Descrição Geral do AppLocker
Aplica-se A: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise
Esta descrição geral técnica para profissionais de TI fornece uma descrição do AppLocker. Esta informação pode ajudar a decidir se a sua organização pode beneficiar de implementar políticas de controlo de aplicação do AppLocker. O AppLocker ajuda os administradores a controlar que aplicações e ficheiros os utilizadores podem executar. Estes incluem ficheiros executáveis, scripts, ficheiros do Windows Installer, bibliotecas de ligação dinâmica (DLLs), aplicações em pacote e instaladores de aplicações em pacote.
Dica
Para guardar digitalmente ou imprimir páginas desta biblioteca, clique em Exportar (no canto superior direito da página) e, em seguida, siga as instruções.
O que faz o AppLocker?
Utilizando o AppLocker, pode:
Definir regras com base nos atributos de ficheiro que persistem através de atualizações de aplicação, tal como o nome do editor (derivado da assinatura digital), o nome de produto, nome de ficheiro e versão do ficheiro. Também pode criar regras com base no caminho de ficheiro e hash.
Atribuir uma regra a um grupo de segurança ou utilizadores individuais.
Crie exceções às regras. Por exemplo, pode criar uma regra que permite que todos os utilizadores executem todos os binários Windows exceto o Editor de Registo (Regedit.exe).
Utilize o modo só de auditoria para implementar a política e compreender o impacto antes o impor.
Crie regras num servidor de transição, teste-as, em seguida, exporte-as para o seu ambiente de produção e importe-as para um Objeto de Política de Grupo.
Simplifique a criação e gestão das regras do AppLocker utilizando cmdlets do Windows PowerShell para o AppLocker.
O AppLocker ajuda a reduzir o overhead administrativo e ajuda a reduzir o custo da organização de gerir recursos de informática ao reduzir o número de chamadas Técnicas que resultam de utilizadores executarem aplicações não aprovadas. O AppLocker aborda os seguintes cenários de segurança de aplicação:
Inventário de aplicações
O AppLocker tem a capacidade para impor a política de um modo só de auditoria onde está registada toda a atividade de acesso de aplicação nos registos de eventos. Estes eventos podem ser recolhidos para análise. Os cmdlets do Windows PowerShell também ajudam a analisar estes dados através de programação.
Proteção contra software indesejado
O AppLocker tem a capacidade de negar que as aplicações sejam executadas quando as exclui da lista de aplicações permitidas. Quando as regras do AppLocker são impostas no ambiente de produção, qualquer aplicação que não esteja incluída nas regras permitidas tem a respetiva execução bloqueada.
Conformidade de licenciamento
O AppLocker pode ajudá-lo a criar regras que impossibilitam que software não licenciado seja executado e restringe o software licenciado para utilizadores autorizados.
Padronização de software
As políticas AppLocker podem ser configuradas para permitir que apenas aplicações suportadas ou aprovadas sejam executadas nos computadores existentes num grupo empresarial. Isto permite uma implementação de aplicações mais uniforme.
Melhoramento da capacidade de gestão
O AppLocker inclui diversas melhorias da capacidade de gestão quando comparado com as Políticas de Restrição de Software do seu predecessor. Importar e exportar políticas, geração automática de regras de vários ficheiros, implementação de modo só de auditoria e cmdlets do Windows PowerShell são algumas das melhorias sobre as Políticas de Restrição de Software.
Quando utilizar o AppLocker
Em muitas organizações, as informações são o ativo mais valioso e assegurar que apenas os utilizadores aprovados têm acesso as essas informações é fundamental. Aceder a tecnologias de controlo, tal como Serviços de Gestão de Direitos do Active Directory (AD RMS) e listas de controlo de acesso (ACLs) a que os utilizadores podem aceder.
No entanto, quando um utilizador executa um processo, esse processo tem o mesmo nível de acesso a dados que o utilizador tem. Como resultado, as informações confidenciais podem facilmente ser eliminadas ou transmitidas fora da organização, se um utilizador executar, consciente ou inconscientemente, software malicioso. AppLocker pode ajudar a mitigar este tipo de danos de segurança restringindo os ficheiros que os utilizadores ou grupos são permitidos executar.
Os fabricantes de software estão a começar a criar mais aplicações que podem ser instaladas pelos utilizadores não administrativos. Isto poderia colocar em perigo a política de segurança escrita de uma organização e contornar soluções de controlo de aplicação tradicionais que dependem da incapacidade dos utilizadores para instalar aplicações. Ao permitir aos administradores criar uma lista de permissão de ficheiros e aplicações aprovados, o AppLocker ajuda a impedir que essas aplicações por utilizador sejam executadas. Porque o AppLocker pode controlar DLLs, também é útil para controlar quem pode instalar e executar controlos ActiveX.
O AppLocker é ideal para organizações que utilizem atualmente a Política de Grupo para gerir os seus computadores baseados no Windows. Porque o AppLocker se baseia na Política de Grupo para a criação e implementação, é útil ter experiência com a Política de Grupo se planear utilizar o AppLocker.
Seguem-se exemplos de cenários nos quais o AppLocker pode ser utilizado:
A política de segurança da sua organização estabelece a utilização de apenas software licenciado, pelo que necessita de impedir que os utilizadores executem software não licenciado e também restringir a utilização do software licenciado para utilizadores autorizados.
Uma aplicação já não é suportada pela sua organização, pelo que necessita de impedir que seja utilizada por todas as pessoas.
O potencial que software indesejado possa ser introduzido no seu ambiente é elevado, pelo que necessita de reduzir esta ameaça.
A licença para uma aplicação foi revogada ou expirou na sua organização, pelo que necessita de impedir que seja utilizada por todas as pessoas.
Uma nova aplicação ou uma nova versão de uma aplicação é implementada e tem de impedir os utilizadores de executar a versão antiga.
Ferramentas de software específico não são permitidas dentro da organização ou apenas utilizadores específicos devem ter acesso a essas ferramentas.
Um único utilizador ou um pequeno grupo de utilizadores necessita de utilizar uma aplicação específica que foi negada para todos os outros.
Alguns computadores na sua organização são partilhados por utilizadores que têm necessidades de utilização de software diferentes e precisa de proteger aplicações específicas.
Para além de outras medidas, tem de controlar o acesso a dados confidenciais através da utilização da aplicação.
O AppLocker pode ajudar a proteger os recursos digitais dentro da sua organização, reduzir a ameaça de software malicioso a ser introduzido no seu ambiente e melhorar a gestão de controlo de aplicação e a manutenção das políticas de controlo de aplicação.
Versões, interoperabilidade e diferenças de funcionalidade
Versões suportadas e considerações de interoperabilidade
As políticas do AppLocker só podem ser configuradas e aplicadas a computadores que executam o suporte de versões e edições do sistema operativo do Windows. Para obter mais informações, consulte Requisitos para utilizar o AppLocker.
Diferenças de funcionalidade entre versões
A tabela seguinte lista as diferenças por versão de sistema operativo para cada uma das principais funcionalidades ou funções do AppLocker:
| Funcionalidade ou função | Windows Server 2008 R2 e Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 e Windows 8 |
|---|---|---|
| Capacidade de definir as regras para aplicações em pacote e instaladores de aplicações em pacote. | Não | Sim |
| As políticas do AppLocker são mantidas através da Política de Grupo e apenas o administrador do computador pode atualizar uma política do AppLocker. | Sim | Sim |
| O AppLocker permite personalizar mensagens de erro, para que os administradores possam direcionar os utilizadores para uma página Web para obterem ajuda. | Sim | Sim |
| Capacidade de trabalhar em conjunto com as Políticas de Restrição de Software (utilizando GPOs separados). | Sim | Sim |
| O AppLocker suporta um pequeno conjunto de cmdlets do Windows PowerShell para ajudar a administração e manutenção. | Sim | Sim |
| As regras de AppLocker podem controlar os formatos de ficheiro listados. | - .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .dll - .ocx |
- .exe - .com - .ps1 - .bat - .cmd - .vbs - .js - .msi - .msp - .mst - .dll - .ocx - .appx |
Para informações sobre como comparar as funções de controlo de aplicação nas Políticas de Restrição de Software e AppLocker e sobre como utilizar as duas funcionalidades em conjunto, consulte Utilizar o AppLocker e políticas de restrição de Software no mesmo domínio.
Requisitos de sistema
As políticas do AppLocker só podem ser configuradas e aplicadas a computadores que são executadas nas versões e edições suportadas do sistema operativo do Windows. A Política de Grupo é necessária para distribuir Objetos de Política de Grupo que contêm as políticas do AppLocker. Para obter mais informações, consulte Requisitos para utilizar o AppLocker.
As regras de AppLocker podem ser criadas em controladores de domínio.
Nota
A capacidade de ser autor ou impor regras para aplicações em pacote e instaladores de aplicações em pacote não está disponível no Windows Server 2008 R2 e Windows 7.
Instalar o AppLocker
O AppLocker está incluído nas edições de nível empresarial do Windows. Pode criar regras do AppLocker para um único computador ou para um grupo de computadores. Para um único computador, pode criar as regras utilizando o editor de Política de Segurança Local (secpol.msc). Para um grupo de computadores, pode criar as regras dentro de um Objeto de Política de Grupo utilizando a Consola de Gestão de Políticas de Grupo (GPMC).
Nota
O GPMC está disponível em computadores cliente com o Windows apenas instalando as Ferramentas de Administração Remota do Servidor. No computador com o Windows Server, tem de instalar a funcionalidade de Gestão de Política de Grupo.
Utilizar o AppLocker no Server Core
O Windows PowerShell pode ser utilizado para gerir o AppLocker nas instalações do Server Core utilizando os cmdlets do AppLocker e, se administrados dentro de um GPO, os cmdlets da Política de Grupo do PowerShell. Para mais informações, consulte Referência de Comandos do PowerShell do AppLocker.
Considerações de virtualização
Pode administrar políticas do AppLocker utilizando uma instância virtualizada do Windows desde que cumpra todos os requisitos de sistema listados anteriormente. Também pode executar a Política de Grupo numa instância virtualizada. No entanto, existe o risco de perder as políticas que criou e manter se a instância virtualizada é removida ou falhar.
Considerações de segurança
Políticas de controlo de aplicação especificam quais os programas que são permitidos para executar no computador local.
A variedade de formas que o software malicioso pode ter faz com que seja difícil para os utilizadores saber o que é seguro executar. Quando ativado, o software malicioso pode danificar conteúdo numa unidade de disco rígido, inundar uma rede com pedidos para causar um ataque de recusa de serviço (DoS), enviar informações confidenciais para a Internet ou comprometer a segurança de um computador.
O contramedida é criar uma estrutura sólida para as políticas de controlo de aplicação em computadores de utilizador final na sua organização e, em seguida, testar de forma exaustiva as políticas num ambiente de laboratório antes de a implementar no ambiente de produção. AppLocker pode ser parte da sua estratégia de controlo de aplicação porque pode controlar que software é permitido executar nos seus computadores.
Uma implementação de política de controlo de aplicação com falhas pode desativar aplicações necessárias ou permitir a execução de software malicioso ou inesperado. Por conseguinte, é importante que as organizações dediquem recursos suficientes para gerir e resolver problemas com a implementação dessas políticas.
Para obter informações adicionais sobre problemas de segurança específicos, consulte Considerações de Segurança para o AppLocker.
Quando utiliza o AppLocker para criar políticas de controlo de aplicação, deve ter em mente as seguintes considerações de segurança:
Quem tem os direitos para definir políticas AppLocker?
Como validar que políticas são impostas?
Que eventos deve auditar?
Para referência na seu planeamento de segurança, a tabela seguinte identifica as definições de linha de base para um computador cliente com a funcionalidade do AppLocker instalada:
| Definição | Valor predefinido |
|---|---|
| Contas criadas | Nenhum |
| Método de autenticação | Não aplicável |
| Interfaces de gestão | O AppLocker pode ser gerido utilizando um snap-in da Consola de Gestão da Microsoft, Gestão de Política de Grupo e Windows PowerShell |
| Portas abertas | Nenhum |
| Privilégios mínimos necessários | Administrador no computador local; Admin de Domínio ou qualquer conjunto de direitos que lhe permita criar, editar e distribuir Objetos de Política de Grupo. |
| Protocolos utilizados | Não aplicável |
| Tarefas Agendadas | Appidpolicyconverter.exe é colocado numa tarefa agendada para ser executado a pedido. |
| Políticas de Segurança | Nenhuma necessária. O AppLocker cria políticas de segurança. |
| Serviços de Sistema necessário | O serviço de Identidade da Aplicação (appidsvc) é executado em LocalServiceAndNoImpersonation. |
| Armazenamento de credenciais | Nenhum |
Manter políticas do AppLocker
Informações sobre a manutenção de política de Applocker são fornecidas nos tópicos seguintes:
Consulte também
| Recurso | Windows Server 2008 R2 e Windows 7 | Windows Server 2012 R2, Windows Server 2012, Windows 8.1 e Windows 8 |
|---|---|---|
| Avaliação do produto | Perguntas Mais Frequentes Guia Passo a Passo do AppLocker |
Perguntas Mais Frequentes Guia Passo a Passo do AppLocker |
| Procedimentos | Guia de Operações do AppLocker | Administrar o AppLocker Gerir aplicações embaladas com AppLocker |
| Scripting | Utilizar os Cmdlets do Windows PowerShell do AppLocker | Utilize o Cmdlets do Windows PowerShell do AppLocker |
| Conteúdo técnico | Referência Técnica do AppLocker | Referência Técnica do AppLocker |
| Estruturação, planeamento e implementação | Guia de Estrutura de Políticas de AppLocker Guia de Implementação de Políticas de AppLocker |
Guia de Estrutura de Políticas de AppLocker Guia de Implementação de Políticas de AppLocker |