Trabalhando com regras do AppLocker
Este artigo para profissionais de TI descreve os tipos de regras do AppLocker e como trabalhar com eles para suas políticas de controle de aplicativo.
Coleções de regras
As políticas do AppLocker são organizadas em coleções de regras, incluindo arquivos executáveis, scripts, arquivos do Instalador do Windows, aplicativos empacotados e instaladores de aplicativos empacotados e arquivos DLL. Essas coleções oferecem uma maneira fácil de diferenciar as regras para diferentes tipos de aplicativos. A tabela a seguir lista os formatos de arquivo incluídos em cada coleção de regras.
| Coleção de regras | Formatos de arquivo associados |
|---|---|
| Arquivos executáveis | .exe .com |
| Scripts | .ps1 .bat .cmd .vbs .js |
| Arquivos do Instalador do Windows | .msi .msp .mst |
| Aplicativos empacotados e instaladores de aplicativos empacotados | .appx |
| Arquivos DLL | .dll .ocx |
Observação
As regras do AppLocker para arquivos executáveis realmente se aplicam a todos os arquivos PE (executáveis portáteis), independentemente da extensão do arquivo que os invasores podem alterar facilmente. As informações de extensão de arquivo listadas na tabela anterior para arquivos executáveis são ilustrativas apenas.
A coleção de regras DLL não está habilitada por padrão. Para saber como habilitar a coleção de regras DLL, confira Coleções de regras de DLL.
Importante
Se você usar regras de DLL, precisará criar uma regra de permissão que cubra todas as DLL usadas por todos os aplicativos permitidos.
Quando as regras DLL são usadas, o AppLocker deve marcar cada DLL que um aplicativo carrega. Portanto, os usuários poderão sofrer uma redução no desempenho se as regras de DLL forem usadas. No entanto, esse impacto de desempenho geralmente é imperceptível, a menos que um dispositivo já esteja restrito a recursos.
Modos de execução
As políticas do AppLocker definem um modo de imposição para cada coleção de regras incluída na política. Esses modos de aplicação são descritos na tabela a seguir.
| Modo de execução | Descrição |
|---|---|
| Não configurado | Apesar do nome, esse modo de aplicação não significa que as regras sejam ignoradas. Pelo contrário, se existirem regras em uma coleção de regras que "não está configurada", as regras serão impostas , a menos que uma política com precedência mais alta altere o modo de execução apenas para Auditoria. Como esse modo de aplicação pode ser confuso para os autores da política, você deve evitar usar esse valor em suas políticas do AppLocker. Em vez disso, você deve escolher explicitamente entre as duas opções restantes. |
| Impor regras | As regras são impostas. Quando um usuário executa um aplicativo afetado por uma regra AppLocker, o binário do aplicativo é bloqueado. Informações sobre o binário são adicionadas ao log de eventos do AppLocker. |
| Somente auditoria | As regras são auditadas, mas não impostas. Quando um usuário executa um aplicativo afetado por uma regra AppLocker, o binário do aplicativo pode ser executado. No entanto, as informações sobre o binário são adicionadas ao log de eventos AppLocker. O modo de aplicação somente auditoria ajuda você a identificar os aplicativos afetados pela política antes que a política seja imposta. |
Quando as políticas do AppLocker são mescladas, as regras de todas as políticas são adicionadas à política efetiva e um único modo de aplicação é selecionado para cada coleção de regras. Se várias políticas do AppLocker forem aplicadas a um dispositivo por meio de Política de Grupo, a configuração do modo de aplicação aplicada será selecionada com base em Política de Grupo precedência. Se você aplicar uma política AppLocker localmente usando o cmdlet Set-AppLockerPolicy PowerShell com a opção -merge , o modo de aplicação mais restritivo será escolhido entre a política local existente e a política que está sendo mesclada.
Condições de regra
As condições de regra são critérios que ajudam o AppLocker a identificar os aplicativos aos quais a regra se aplica. As três condições de regra primária são o editor, o caminho e o hash do arquivo.
- Publicador: identifica um aplicativo com base em sua assinatura digital
- Caminho: identifica um aplicativo por sua localização no sistema de arquivos do computador ou na rede
- Hash do arquivo: representa o hash do authenticode criptográfico computado do sistema do arquivo identificado
Editor
Essa condição identifica um aplicativo com base em sua assinatura digital e atributos estendidos quando disponível. A assinatura digital contém informações sobre a empresa que criou o aplicativo (o editor). Arquivos executáveis, dlls, instaladores do Windows, aplicativos empacotados e instaladores de aplicativos empacotados também incluem atributos estendidos, que são obtidos do recurso binário. Esses atributos geralmente incluem o nome do produto, o nome do arquivo original e o número de versão do arquivo, conforme definido pelo editor. Se houver aplicativos empacotados e instaladores de aplicativos empacotados, esses atributos estendidos conterão o nome e a versão do pacote de aplicativos.
Observação
As regras criadas nos aplicativos empacotados e na coleção de regras de instaladores de aplicativos empacotados só podem ter condições de editor, já que o Windows não dá suporte a aplicativos empacotados não assinados e instaladores de aplicativos empacotados.
Use uma condição de regra do editor quando possível porque eles são mais resilientes às atualizações do aplicativo, bem como uma alteração no local dos arquivos.
Quando você seleciona um arquivo de referência para uma condição de editor, o assistente cria uma regra que especifica o editor, o produto, o nome do arquivo e o número da versão. Você pode tornar a regra mais genérica movendo o controle deslizante ou usando um caractere curinga (*) nos campos de produto, nome do arquivo ou número de versão.
Observação
Para inserir valores personalizados para qualquer um dos campos de uma condição de regra de editor no Assistente criar regras, selecione a caixa Usar valores personalizados marcar. Quando essa caixa marcar for selecionada, você não poderá usar o controle deslizante.
A versão arquivo e a versão do pacote controlam se um usuário pode executar uma versão específica, versões anteriores ou versões posteriores do aplicativo. Você pode escolher um número de versão e configurar as seguintes opções:
- Exatamente. A regra se aplica somente a essa versão do aplicativo
- E acima. A regra se aplica a essa versão e a todas as versões posteriores.
- E abaixo. A regra se aplica a essa versão e a todas as versões anteriores.
A tabela a seguir descreve como uma condição de editor é aplicada.
| Opção | A condição do editor permite ou nega... |
|---|---|
| Todos os arquivos assinados | Todos os arquivos assinados por um fornecedor. |
| Somente fornecedor | Todos os arquivos assinados pelo fornecedor identificado. |
| Nome do editor e do produto | Todos os arquivos do produto especificado assinado pelo editor nomeado. |
| Nome do editor e do produto e nome do arquivo | Qualquer versão do arquivo ou pacote nomeado para o produto nomeado assinado pelo editor. |
| Publisher, nome do produto, nome do arquivo e versão do arquivo | Exatamente A versão especificada do arquivo ou pacote nomeado para o produto nomeado assinado pelo editor. |
| Publisher, nome do produto, nome do arquivo e versão do arquivo | E acima A versão especificada do arquivo ou pacote nomeado e quaisquer novas versões para o produto assinado pelo editor. |
| Publisher, nome do produto, nome do arquivo e versão do arquivo | E abaixo A versão especificada do arquivo ou pacote nomeado e quaisquer versões anteriores para o produto assinado pelo editor. |
| Personalizado | Você pode editar os campos Publisher, Nome do produto, nome do arquivo, nome do pacotede versão e pacote para criar uma regra personalizada. |
Caminho
Essa condição de regra identifica um aplicativo por sua localização no sistema de arquivos do computador ou na rede.
O AppLocker usa variáveis de caminho personalizadas para caminhos conhecidos, como Arquivos de Programas e Windows.
A tabela a seguir detalha essas variáveis de caminho.
| Diretório ou disco do Windows | Variável de caminho AppLocker | Variável de ambiente windows |
|---|---|---|
| Windows | %WINDIR% | %SystemRoot% |
| System32 e SysWOW64 | %SYSTEM32% | %SystemDirectory% |
| Diretório de instalação do Windows | %OSDRIVE% | %SystemDrive% |
| Arquivos do Programa | %PROGRAMFILES% | %ProgramFiles% e %ProgramFiles(x86)% |
| Mídia removível (por exemplo, um CD ou DVD) | %REMOVABLE% | |
| Dispositivo de armazenamento removível (por exemplo, uma unidade flash USB) | %HOT% |
Importante
Como uma condição de regra de caminho pode ser configurada para incluir um grande número de pastas e arquivos, as condições de caminho devem ser cuidadosamente planejadas. Por exemplo, se uma regra de caminho incluir um local de pasta que permite que não administradores escrevam dados, um usuário (ou malware em execução como um usuário padrão) poderá copiar arquivos não aprovados nesse local e executar os arquivos. Por esse motivo, você deve evitar criar condições de caminho para locais graváveis do usuário padrão, como um perfil de usuário.
Hash do arquivo
Quando você escolhe a condição de regra de hash do arquivo, o sistema calcula o hash criptográfico Authenticode do arquivo identificado. A vantagem dessa condição de regra é que, como cada arquivo tem um hash exclusivo, uma condição de regra de hash de arquivo se aplica a apenas um arquivo. A desvantagem é que cada vez que o arquivo é atualizado (como uma atualização de segurança ou atualização) o hash do arquivo é alterado. Como resultado, você deve atualizar manualmente as regras de hash do arquivo.
Regras padrão do AppLocker
As políticas do AppLocker criadas usando o editor do AppLocker Política de Grupo podem incluir regras padrão. As regras padrão visam ajudar a garantir que os arquivos necessários para que o Windows opere corretamente são permitidos em uma coleção de regras do AppLocker. Para obter informações em segundo plano, consulte Noções básicas sobre regras padrão do AppLocker e, para ver as etapas, consulte Criar regras padrão do AppLocker.
Os tipos de regra padrão executáveis incluem:
- Permitir que os membros do grupo administradores locais executem todos os aplicativos.
- Permitir que os membros do grupo Todos executem aplicativos localizados na pasta Windows.
- Permitir que os membros do grupo Todos executem aplicativos localizados na pasta Arquivos de Programa.
Os tipos de regra padrão de script incluem:
- Permitir que os membros do grupo administradores locais executem todos os scripts.
- Permitir que os membros do grupo Todos executem scripts localizados na pasta Arquivos de Programa.
- Permitir que os membros do grupo Todos executem scripts localizados na pasta Windows.
Os tipos de regra padrão do Instalador do Windows incluem:
- Permitir que os membros do grupo administradores locais executem todos os arquivos do Windows Installer.
- Permitir que os membros do grupo Todos executem todos os arquivos do Windows Installer assinados digitalmente.
- Permitir que os membros do grupo Todos executem todos os arquivos do Windows Installer localizados na pasta Windows\Installer.
Tipos de regra padrão de DLL:
- Permitir que os membros do grupo administradores locais executem todas as DLLs.
- Permitir que os membros do grupo Todos executem DLLs localizadas na pasta Arquivos de Programa.
- Permitir que membros do grupo Todos executem DLLs localizadas na pasta Windows.
Tipos de regra padrão de aplicativos empacotados:
- Permitir que os membros do grupo Todos instalem e executem todos os aplicativos empacotados assinados e instaladores de aplicativos empacotados.
Comportamento da regra AppLocker
Se nenhuma regra AppLocker for definida para uma coleção de regras específica, todos os arquivos cobertos por essa coleção de regras poderão ser executados. No entanto, se houver alguma regra para uma coleção de regras específica, somente os arquivos que correspondem a pelo menos uma regra de permissão e não correspondem a nenhuma regra de negação serão executados. Por exemplo, se você criar uma regra executável que permita que arquivos .exe em %SystemDrive%\FilePath sejam executados, somente arquivos executáveis localizados nesse caminho poderão ser executados.
Uma regra pode ser configurada para usar ações de permissão ou negação:
- Permitir. Você pode especificar quais arquivos podem ser executados em seu ambiente e para quais usuários ou grupos de usuários. Você também pode configurar exceções para identificar arquivos excluídos da regra.
- Negar. Você pode especificar quais arquivos não podem ser executados em seu ambiente e para quais usuários ou grupos de usuários. Você também pode configurar exceções para identificar arquivos excluídos da regra.
Para uma prática recomendada, use permitir ações com exceções. Embora você possa usar uma combinação de permitir e negar ações, negar ações sempre vence. Você não pode usar nenhuma outra regra para permitir um arquivo que corresponda a uma regra de negação.
Exceções de regra
Você pode aplicar regras do AppLocker a usuários individuais ou a um grupo de usuários. Se você aplicar uma regra a um grupo de usuários, a regra afetará todos os usuários desse grupo. Se você precisar permitir que um subconjunto de um grupo de usuários use um aplicativo, poderá criar uma regra especial para esse subconjunto. Por exemplo, a regra "Permitir que todos executem o Windows, exceto o Registry Editor" permite que todos na organização executem o sistema operacional Windows, mas não permite que ninguém execute o Registro Editor.
O efeito dessa regra impediria que usuários como o pessoal do Help Desk executassem um programa necessário para suas tarefas de suporte. Para resolve esse problema, crie uma segunda regra que se aplique ao grupo de usuários do Help Desk: "Permitir que o Help Desk execute Editor do Registro". Se você usou uma regra de negação que impede todos os usuários de executar Editor do Registro, a segunda regra não permitirá que os usuários do help desk executem o Registro Editor.
Coleção de regras DLL
Como a coleção de regras DLL não está habilitada por padrão, você deve executar o procedimento a seguir antes de poder criar e impor regras de DLL.
A associação ao grupo de administradores locais, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para habilitar a coleção de regras DLL
- Selecione Iniciar, digite secpol.msc e selecione ENTER.
- Se a caixa de diálogo Controle de Conta de Usuário for exibida, confirme se a ação exibida é o que você deseja e selecione Sim.
- Na árvore do console, clique duas vezes em Políticas de Controle de Aplicativo, clique com o botão direito do mouse em AppLocker e selecione Propriedades.
- Selecione a guia Avançado, selecione a caixa Habilitar a coleção de regras DLL marcar e selecione OK.
Importante
Antes de impor regras de DLL, verifique se há regras de permissão para cada DLL necessária por todos os aplicativos permitidos.
Assistentes do AppLocker
Você pode criar regras usando dois assistentes do AppLocker:
- O Assistente de Criar Regras permite que você crie uma regra por vez.
- O Assistente de Gerar Regras Automaticamente permite que você crie várias regras ao mesmo tempo. Você pode selecionar uma pasta e permitir que o assistente crie regras para quaisquer arquivos relevantes encontrados. Ou, para aplicativos empacotados, deixe o assistente criar regras para todos os aplicativos empacotados instalados no computador. Você também pode especificar o usuário ou o grupo ao qual aplicar as regras. Esse assistente gera automaticamente somente regras de permissão.
Outras considerações
- Por padrão, as regras do AppLocker não permitem que os usuários abram ou executem arquivos que não sejam permitidos. Os administradores devem manter uma lista atualizada de aplicativos permitidos.
- Há dois tipos de condições do AppLocker que não persistem após uma atualização de um aplicativo:
- Uma condição de hash de arquivo As condições de regra de hash do arquivo podem ser usadas com qualquer aplicativo porque um valor de hash criptográfico do arquivo de aplicativo é gerado no momento em que a regra é criada. No entanto, o valor de hash é específico para essa versão exata do arquivo. Se você precisar permitir várias versões do arquivo, precisará de condições individuais de hash de arquivo para cada versão do arquivo.
- Uma condição de editor com um conjunto de versão de produto específico Se você criar uma condição de regra do editor que usa a opção Exatamente versão, a regra não poderá persistir se uma nova versão do aplicativo estiver instalada. Uma nova condição de editor deve ser criada ou a versão deve ser editada na regra para ser menos específica.
- Se um aplicativo não for assinado digitalmente, você não poderá usar uma condição de regra do editor para esse aplicativo.
- Se alguma regra for imposta para a coleção de regras EXE, você deverá criar regras nos aplicativos empacotados e na coleção de regras de instaladores de aplicativo empacotados. Caso contrário, todos os aplicativos empacotados e instaladores de aplicativos empacotados serão bloqueados.
- Uma URL configurada personalizada pode ser incluída na mensagem exibida quando um aplicativo é bloqueado.
- Espere um aumento no número de chamadas do Help Desk quando os usuários encontrarem aplicativos que não são permitidos.
Nesta seção
| Artigo | Descrição |
|---|---|
| Criar uma regra que usa uma condição de hash de arquivo | Este artigo para profissionais de TI mostra como criar uma regra AppLocker com uma condição de hash de arquivo. |
| Criar uma regra que usa uma condição de caminho | Este artigo para profissionais de TI mostra como criar uma regra AppLocker com uma condição de caminho. |
| Criar uma regra que usa uma condição de fornecedor | Este artigo para profissionais de TI mostra como criar uma regra AppLocker com uma condição de editor. |
| Criar regras padrão do AppLocker | Este artigo para profissionais de TI descreve as etapas para criar um conjunto padrão de regras do AppLocker que permitem que os arquivos do sistema Windows sejam executados. |
| Adicionar exceções a uma regra do AppLocker | Este artigo para profissionais de TI descreve as etapas para especificar quais aplicativos podem ou não ser executados como exceções a uma regra do AppLocker. |
| Criar uma regra para aplicativos empacotados | Este artigo para profissionais de TI mostra como criar uma regra do AppLocker para aplicativos empacotados com uma condição de editor. |
| Excluir uma regra do AppLocker | Este artigo para profissionais de TI descreve as etapas para excluir uma regra do AppLocker. |
| Editar regras do AppLocker | Este artigo para profissionais de TI descreve as etapas para editar uma regra de editor, uma regra de caminho e uma regra de hash de arquivo no AppLocker. |
| Habilitar a coleção de regras de DLL | Este artigo para profissionais de TI descreve as etapas para habilitar o recurso de coleção de regras DLL para AppLocker. |
| Impor regras do AppLocker | Este artigo para profissionais de TI descreve como impor regras de controle de aplicativo usando o AppLocker. |
| Executar o Assistente para Gerar Regras Automaticamente | Este artigo para profissionais de TI descreve as etapas para executar o assistente para criar regras do AppLocker em um dispositivo de referência. |
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de