Entender as decisões de design de política do AppLocker
Este artigo descreve perguntas de design do AppLocker, possíveis respostas e outras considerações ao planejar uma implantação de políticas de controle de aplicativo usando o AppLocker.
Ao iniciar o processo de design e planejamento, você deve considerar o efeito de suas escolhas de design. As decisões resultantes afetam seu esquema de implantação de política e a manutenção subsequente da política de controle de aplicativo.
Considere usar o AppLocker como parte das políticas de controle de aplicativo da sua organização se todos os seguintes forem verdadeiros:
- Você está executando versões com suporte do Windows em sua organização. Para obter requisitos específicos de versão do sistema operacional, consulte Requisitos para usar o AppLocker.
- Você precisa de um controle aprimorado sobre o acesso aos aplicativos da sua organização.
- O número de aplicativos em sua organização é conhecido e gerenciável.
- Você tem recursos para testar políticas em relação aos requisitos da organização.
- Você tem recursos para envolver o Help Desk ou criar um processo de autoajuda para problemas de acesso de aplicativo do usuário final.
Veja a seguir algumas perguntas que você deve considerar ao implantar políticas de controle de aplicativo (conforme apropriado para seu ambiente de destino).
Quais aplicativos você precisa controlar em sua organização?
Talvez seja necessário controlar um número limitado de aplicativos porque eles acessam dados confidenciais ou você só deseja permitir aplicativos aprovados para fins comerciais. Pode haver determinados grupos empresariais que exigem controle rigoroso e outros que promovem o uso independente do aplicativo.
| Possíveis respostas | Considerações de design |
|---|---|
| Controlar todos os aplicativos | As políticas do AppLocker controlam aplicativos criando uma lista permitida de aplicativos por tipo de arquivo. Exceções também são possíveis. As políticas do AppLocker só podem ser aplicadas a aplicativos instalados em computadores que executam uma das versões com suporte do Windows. |
| Controlar aplicativos específicos | Quando você cria regras do AppLocker, uma lista de aplicativos permitidos é criada. Todos os aplicativos nessa lista podem ser executados (exceto os aplicativos na lista de exceções). Os aplicativos que não estão na lista estão impedidos de serem executados. As políticas do AppLocker só podem ser aplicadas a aplicativos instalados em computadores que executam qualquer uma das versões com suporte do Windows. |
| Controlar apenas aplicativos clássicos do Windows, apenas aplicativos empacotados ou ambos | As políticas do AppLocker controlam aplicativos criando uma lista permitida de aplicativos por tipo de arquivo. Como os aplicativos empacotados são categorizados sob a condição Publisher, aplicativos clássicos do Windows e aplicativos empacotados podem ser controlados juntos. As regras que você tem atualmente para aplicativos clássicos do Windows podem permanecer e você pode criar novas para aplicativos empacotados. Para uma comparação de aplicativos clássicos do Windows e aplicativos empacotados, consulte Comparando aplicativos clássicos do Windows e aplicativos empacotados para decisões de design de política do AppLocker neste artigo. |
| Controlar aplicativos por grupo empresarial e usuário | As políticas do AppLocker podem ser aplicadas por meio de um GPO (objeto Política de Grupo) a objetos de computador dentro de uma OU (unidade organizacional). As regras individuais do AppLocker podem ser aplicadas a usuários individuais ou a grupos de usuários. |
| Controlar aplicativos por computador, não usuário | AppLocker é uma implementação de política baseada em computador. Se sua estrutura organizacional de domínio ou site não for baseada em uma estrutura de usuário lógica, como uma OU, talvez você queira configurar essa estrutura antes de iniciar o planejamento do AppLocker. Caso contrário, você precisa identificar usuários, seus computadores e seus requisitos de acesso ao aplicativo. |
| Entender o uso do aplicativo, mas ainda não há necessidade de controlar nenhum aplicativo | As políticas do AppLocker podem ser definidas para auditar o uso do aplicativo para ajudá-lo a rastrear quais aplicativos são usados em sua organização. Em seguida, você pode usar o log de eventos AppLocker para criar políticas do AppLocker. |
Observação
As regras do AppLocker permitem ou bloqueiam o lançamento de um aplicativo ou binário. O AppLocker não controla o comportamento dos aplicativos depois que eles são iniciados. Para obter mais informações, confira Considerações de segurança para AppLocker.
Comparando aplicativos clássicos do Windows e aplicativos empacotados para decisões de design de política do AppLocker
As políticas do AppLocker para aplicativos empacotados só podem ser aplicadas a aplicativos instalados em computadores que executam sistemas operacionais Windows que dão suporte a aplicativos da Microsoft Store. No entanto, aplicativos clássicos do Windows podem ser controlados no Windows Server 2008 R2 e No Windows 7, além dos computadores que dão suporte a aplicativos empacotados. As regras para aplicativos clássicos do Windows e aplicativos empacotados podem ser impostas em conjunto. As diferenças que você deve considerar para aplicativos empacotados são:
- Os usuários padrão podem instalar aplicativos empacotados, enquanto muitos aplicativos clássicos do Windows exigem credenciais administrativas para instalar. Portanto, em um ambiente em que a maioria dos usuários são usuários padrão, talvez você não precise de várias regras de exe, mas talvez você queira políticas mais explícitas para aplicativos empacotados.
- Aplicativos clássicos do Windows podem ser gravados para alterar o estado do sistema se eles forem executados com credenciais administrativas. A maioria dos aplicativos empacotados não pode alterar o estado do sistema porque eles são executados com permissões limitadas. Ao projetar suas políticas do AppLocker, é importante entender se um aplicativo que você está permitindo pode fazer alterações em todo o sistema.
- Os aplicativos empacotados podem ser adquiridos por meio da Loja ou podem ser carregados de lado usando cmdlets Windows PowerShell. Se você usar Windows PowerShell cmdlets, uma licença enterprise especial será necessária para adquirir aplicativos empacotados. Aplicativos clássicos do Windows podem ser adquiridos por meio de meios tradicionais, como por meio de fornecedores de software ou distribuição de varejo.
O AppLocker controla aplicativos empacotados e aplicativos clássicos do Windows usando diferentes coleções de regras. Você tem a opção de controlar aplicativos empacotados, aplicativos clássicos do Windows ou ambos.
Para obter mais informações, confira Aplicativos empacotados e regras de instalador de aplicativo empacotado no AppLocker.
Usando o AppLocker para controlar scripts
A aplicação do script AppLocker envolve um aperto de mão entre um host de script iluminado, como o PowerShell e o AppLocker. No entanto, o host de script lida com o comportamento de aplicação real. A maioria dos hosts de script primeiro pergunta ao AppLocker se um script deve ser permitido para ser executado com base nas políticas do AppLocker atualmente ativas. Em seguida, o host de script bloqueia, permite ou altera a forma como o script é executado para proteger melhor o usuário e o dispositivo.
O AppLocker usa o log de eventos AppLocker – MSI e Script para todos os eventos de imposição de script. Sempre que um host de script pergunta ao AppLocker se um script deve ser permitido, um evento é registrado com a resposta AppLocker retornada ao host de script.
Observação
Quando um script é executado que não é permitido pela política, o AppLocker gera um evento indicando que o script foi "bloqueado". No entanto, o comportamento real de imposição de script é tratado pelo host de script e pode não impedir completamente a execução do arquivo.
A aplicação do script do AppLocker só pode controlar VBScript, JScript, .bat arquivos, arquivos .cmd e scripts de Windows PowerShell. Ele não controla todos os códigos interpretados que são executados em um processo de host, por exemplo, scripts e macros perl. O código interpretado é uma forma de código executável que é executado em um processo de host. Por exemplo, os arquivos em lote do Windows (*.bat) são executados no contexto do Host de Comando do Windows (cmd.exe). Para usar o AppLocker para controlar o código interpretado, o processo de host deve chamar AppLocker antes de executar o código interpretado e, em seguida, impor a decisão do AppLocker. Nem todos os processos de host são chamados para o AppLocker. Portanto, o AppLocker não pode controlar todo tipo de código interpretado, por exemplo, macros do Microsoft Office.
Importante
Você deve configurar as configurações de segurança apropriadas desses processos de host se precisar permitir que eles sejam executados. Por exemplo, configure as configurações de segurança no Microsoft Office para garantir que apenas macros assinadas e confiáveis sejam carregadas.
Como você controla atualmente o uso do aplicativo em sua organização?
A maioria das organizações evolui suas políticas e métodos de controle de aplicativo ao longo do tempo. O AppLocker é o melhor em organizações com processos de aprovação e implantação de aplicativos bem gerenciados.
| Possíveis respostas | Considerações de design |
|---|---|
| Políticas de segurança (definidas localmente ou por meio de Política de Grupo) | O uso do AppLocker requer um esforço maior no planejamento para criar políticas corretas, mas essa criação de política resulta em um método de distribuição mais simples. |
| Software de controle de aplicativo não Microsoft | O uso do AppLocker requer uma avaliação e implementação completas da política de controle de aplicativo. |
| Uso gerenciado por grupo ou OU | O uso do AppLocker requer uma avaliação e implementação completas da política de controle de aplicativo. |
| Gerenciador de Autorização ou outras tecnologias de acesso baseadas em função | O uso do AppLocker requer uma avaliação e implementação completas da política de controle de aplicativo. |
| Other | O uso do AppLocker requer uma avaliação e implementação completas da política de controle de aplicativo. |
Há grupos específicos em sua organização que precisam de políticas de controle de aplicativo personalizadas?
A maioria dos grupos de negócios ou departamentos tem requisitos de segurança específicos que dizem respeito ao acesso a dados e aos aplicativos usados para acessar esses dados. Você deve considerar o escopo do projeto para cada grupo e as prioridades do grupo antes de implantar políticas de controle de aplicativo para toda a organização.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | Para cada grupo, você precisa criar uma lista que inclua seus requisitos de controle de aplicativo. Embora essa consideração possa aumentar o tempo de planejamento, muitas vezes resulta em uma implantação mais eficaz. Se sua estrutura de GPO não corresponder a grupos organizacionais, você poderá aplicar regras do AppLocker a grupos de usuários específicos. |
| Não | As políticas do AppLocker podem ser aplicadas globalmente a aplicativos instalados. Dependendo do número de aplicativos que você precisa controlar, gerenciar todas as regras e exceções pode ser um desafio. |
Seu departamento de TI tem recursos para analisar o uso do aplicativo e para projetar e gerenciar as políticas?
O tempo e os recursos disponíveis para você executar a pesquisa e a análise podem afetar os detalhes de seu plano e processos para o gerenciamento e manutenção de políticas contínuas.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | Invista o tempo para analisar os requisitos de controle de aplicativo da sua organização e planeje uma implantação completa que use regras que sejam as mais construídas possível. |
| Não | Considere uma implantação focada e em fases para grupos específicos usando algumas regras. À medida que você aplica controles a aplicativos em um grupo específico, aprenda com essa implantação para planejar sua próxima implantação. |
Sua organização tem suporte ao Help Desk?
Quando você impede que seus usuários acessem aplicativos, isso causa um aumento no suporte do usuário final, pelo menos inicialmente. É necessário resolver os vários problemas de suporte em sua organização para que as políticas de segurança sejam seguidas e o fluxo de trabalho de negócios não seja prejudicado.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | Envolva o departamento de suporte no início da fase de planejamento porque seus usuários podem ser impedidos de usar seus aplicativos ou podem buscar exceções para usar aplicativos específicos. |
| Não | Invista tempo no desenvolvimento de processos de suporte online e documentação antes da implantação. |
Você sabe quais aplicativos exigem políticas restritivas?
Qualquer implementação bem-sucedida da política de controle de aplicativo baseia-se no seu conhecimento e no entendimento do uso do aplicativo dentro da organização ou grupo empresarial. Além disso, o design do controle de aplicativo depende dos requisitos de segurança dos dados e dos aplicativos que acessam esses dados.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | Você deve determinar as prioridades de controle de aplicativo para um grupo de negócios e, em seguida, tentar projetar o esquema mais simples para suas políticas de controle de aplicativo. |
| Não | Você deve executar um projeto de coleta de requisitos e auditoria para descobrir o uso do aplicativo. O AppLocker fornece os meios para implantar políticas no modo somente Auditoria e ferramentas para exibir os logs de eventos. |
Como implantar ou aprovar aplicativos (atualizados ou novos) em sua organização?
A implementação de uma política de controle de aplicativo bem-sucedida baseia-se no seu conhecimento e no entendimento do uso do aplicativo dentro da organização ou grupo empresarial. Além disso, o design do controle de aplicativo depende dos requisitos de segurança dos dados e dos aplicativos que acessam esses dados. Entender a política de atualização e implantação ajuda a moldar a construção das políticas de controle do aplicativo.
| Possíveis respostas | Considerações de design |
|---|---|
| Planejado | Você precisa coletar requisitos de cada grupo. Alguns grupos podem querer acesso irrestrito ou instalação, enquanto outros grupos podem querer controles rígidos. |
| Política ou diretrizes escritas estritas a seguir | Você precisa desenvolver regras do AppLocker que reflitam essas políticas e, em seguida, testar e manter as regras. |
| Nenhum processo em vigor | Você precisa determinar se você tem os recursos para desenvolver uma política de controle de aplicativo e para quais grupos. |
Quais são as prioridades da sua organização ao implementar políticas de controle de aplicativo?
Algumas organizações se beneficiam de políticas de controle de aplicativo, conforme mostrado por um aumento de produtividade ou conformidade, enquanto outras são impedidas de executar suas funções. Priorize esses aspectos para cada grupo para permitir que você avalie a eficácia do AppLocker.
| Possíveis respostas | Considerações de design |
|---|---|
| Produtividade: a organização garante que as ferramentas funcionam e os aplicativos necessários podem ser instalados. | Para cumprir as metas de inovação e produtividade, alguns grupos exigem a capacidade de instalar e executar vários softwares de diferentes fontes, incluindo o software que desenvolveram. Portanto, se a inovação e a produtividade forem de alta prioridade, gerenciar políticas de controle de aplicativos por meio de uma lista permitida poderá ser demorado e um impedimento para o progresso. |
| Gerenciamento: a organização está ciente e controla os aplicativos que oferece suporte. | Em alguns grupos empresariais, o uso do aplicativo pode ser gerenciado a partir de um ponto central de controle. As políticas do AppLocker podem ser criadas em um GPO para essa finalidade. |
| Segurança: a organização deve proteger os dados em parte, garantindo que apenas aplicativos aprovados sejam usados. | O AppLocker pode ajudar a proteger os dados permitindo um conjunto definido de usuários para aplicativos que acessam os dados. Se a segurança for a prioridade máxima, suas políticas de controle de aplicativo poderão ser mais restritivas. |
Como os aplicativos são acessados atualmente em sua organização?
O AppLocker é eficaz para organizações com gerenciamento de aplicativos bem gerenciado com metas diretas de política de controle de aplicativo. Por exemplo, o AppLocker pode beneficiar um ambiente em que nenhum deles tem acesso a computadores conectados à rede organizacional, como uma escola ou biblioteca.
| Possíveis respostas | Considerações de design |
|---|---|
| Os usuários são executados sem direitos administrativos. | Os aplicativos são instalados usando uma tecnologia de implantação de instalação. |
| O AppLocker pode ajudar a reduzir o custo total de propriedade para grupos empresariais que normalmente usam um conjunto finito de aplicativos, como recursos humanos e departamentos financeiros. Ao mesmo tempo, esses departamentos acessam informações altamente confidenciais, muitas das quais contêm informações confidenciais e proprietárias. Usando o AppLocker para criar regras para aplicativos específicos que podem ser executados, você pode ajudar a limitar os aplicativos não autorizados a acessar essas informações. Nota: O AppLocker também pode ser eficaz para ajudar a criar áreas de trabalho padronizadas em organizações em que os usuários são executados como administradores. No entanto, é importante observar que usuários com credenciais administrativas podem adicionar novas regras à política local do AppLocker. |
Os usuários devem ser capazes de instalar aplicativos conforme necessário. |
| Atualmente, os usuários têm acesso ao administrador e seria difícil alterar esse privilégio. | Impor regras do AppLocker não é adequado para grupos empresariais que devem ser capazes de instalar aplicativos conforme necessário e sem a aprovação do departamento de TI. Se uma ou mais OUs em sua organização tiverem esse requisito, você poderá optar por não impor regras de aplicativo nessas OUs usando o AppLocker ou implementar a configuração de execução somente auditoria por meio do AppLocker. |
A estrutura no Active Directory Domain Services se baseia na hierarquia da organização?
Criar políticas de controle de aplicativo com base em uma estrutura organizacional que já está integrada ao AD DS (Active Directory Domain Services) é mais fácil do que converter a estrutura existente em uma estrutura organizacional. Como a eficácia das políticas de controle de aplicativo depende da capacidade de atualizar políticas, considere qual trabalho organizacional precisa ser realizado antes do início da implantação.
| Possíveis respostas | Considerações de design |
|---|---|
| Sim | As regras do AppLocker podem ser desenvolvidas e implementadas por meio de Política de Grupo, com base na estrutura do AD DS. |
| Não | O departamento de TI deve criar um esquema para identificar como as políticas de controle de aplicativo podem ser aplicadas ao usuário ou computador correto. |
Registrar suas descobertas
A próxima etapa do processo é registrar e analisar suas respostas para as perguntas anteriores. Se AppLocker for a solução certa para suas metas, você poderá definir seus objetivos de política de controle de aplicativo e planejar suas regras do AppLocker. Esse processo culmina na criação do documento de planejamento.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de