AppLocker
Este artigo fornece uma descrição do AppLocker e pode ajudá-lo a decidir se sua organização pode se beneficiar da implantação de políticas de controle de aplicativo AppLocker. O AppLocker ajuda a controlar quais aplicativos e arquivos os usuários podem executar. Isso inclui arquivos executáveis, scripts, arquivos do instalador do Windows, bibliotecas de vínculo dinâmico (DLLs), aplicativos empacotados e instaladores de aplicativos empacotados. O AppLocker também é usado por alguns recursos do Windows Defender Controle de Aplicativo.
Observação
O AppLocker é um recurso de segurança aprofundado e não é considerado um recurso de segurança do Windows defensável. Windows Defender Controle de Aplicativo deve ser usado quando o objetivo é fornecer proteção robusta contra uma ameaça e espera-se que não haja limitações de design que impeçam o recurso de segurança de alcançar essa meta.
Observação
Por padrão, a política AppLocker só se aplica ao código iniciado no contexto de um usuário. Em Windows 10, Windows 11 e Windows Server 2016 ou posterior, você pode aplicar a política AppLocker a processos não usuários, incluindo aqueles em execução como SYSTEM. Para obter mais informações, confira Extensões de coleção de regras do AppLocker.
O AppLocker pode ajudar a:
- Definir regras baseadas em atributos de arquivo que persistem em atualizações de aplicativo, como o nome do fornecedor (derivado da assinatura digital), o nome do produto, o nome do arquivo e a versão do arquivo. Você também pode criar regras com base no caminho do arquivo e no hash.
- Atribua uma regra para um grupo de segurança ou um usuário individual.
- Crie exceções para as regras. Por exemplo, você pode criar uma regra que permite que todos os usuários executem todos os binários do Windows, exceto o Editor do Registro (regedit.exe).
- Use o modo somente auditoria para implantar a política e entender seu efeito antes de aplicá-la.
- Criar regras em um servidor de preparo, testá-las, exportá-las para o ambiente de produção e importá-las para um objeto de política de grupo.
- Crie e gerencie as regras do AppLocker usando Windows PowerShell.
O AppLocker ajuda a impedir que os usuários executem aplicativos não aprovados. O AppLocker aborda os seguintes cenários de controle de aplicativo:
- Inventário de aplicativos: o AppLocker tem a capacidade de aplicar sua política em um modo somente auditoria em que todas as atividades de lançamento do aplicativo são permitidas, mas registradas em logs de eventos. Esses eventos podem ser coletados para análise posterior. Os cmdlets do Windows PowerShell também ajudam a analisar esses dados de maneira programática.
- Proteção contra software indesejado: o AppLocker tem a capacidade de negar a execução de aplicativos quando você os exclui da lista de aplicativos permitidos. Quando as regras do AppLocker são impostas no ambiente de produção, todos os aplicativos que não estão incluídos nas regras permitidas são impedidos de serem executados.
- Conformidade de licenciamento: o AppLocker pode ajudá-lo a criar regras que impedem o software não licenciado de executar e restringir o software licenciado a usuários autorizados.
- Padronização de software: as políticas do AppLocker podem ser configuradas para permitir que apenas aplicativos compatíveis ou aprovados sejam executados em computadores em um grupo de negócios. Essa configuração permite uma implantação de aplicativo mais uniforme.
Quando usar o AppLocker
Em muitas organizações, as informações são o ativo mais valioso, e garantir que apenas usuários aprovados tenham acesso a essas informações é fundamental. Tecnologias de controle de acesso, como o Active Directory Rights Management Services (AD RMS) e as listas de controle de acesso (ACLs), ajudam a controlar o que os usuários têm permissão para acessar.
No entanto, quando um usuário executa um processo, esse processo tem o mesmo nível de acesso aos dados que o usuário tem. Como resultado, informações confidenciais podem ser facilmente excluídas ou transmitidas para fora da organização se um usuário executar software não autorizado, incluindo malware. O AppLocker ajuda a atenuar esses tipos de problemas de segurança restringindo os arquivos que os usuários ou grupos podem executar. Como o AppLocker pode controlar DLLs e scripts, também é útil controlar quem pode instalar e executar controles ActiveX.
O AppLocker é ideal para organizações que usem Política de Grupo no momento para gerenciar os computadores.
Estes são exemplos de cenários nos quais o AppLocker pode ser usado:
- A política de segurança da organização determina o uso apenas de software licenciado, logo, você precisa evitar que os usuários executem um software não licenciado e também restringir o uso do software licenciado a usuários autorizados.
- Um aplicativo não é mais compatível com a organização, de maneira que você precisa evitar que ele seja usado por todos.
- Como o potencial para um software indesejado ser introduzido no ambiente é alto, você precisa reduzir essa ameaça.
- A licença para um aplicativo é revogada ou expirada em sua organização, portanto, você precisa impedir que ela seja usada por todos.
- Um novo aplicativo ou uma nova versão de um aplicativo é implantado, e você precisa evitar que os usuários executem a versão anterior.
- Ferramentas de software específicas não são permitidas na organização ou apenas usuários específicos devem ter acesso a essas ferramentas.
- Um único usuário ou um pequeno grupo de usuários precisa usar um aplicativo cujo acesso seja negado a todos os outros.
- Algumas pessoas em sua organização que exigem software diferente compartilham um computador e você precisa proteger aplicativos específicos.
- Além de outras medidas, você precisa controlar o acesso a dados confidenciais por meio do uso do aplicativo.
O AppLocker pode ajudar a proteger os ativos digitais dentro da organização, reduzir a ameaça de software mal-intencionado introduzido no ambiente e melhorar o gerenciamento de controle de aplicativos e a manutenção das políticas de controle de aplicativo.
Instalação do AppLocker
AppLocker é incluído com todas as edições do Windows, exceto Windows 10 versão 1809 ou anterior. Você pode criar regras do AppLocker para um único computador ou para um grupo de computadores. Para um único computador, você pode criar regras usando o Editor de Política de Segurança Local (secpol.msc). Para um grupo de computadores, você pode criar as regras dentro de um objeto de política de grupo usando o Console de Gerenciamento de políticas de Grupo (GPMC).
Observação
O GPMC está disponível em computadores cliente que executam o Windows apenas instalando as Ferramentas de Administração do Servidor Remoto. No computador no qual o Windows Server esteja em execução, você deve instalar o recurso Gerenciamento de políticas de Grupo.
Como usar o AppLocker em Server Core
Não há suporte para AppLocker em instalações do Server Core.
Considerações sobre a virtualização
Você pode administrar as políticas do AppLocker usando uma instância virtualizada do Windows desde que ela atenda a todos os requisitos de sistema listados anteriormente. Você também pode executar Política de Grupo em uma instância virtualizada. No entanto, você corre o risco de perder as políticas que cria e mantém se a instância virtualizada for removida ou falhar.
Considerações sobre a segurança
As políticas de controle do aplicativo especificam quais aplicativos podem ser executados no computador local. As diversas formas que um software mal-intencionado pode assumir dificulta para os usuários saberem o que é seguro executar. Quando ativado, um software mal-intencionado pode danificar o conteúdo em uma unidade de disco rígido, inundar uma rede com solicitações para causar um ataque de negação de serviço (DoS), enviar informações confidenciais para a Internet ou comprometer a segurança de um computador.
A contramedida é criar um design de som para suas políticas de controle de aplicativo em PCs em sua organização. O AppLocker pode fazer parte da estratégia de controle do aplicativo porque você pode controlar o que o software tem permissão para executar nos computadores.
Uma implementação da política de controle do aplicativo com falhas pode desabilitar os aplicativos necessários ou permitir a execução de um software mal-intencionado ou indesejado. Você deve testar minuciosamente as políticas em um ambiente de laboratório antes de implantá-las em produção. Também é importante que as organizações dediquem recursos suficientes para gerenciar e solucionar problemas a implementação dessas políticas.
Para obter mais informações sobre problemas de segurança específicos, consulte Considerações de segurança para AppLocker. Ao usar o AppLocker para criar políticas de controle do aplicativo, você deve estar ciente das seguintes considerações de segurança:
- Quem tem os direitos para definir políticas do AppLocker?
- Como você valida se as políticas foram impostas?
- Quais eventos você deve auditar?
Para consultar o planejamento de segurança, a seguinte tabela identifica as configurações de linha de base para um computador com AppLocker instalado:
| Configuração | Valor padrão |
|---|---|
| Contas criadas | Nenhum |
| Método de autenticação | Não aplicável |
| Interfaces de gerenciamento | O AppLocker pode ser gerenciado usando-se um snap-in Console de Gerenciamento Microsoft, Gerenciamento de políticas de Grupo, e o Windows PowerShell |
| Portas abertas | Nenhum |
| Privilégios mínimos necessários | O administrador no computador local, Admin do Domínio, ou qualquer conjunto de direitos que permitam criar, editar e distribuir objetos de política de grupo. |
| Protocolos usados | Não aplicável |
| Tarefas agendadas | Appidpolicyconverter.exe é colocado em uma tarefa agendada a ser executada sob demanda. |
| Políticas de segurança | Nenhum necessário. O AppLocker cria políticas de segurança. |
| Serviços do sistema necessários | O serviço Identidade do Aplicativo (appidsvc) é executado em LocalServiceAndNoImpersonation. |
| Armazenamento de credenciais | Nenhum |
Nesta seção
| Artigo | Descrição |
|---|---|
| Administrar o AppLocker | Este artigo para profissionais de TI fornece links para procedimentos específicos a serem usados ao administrar políticas do AppLocker. |
| Guia de design do AppLocker | Este artigo para o profissional de TI apresenta as etapas de design e planejamento necessárias para implantar políticas de controle de aplicativo usando o AppLocker. |
| Guia de implantação do AppLocker | Este artigo para profissionais de TI apresenta os conceitos e descreve as etapas necessárias para implantar políticas do AppLocker. |
| Referência técnica do AppLocker | Este artigo de visão geral para profissionais de TI fornece links para os artigos na referência técnica. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de