. As diferenças entre aplicativos empacotados e aplicativos clássicos do Windows que você deve considerar incluem:
- Instalação dos aplicativos – Todos os aplicativos empacotados podem ser instalados por um usuário padrão, enquanto muitos aplicativos clássicos do Windows exigem privilégios administrativos para instalar. Em um ambiente em que a maioria dos usuários são usuários padrão, você pode precisar de menos regras exe (porque aplicativos clássicos do Windows exigem privilégios administrativos para instalar), mas talvez você precise de mais regras para aplicativos empacotados.
- Alteração do estado do sistema – aplicativos clássicos do Windows podem ser gravados para alterar o estado do sistema se forem executados com privilégios administrativos. A maioria dos aplicativos empacotados não pode alterar o estado do sistema porque eles são executados com privilégios limitados. Ao projetar suas políticas do AppLocker, é importante entender se um aplicativo que você está permitindo pode fazer alterações em todo o sistema.
O AppLocker usa diferentes coleções de regras para controlar aplicativos empacotados e aplicativos clássicos do Windows. Você tem a opção de controlar um tipo, o outro tipo ou ambos.
Para obter informações sobre como controlar aplicativos clássicos do Windows, consulte Administrar AppLocker.
Para obter mais informações sobre aplicativos empacotados, consulte Aplicativos empacotados e regras de instalador de aplicativo empacotado no AppLocker.
Decisões de design e implantação
Você pode usar dois métodos para criar um inventário de aplicativos empacotados em um computador: o console AppLocker ou o cmdlet Get-AppxPackage Windows PowerShell.
Observação
Nem todos os aplicativos empacotados estão listados no assistente de inventário de aplicativos do AppLocker. Determinados pacotes de aplicativos são pacotes de estrutura que são aproveitados por outros aplicativos. Por si só, esses pacotes não podem fazer nada, mas bloquear esses pacotes pode inadvertidamente causar falha para aplicativos que você deseja permitir. Em vez disso, você pode criar regras Permitir ou Negar para os aplicativos empacotados que usam esses pacotes de estrutura. A interface do usuário AppLocker filtra deliberadamente todos os pacotes registrados como pacotes de estrutura. Para obter informações sobre como criar uma lista de inventário, consulte Criar lista de aplicativos implantados em cada grupo de negócios.
Para obter informações sobre como usar o cmdlet Get-AppxPackage Windows PowerShell, consulte a Referência de Comando do AppLocker PowerShell.
Para obter informações sobre como criar regras para aplicativos empacotados, consulte Criar uma regra para aplicativos empacotados.
Considere as seguintes informações ao projetar e implantar aplicativos:
- Como o AppLocker dá suporte apenas a regras de editor para aplicativos empacotados, a coleta das informações do caminho de instalação para aplicativos empacotados não é necessária.
- Você não precisa criar regras baseadas em hash ou caminho para aplicativos empacotados, pois o editor de software deve assinar todos os aplicativos empacotados e instaladores de aplicativos empacotados. Os aplicativos clássicos do Windows nem sempre foram assinados de forma consistente; Portanto, o AppLocker precisa dar suporte a regras baseadas em hash ou de caminho.
- Por padrão, se não houver regras em uma coleção de regras específica, o AppLocker permitirá todos os arquivos incluídos nessa coleção de regras. Por exemplo, se não houver regras do Windows Installer, o AppLocker permitirá que todos os arquivos .msi, .msp e .mst sejam executados.
Observação
Por padrão, o AppLocker bloqueará todos os aplicativos empacotados se a política de domínio existente tiver regras configuradas na coleção de regras exe. Você deve tomar medidas explícitas para permitir aplicativos empacotados em sua empresa. Você pode permitir apenas um conjunto selecionado de aplicativos empacotados. Ou se você quiser permitir todos os aplicativos empacotados, você pode criar uma regra padrão para a coleção de aplicativos empacotados.
Usando o AppLocker para gerenciar aplicativos empacotados
Assim como há diferenças no gerenciamento de cada coleção de regras, você precisa gerenciar os aplicativos empacotados com a seguinte estratégia:
Colete informações sobre quais aplicativos empacotados estão em execução em seu ambiente. Para obter informações sobre como coletar essas informações, confira Criar lista de aplicativos implantados em cada grupo empresarial.
Crie regras do AppLocker para aplicativos empacotados específicos com base em suas estratégias de política. Para obter mais informações, consulte Criar uma regra para aplicativos empacotados e entender regras padrão do AppLocker.
Continue atualizando as políticas do AppLocker à medida que novos aplicativos de pacote são introduzidos em seu ambiente. Para fazer essa atualização, consulte Adicionar regras para aplicativos empacotados ao conjunto de regras existente do AppLocker.
Continue monitorando seu ambiente para verificar a eficácia das regras implantadas nas políticas do AppLocker. Para fazer esse monitoramento, consulte Monitorar o uso do aplicativo com o AppLocker.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de