Administrar as políticas de restrição de Software
Aplica-se a: Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico para profissionais IT contém procedimentos como administrar as políticas de controlo de aplicação a utilizar início de políticas de restrição de Software (SRP) com o Windows Server 2008 e Windows Vista.
Introdução
Políticas de restrição de software (SRP) é uma funcionalidade com base em política de grupo identifica os programas de software em execução em computadores num domínio e controla a capacidade nesses programas de executar. Pode utilizar políticas de restrição de software para criar uma configuração altamente restrita para computadores, na qual permitir apenas especificamente identificadas aplicações para execução. Estes são integrados com o Microsoft Active Directory Domain Services e política de grupo, mas também podem ser configurados nos computadores autónomos. Para mais informações sobre SRP, consulte o Políticas de Restrição de Software.
Começando com Windows Server 2008 R2 e Windows 7, Windows AppLocker pode ser utilizado em vez de ou no concert com SRP para uma parte da sua estratégia de controlo de aplicação. Para obter informações sobre o AppLocker no Windows Server 2012 e Windows 8, consulte o AppLocker descrição geral [Client].
Este tópico contém:
Para abrir as políticas de restrição de Software
Para criar novas políticas de restrição de software
Para adicionar ou eliminar um tipo de ficheiro designado
Para impedir que as políticas de restrição de software aplicar a local de administradores
Para alterar o nível predefinido de segurança de políticas de restrição de software
Para aplicar políticas de restrição de software para DLLs
Para obter informações sobre como realizar tarefas específicas utilizando SRP, consulte o seguinte:
Para abrir as políticas de restrição de Software
Para o seu computador local
Para um domínio, site, ou unidade organizacional e está num servidor membro ou numa estação de trabalho que está associada a um domínio
Para um domínio ou unidade organizacional e é num controlador de domínio ou numa estação de trabalho com as ferramentas de administração de servidor remoto instalado
Para um site e são num controlador de domínio ou numa estação de trabalho com as ferramentas de administração de servidor remoto instalado
Para o seu computador local
Abra as definições de segurança Local.
Na árvore da consola, clique em políticas de restrição de Software.
Onde?
- Políticas de restrição de definições/Software de segurança
Nota
Para efetuar este procedimento, tem de ser membro do grupo Administradores no computador local ou deve ter-lhe sido delegada a autoridade apropriada.
Para um domínio, site, ou unidade organizacional e está num servidor membro ou numa estação de trabalho que está associada a um domínio
Abra a consola de gestão da Microsoft (MMC).
No ficheiro menu, clique em Snap-in adicionar/remover, e, em seguida, clique em Adicionar.
Clique em Editor de objeto de política de Grupo Local, e, em seguida, clique em Adicionar.
No Selecione objeto de política de grupo, clique em Procurar.
No Procurar um objeto de política de grupo, selecione um objeto de política de grupo (GPO) do domínio adequado, site ou unidade organizacional – ou criar uma nova e, em seguida, clique em Concluir.
Clique em Fechar, e, em seguida, clique em OK.
Na árvore da consola, clique em políticas de restrição de Software.
Onde?
Objeto de política de grupo [ComputerName] Política/computador configuração ou
Políticas de restrição do utilizador configuração/Windows Definições/segurança definições/Software
Nota
Para efetuar este procedimento, tem de ser um membro do grupo de Admins do domínio.
Para um domínio ou unidade organizacional e é num controlador de domínio ou numa estação de trabalho com as ferramentas de administração de servidor remoto instalado
Abra a consola de gestão de política de grupo.
Na árvore da consola, clique com o botão direito do objeto de política de grupo (GPO) que pretende abrir políticas de restrição de software para.
Clique em Editar para abrir o GPO que pretende editar. Também pode clicar em novo para criar um novo GPO e, em seguida, clique em Editar.
Na árvore da consola, clique em políticas de restrição de Software.
Onde?
Objeto de política de grupo [ComputerName] Política/computador configuração ou
Políticas de restrição do utilizador configuração/Windows Definições/segurança definições/Software
Nota
Para efetuar este procedimento, tem de ser um membro do grupo de Admins do domínio.
Para um site e são num controlador de domínio ou numa estação de trabalho com as ferramentas de administração de servidor remoto instalado
Abra a consola de gestão de política de grupo.
Na árvore da consola, clique com o botão direito do site ao qual pretende definir a política de grupo para.
Onde?
- Sites de Active Directory e serviços [Domain_Controller_Name.Domain_Name] / Sites/Site
Clique numa entrada no ligações de objeto de política de grupo para selecionar um objeto de política de grupo (GPO) existente e, em seguida, clique em Editar. Também pode clicar em novo para criar um novo GPO e, em seguida, clique em Editar.
Na árvore da consola, clique em políticas de restrição de Software.
Onde
Objeto de política de grupo [ComputerName] Política/computador configuração ou
Políticas de restrição do utilizador configuração/Windows Definições/segurança definições/Software
Nota
-
Para efetuar este procedimento, tem de ser membro do grupo Administradores no computador local ou deve ter-lhe sido delegada a autoridade apropriada. Se o computador estiver associado a um domínio, os membros do grupo Admins do Domínio podem ser capazes de efetuar este procedimento.
-
Para configurar as definições da política que serão aplicadas a computadores, independentemente do que inicie a utilizadores sessão-las, clique em configuração de computador.
-
Para configurar as definições da política que serão aplicadas a utilizadores, independentemente do que computador que iniciar sessão no, clique em configuração do utilizador.
Para criar novas políticas de restrição de software
Abra as políticas de restrição de Software.
No ação menu, clique em políticas de restrição de Software novo.
Aviso
-
Diferentes credenciais administrativas são necessárias para efetuar este procedimento, dependendo do seu ambiente:
-
Se criar novas políticas de restrição de software para o seu computador local: A associação ao grupo de Administradores locais, ou equivalente, é o mínimo requerido para concluir este procedimento.
-
Se criar novas políticas de restrição de software para um computador que está associado a um domínio, os membros do grupo de Admins do domínio podem efetuar este procedimento.
-
-
Se já tem sido criadas políticas de restrição de software para um grupo de política de objeto (GPO), o políticas de restrição de Software novo comando não aparecem no ação menu. Para eliminar as políticas de restrição de software que são aplicadas a um GPO, na árvore da consola, clique com botão direito políticas de restrição de Software, e, em seguida, clique em Eliminar políticas de restrição de Software. Quando eliminar políticas de restrição de software para um GPO, também elimina todas as regras de políticas de restrição de software para esse GPO. Depois de eliminar políticas de restrição de software, pode criar novas políticas de restrição de software para esse GPO.
Para adicionar ou eliminar um tipo de ficheiro designado
Abra as políticas de restrição de Software.
No painel de detalhes, faça duplo clique tipos de ficheiro designado.
Efetue uma das seguintes opções:
Para adicionar um tipo de ficheiro, extensão de nome de ficheiro, escreva a extensão de nome de ficheiro e, em seguida, clique em Adicionar.
Para eliminar um tipo de ficheiro no designado tipos de ficheiro, clique no tipo de ficheiro e, em seguida, clique em Remover.
Nota
-
Diferentes credenciais administrativas são necessárias para efetuar este procedimento, consoante o ambiente em que adicionar ou eliminar um tipo de ficheiro designado:
-
Se adicionar ou eliminar um tipo de ficheiro designado para o seu computador local: A associação ao grupo de Administradores locais, ou equivalente, é o mínimo requerido para concluir este procedimento.
-
Se criar novas políticas de restrição de software para um computador que está associado a um domínio, os membros do grupo de Admins do domínio podem efetuar este procedimento.
-
-
Poderá ser necessário criar uma nova definição de política de restrição de software para o objeto de política de grupo (GPO) se tiver não o tenha feito.
-
A lista de tipos de ficheiro designado é partilhada por todas as regras para configuração de computador e configuração do utilizador para um GPO.
Para impedir que as políticas de restrição de software aplicar a local de administradores
Abra as políticas de restrição de Software.
No painel de detalhes, faça duplo clique imposição.
Em Aplicar políticas de restrição de software para os utilizadores seguintes, clique em todos os utilizadores, exceto local de administradores.
Aviso
-
A associação ao grupo de Administradores locais, ou equivalente, é o mínimo requerido para concluir este procedimento.
-
Poderá ser necessário criar uma nova definição de política de restrição de software para o objeto de política de grupo (GPO) se tiver não o tenha feito.
-
Se for comuns para os utilizadores de ser membros do grupo de administradores locais nos respetivos computadores na sua organização, poderá não pretender ativar esta opção.
-
Se estiver a definir uma definição de política de restrição de software para o seu computador local, utilize este procedimento para impedir que os administradores locais ter políticas de restrição de software aplicadas às mesmas. Se estiver a definir uma definição de política de restrição de software para a sua rede, definições de política de utilizador com base na associação a grupos de segurança através da política de grupo de filtro.
Para alterar o nível predefinido de segurança de políticas de restrição de software
Abra as políticas de restrição de Software.
No painel de detalhes, faça duplo clique níveis de segurança.
Clique com o botão direito o nível de segurança que pretende predefinir e, em seguida, clique em Predefinir.
Aviso
Em determinadas diretórios, definir a segurança predefinido nível para Disallowed pode afetar negativamente o seu sistema operativo.
Nota
-
Diferentes credenciais administrativas são necessários para executar este procedimento, consoante o ambiente para o qual é alterar o nível predefinido de segurança de políticas de restrição de software.
-
Poderá ser necessário criar uma nova definição de política de restrição de software para este objeto de política de grupo (GPO) se tiver não o tenha feito.
-
No painel de detalhes, o nível de segurança predefinido atual é indicado por um círculo preto com uma marca de verificação no mesmo. Se o botão direito do rato o nível de segurança predefinido atual, o Predefinir comando não é apresentado no menu.
-
Regras de políticas de restrição de software são criadas para especificar exceções para o nível predefinido de segurança. Quando o nível de segurança de predefinição está definido como Unrestricted, regras podem especificar o software que não é permitido executar. Quando o nível de segurança de predefinição está definido como Disallowed, regras podem especificar o software que está autorizado a executar.
-
Na instalação, o nível predefinido de segurança de políticas de restrição de software em todos os ficheiros no seu sistema está definido como Unrestricted.
Para aplicar políticas de restrição de software para DLLs
Abra as políticas de restrição de Software.
No painel de detalhes, faça duplo clique imposição.
Em Aplicar políticas de restrição de software para os seguintes, clique em todos os ficheiros de software.
Nota
-
Para efetuar este procedimento, tem de ser membro do grupo Administradores no computador local ou deve ter-lhe sido delegada a autoridade apropriada. Se o computador estiver associado a um domínio, os membros do grupo Admins do Domínio podem ser capazes de efetuar este procedimento.
-
Por predefinição, as políticas de restrição de software não verificar bibliotecas de ligação dinâmica (DLLs). Verificação de DLLs pode diminuir o desempenho do sistema, porque as políticas de restrição de software tem de ser avaliadas sempre que uma DLL é carregada. No entanto, poderá decidir verificá DLLs se que está preocupados com receber um vírus esse destinos DLLs. Se o nível de segurança de predefinição está definido como Disallowed, e ativar a DLL de verificação, tem de criar restrição de software regras de políticas que lhe permitem cada DLL executar.