Testar e atualizar uma política do AppLocker
Este artigo aborda os passos necessários para testar uma política do AppLocker antes da implementação.
Deve testar cada conjunto de regras para garantir que as regras têm o desempenho pretendido. Se utilizar Política de Grupo para gerir as políticas do AppLocker, conclua os seguintes passos para cada Objeto de Política de Grupo (GPO) que contenha regras do AppLocker. Uma vez que as regras do AppLocker são herdadas de GPOs ligados, deve implementar todas as regras para testes simultâneos em todos os GPOs de teste.
Passo 1: Ativar a definição de imposição Apenas auditoria
Utilize a definição Modo de imposição apenas de auditoria para verificar se as regras do AppLocker estão corretamente configuradas para a sua organização sem bloquear qualquer código. Esta definição pode ser ativada no separador Imposição da caixa de diálogo Propriedades do AppLocker . Para obter informações sobre o procedimento para efetuar esta configuração, veja Configurar uma política appLocker apenas para auditoria.
Passo 2: Configurar o serviço de Identidade da Aplicação para iniciar automaticamente
Uma vez que o AppLocker utiliza o serviço Identidade da Aplicação para verificar os atributos de um ficheiro, tem de configurá-lo para iniciar automaticamente em qualquer GPO que aplique as regras do AppLocker. Para obter mais informações, veja Configurar o Serviço de Identidade da Aplicação. Se não implementar as políticas do AppLocker com um GPO, tem de garantir que o serviço está em execução em cada PC para que as políticas sejam aplicadas.
Passo 3: testar a política
Teste a política appLocker para determinar se a coleção de regras precisa de ser modificada. A sua política appLocker deve estar ativa no modo de auditoria apenas em todos os PCs cliente configurados para receber a política appLocker.
O cmdlet Test-AppLockerPolicy Windows PowerShell pode ser utilizado para determinar se algum dos códigos executados nos seus PCs de referência está bloqueado pelas regras na coleção de regras. Para obter informações sobre o procedimento para efetuar este teste, veja Testar uma política do AppLocker com Test-AppLockerPolicy.
Passo 4: Analisar eventos do AppLocker
Pode analisar manualmente eventos do AppLocker ou utilizar o cmdlet Get-AppLockerFileInformation Windows PowerShell para automatizar a análise.
Para analisar manualmente eventos do AppLocker
Utilize Visualizador de Eventos ou um editor de texto para ver e ordenar os eventos do AppLocker para análise. Pode procurar padrões em eventos de utilização de aplicações, frequências de acesso ou acesso por grupos de utilizadores. Se não tiver uma subscrição de evento configurada, pode rever os registos numa amostragem de computadores na sua organização. Para obter mais informações sobre como utilizar Visualizador de Eventos, veja Monitorizar a utilização de aplicações com o AppLocker.
Para analisar eventos do AppLocker com Get-AppLockerFileInformation
Pode utilizar o cmdlet Get-AppLockerFileInformation Windows PowerShell para analisar eventos do AppLocker a partir de um computador remoto. Se uma aplicação estiver a ser bloqueada e deve ser permitida, pode utilizar os cmdlets do AppLocker para ajudar a resolver o problema.
Para subscrições de eventos e eventos locais, pode utilizar o cmdlet Get-AppLockerFileInformation para determinar que ficheiros não eram permitidos pela sua política e quantas vezes o evento ocorreu para cada ficheiro. Para obter informações sobre o procedimento para fazer esta monitorização, veja Monitorizar a Utilização de Aplicações com o AppLocker.
Em seguida, deve rever a lista de regras para determinar se deve ser criada uma nova regra para o ficheiro bloqueado ou se uma regra existente está demasiado definida. Certifique-se de que marcar que GPO está atualmente a impedir a execução do ficheiro. Para determinar este GPO de bloqueador, pode utilizar o Assistente de Resultados do Política de Grupo para ver os nomes das regras.
Passo 5: Modificar a política do AppLocker
Assim que souber quais as regras que pretende editar ou adicionar à política, utilize a Consola de Gestão do Política de Grupo para modificar as regras do AppLocker nos GPOs relevantes. Se não gerir as políticas do AppLocker por um GPO, pode utilizar o snap-in Política de Segurança Local (secpol.msc). Para obter informações sobre como modificar uma política appLocker, consulte Editar uma política appLocker.
Passo 6: Repetir testes de política, análise e modificação de políticas
Repita os passos anteriores 3 a 5 até que todas as regras funcionem como pretendido antes de aplicar a imposição.
Outros recursos
- Para obter os passos para executar outras tarefas de política do AppLocker, veja Administrar o AppLocker.