Planejar o gerenciamento de políticas do AppLocker
Este artigo descreve as decisões que você precisa tomar para estabelecer os processos para gerenciar e manter as políticas do AppLocker.
Gerenciamento de políticas
Antes de iniciar o processo de implantação, considere gerenciar suas regras do AppLocker ao longo do tempo. Desenvolver um processo para gerenciar regras do AppLocker ajuda a garantir que o AppLocker continue a controlar efetivamente como os aplicativos podem ser executados em sua organização.
Política de suporte ao aplicativo e ao usuário
Desenvolver um processo para gerenciar regras do AppLocker ajuda a garantir que o AppLocker continue a controlar efetivamente como os aplicativos podem ser executados em sua organização. As considerações incluem:
- Que tipo de suporte ao usuário final é fornecido para aplicativos bloqueados?
- Como as novas regras são adicionadas à política?
- Como as regras existentes são atualizadas?
- Os eventos são encaminhados para revisão?
Suporte ao help desk
Se sua organização tiver um departamento de suporte ao help desk estabelecido em vigor, considere os seguintes pontos ao implantar políticas do AppLocker:
- Qual documentação seu departamento de suporte exige para novas implantações de políticas?
- Quais são os processos críticos em cada grupo de negócios afetados pelas políticas de controle de aplicativos e como eles podem afetar a carga de trabalho do departamento de suporte?
- Quem são os contatos no departamento de suporte?
- Como os problemas de controle de aplicativo são resolvidos para o usuário final?
Suporte ao usuário final
Como o AppLocker impede a execução de aplicativos não aprovados, é importante que sua organização planeje cuidadosamente como fornecer suporte ao usuário final. As considerações incluem:
- Deseja usar um site de intranet como linha de frente de suporte para usuários que encontram aplicativos bloqueados?
- Como você deseja dar suporte a exceções à política?
Usando um site de intranet
O AppLocker pode ser configurado para exibir a mensagem de bloco padrão, mas com uma URL personalizada. Você pode usar essa URL para redirecionar os usuários para um site de suporte que contém informações sobre por que o usuário recebeu o erro e quais aplicativos são permitidos. Se você não exibir uma URL personalizada para a mensagem quando um aplicativo é bloqueado, a URL padrão será usada.
A imagem a seguir mostra um exemplo da mensagem de erro de um aplicativo bloqueado. Você pode usar a configuração Definir uma política de link web de suporte para personalizar o link Mais informações .
Para obter etapas para exibir uma URL personalizada para a mensagem, consulte Exibir uma mensagem de URL personalizada quando os usuários tentarem executar um aplicativo bloqueado.
Gerenciamento de eventos do AppLocker
Sempre que um processo tenta ser executado, o AppLocker cria um evento no log de eventos do AppLocker. O evento inclui informações sobre o arquivo que tentou executar, o usuário que o iniciou e o GUID da regra AppLocker que bloqueou ou permitiu o arquivo. O log de eventos do AppLocker está localizado no seguinte caminho: Logs de Aplicativos e Serviços\Microsoft\Windows\AppLocker. O log do AppLocker inclui três logs:
- EXE e DLL. Contém eventos para todos os arquivos afetados pelas coleções de regras executáveis e DLL (.exe, .com, .dll e .ocx).
- MSI e Script. Contém eventos para todos os arquivos afetados pelas coleções de regras do Windows Installer e script (.msi, .msp, .ps1, .bat, .cmd, .vbs e .js).
- A implantação de aplicativo empacotada ou a execução empacotada do aplicativo contém eventos para todos os aplicativos Universais do Windows afetados pelo aplicativo empacotado e pela coleção de regras do instalador de aplicativos empacotado (.appx).
Coletar esses eventos em um local central pode ajudá-lo a manter sua política appLocker e solucionar problemas de configuração de regras.
Manutenção de política
À medida que os aplicativos são implantados, atualizados ou desativados, você precisa manter suas regras de política atualizadas.
Você pode editar uma política do AppLocker adicionando, alterando ou removendo regras. No entanto, você não pode especificar uma versão para a política importando mais regras. Para garantir o controle de versão ao modificar uma política do AppLocker, use Política de Grupo software de gerenciamento que permite criar versões de Política de Grupo Objects (GPOs). Um exemplo desse tipo de software é o recurso Gerenciamento avançado de Política de Grupo do Pacote de Otimização da Área de Trabalho da Microsoft. Para obter mais informações, consulte Visão geral de gerenciamento de Política de Grupo avançada.
Importante
Você não deve editar uma coleção de regras do AppLocker enquanto ela estiver sendo imposta no Política de Grupo. Como o AppLocker controla quais arquivos podem ser executados, fazer alterações em uma política ao vivo pode criar um comportamento inesperado.
Nova versão de um aplicativo com suporte
Quando uma nova versão de um aplicativo é implantada na organização, você precisa determinar se deve continuar a dar suporte à versão anterior desse aplicativo. Para adicionar a nova versão, talvez você só precise criar uma nova regra para cada arquivo associado ao aplicativo. Se você estiver usando condições de editor e a versão não for especificada, a regra ou as regras existentes poderão ser suficientes para permitir que o arquivo atualizado seja executado. Você deve marcar, no entanto, para nomes de arquivo que alteram ou novos arquivos adicionados. Nesse caso, você deve modificar as regras existentes ou criar novas regras. Talvez seja necessário atualizar regras baseadas em editor para arquivos cuja assinatura digital é alterada.
Para determinar se um arquivo foi alterado durante uma atualização de aplicativo, examine os detalhes da versão do editor fornecidos com o pacote de atualização. Você também pode examinar a página da Web do editor para recuperar essas informações. Cada arquivo também pode ser inspecionado para determinar a versão.
Para arquivos permitidos ou negados com condições de hash de arquivo, você deve recuperar o novo hash do arquivo e garantir que suas regras incluam esse novo hash.
Para arquivos com condições de caminho, verifique se o caminho de instalação é o mesmo. Se o caminho for alterado, você precisará adicionar uma regra para o novo caminho antes de instalar a nova versão do aplicativo.
Aplicativo implantado recentemente
Para dar suporte a um novo aplicativo, você deve adicionar uma ou mais regras à política do AppLocker existente.
O aplicativo não tem mais suporte
Se sua organização não der mais suporte a um aplicativo que tenha regras do AppLocker associadas a ele, você poderá excluir as regras para bloquear o aplicativo.
O aplicativo está bloqueado, mas deve ser permitido
Um arquivo pode ser bloqueado por três motivos:
- O motivo mais comum é que nenhuma regra existe para permitir que o aplicativo seja executado.
- Pode haver uma regra existente que foi criada para o arquivo que é muito restritiva.
- Uma regra de negação, que não pode ser substituída, está bloqueando explicitamente o arquivo.
Antes de editar a coleção de regras, primeiro determine qual regra está impedindo a execução do arquivo. Você pode solucionar problemas usando o cmdlet test-AppLockerPolicy Windows PowerShell. Para obter mais informações sobre como solucionar problemas de uma política do AppLocker, consulte Testando e atualizando uma política AppLocker.
Registrar suas descobertas
Para concluir este documento de planejamento do AppLocker, primeiro você deve concluir as seguintes etapas:
- Determinar seus objetivos de controle do aplicativo
- Criar uma lista de aplicativos implantados para cada grupo comercial
- Selecionar os tipos de regras que serão criados
- Determinar a estrutura da Política de Grupo e a imposição de regras
- Planejar o gerenciamento de políticas do AppLocker
As três principais áreas a serem determinadas para o gerenciamento de políticas do AppLocker são:
Política de suporte
Documente seu processo para lidar com chamadas de usuários que tentaram executar um aplicativo bloqueado e verifique se o pessoal de suporte conhece as etapas recomendadas de solução de problemas e os pontos de escalonamento para sua política.
Processamento de eventos
Documento em que eventos são coletados, com que frequência são arquivados e como os eventos são processados para análise.
Manutenção de política
Detalhe seus planos de manutenção de política e ciclo de vida.
A tabela a seguir contém os dados de exemplo adicionados que foram coletados ao determinar como manter e gerenciar políticas do AppLocker.
| Grupo empresarial | Unidade organizacional | Implementar o AppLocker? | Aplicativos | Caminho de instalação | Usar regra padrão ou definir nova condição de regra | Permitir ou negar | Nome do GPO | Política de suporte |
|---|---|---|---|---|---|---|---|---|
| Caixas bancárias | Teller-East e Teller-West | Sim | Teller Software | C:\Programa Files\Woodgrove\Teller.exe | O arquivo está assinado; criar uma condição de editor | Permitido | Tellers-AppLockerTellerRules | Ajuda da Web |
| Arquivos do Windows | C:\windows | Criar uma exceção de caminho para a regra padrão para excluir \Windows\Temp | Permitido | Help desk | ||||
| Recursos Humanos | HR-All | Sim | Verificar pagamento | C:\Programa Files\Woodgrove\HR\Checkcut.exe | O arquivo está assinado; criar uma condição de editor | Permitido | HR-AppLockerHRRules | Ajuda da Web |
| Organizador da Folha de Tempo | C:\Programa Files\Woodgrove\HR\Timesheet.exe | O arquivo não está assinado; criar uma condição de hash de arquivo | Permitido | Ajuda da Web | ||||
| Internet Explorer 7 | C:\Arquivos do Programa\Internet Explorer | O arquivo está assinado; criar uma condição de editor | Negado | Ajuda da Web | ||||
| Arquivos do Windows | C:\windows | Usar a regra padrão para o caminho do Windows | Permitido | Help desk |
As duas tabelas a seguir ilustram exemplos de documentação de considerações para manter e gerenciar políticas do AppLocker.
Política de processamento de eventos
Um método de descoberta para uso do aplicativo é definir o modo de aplicação do AppLocker como Somente Auditoria. Esse modo de aplicação grava eventos nos logs do AppLocker, que podem ser gerenciados e analisados como outros logs do Windows. Depois que os aplicativos forem identificados, você poderá começar a desenvolver políticas sobre o processamento e o acesso aos eventos appLocker.
A tabela a seguir é um exemplo do que considerar e registrar.
| Grupo empresarial | Local da coleção de eventos AppLocker | Política de arquivamento | Analisados? | Política de segurança |
|---|---|---|---|---|
| Caixas bancárias | Encaminhado para: Repositório de Eventos AppLocker em srvBT093 | Standard | Nenhum | Standard |
| Recursos Humanos | NÃO ENCAMINHE. srvHR004 | 60 meses | Sim, relatórios de resumo mensalmente para gerentes | Standard |
Política de manutenção de política
Comece a documentar como você pretende atualizar suas políticas de controle de aplicativo.
A tabela a seguir é um exemplo do que considerar e registrar.
| Grupo empresarial | Política de atualização de regra | Política de descomissionamento de aplicativos | Política de versão do aplicativo | Política de implantação de aplicativo |
|---|---|---|---|---|
| Caixas bancárias | Planejado: Triagem mensal por meio de escritório de negócios Emergência: solicitar por meio do help desk |
Por meio da triagem do escritório de negócios Aviso de 30 dias necessário |
Política geral: manter versões passadas por 12 meses Listar políticas para cada aplicativo |
Coordenado por meio do escritório de negócios Aviso de 30 dias necessário |
| Recursos Humanos | Planejado: triagem mensal por meio de RH Emergência: solicitar por meio do help desk |
Por meio da triagem de RH Aviso de 30 dias necessário |
Política geral: manter versões passadas por 60 meses Listar políticas para cada aplicativo |
Coordenado por meio do RH Aviso de 30 dias necessário |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de