Determinar a lista de permissão-restrição e inventário de aplicativos para políticas de restrição de Software
Este tópico para o profissional de TI fornece orientação sobre como criar uma lista de permissões e negações para que os aplicativos sejam gerenciados pelas SRP (Políticas de Restrição de Software) a partir do Windows Server 2008 e do Windows Vista.
Introdução
A política SRP (Política de Restrição de Software) é um recurso baseado em políticas de grupo que identifica programas de software que são executados em um domínio e que controla a capacidade desses programas de serem executados. Use políticas de restrição de software para criar uma configuração altamente restrita para computadores nos quais você permite que apenas aplicativos especificamente identificados sejam executados. Essas políticas são integradas ao Microsoft Active Directory Domain Services e à Política de Grupo, mas também podem ser configuradas em computadores autônomos. Para obter um ponto de partida para a SRP, consulte as Políticas de Restrição de Software.
Começando com o Windows Server 2008 R2 e o Windows 7, o Windows AppLocker pode ser usado em vez de ou em conjunto com a SRP para uma parte da estratégia de controle de aplicativo.
Para obter informações sobre como realizar tarefas específicas usando a SRP, consulte o seguinte:
Qual regra padrão escolher: Permitir ou Negar
As políticas de restrição de software podem ser implantadas em um dos dois modos que são a base da regra padrão: Lista de Permissões ou Lista de Negações. Crie uma política que identifica cada aplicativo que tem permissão para ser executado em seu ambiente. A regra padrão em sua política é Restrita e bloqueará todos os aplicativos que você não permitir explicitamente executar. Ou crie uma política que identifique todos os aplicativos que não podem ser executados. A regra padrão é Irrestrita e restringe apenas os aplicativos que você listou explicitamente.
Importante
O modo de Lista de Negação pode ser uma estratégia de alta manutenção para sua organização em relação ao controle de aplicativos. Criar e manter uma lista em evolução que proíbe todos os malwares e outros aplicativos problemáticos seria demorado e suscetível a erros.
Criar um inventário de seus aplicativos para a lista Permitir
Para usar efetivamente a regra padrão Permitir, você precisa determinar exatamente quais aplicativos são necessários em sua organização. Há ferramentas projetadas para produzir um inventário de aplicativos, como o Coletor de Inventário no kit de ferramentas do Microsoft Application Compatibility. Mas a SRP tem um recurso de log avançado para ajudá-lo a entender exatamente quais aplicativos estão em execução em seu ambiente.
Para descobrir quais aplicativos permitir
Em um ambiente de teste, implante a Política de Restrição de Software com a regra padrão definida como Irrestrito e remova as regras adicionais. Caso habilite a SRP sem forçá-la a restringir nenhum aplicativo, a SPR poderá monitorar quais aplicativos estão sendo executados.
Crie o valor do Registro a seguir para habilitar o recurso de log avançado e definir o caminho para onde o arquivo de log deve ser gravado.
"HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers"
Valor da cadeia de caracteres: caminho logFileName para LogFileName
Como a SRP está avaliando todos os aplicativos quando eles são executados, uma entrada é gravada no arquivo de log NameLogFile sempre que o aplicativo é executado.
Avaliar o arquivo de log
Cada estado de entrada de log:
o chamador da política de restrição de software e a ID do processo (PID) do processo de chamada
o destino que está sendo avaliado
a regra da SRP que foi encontrada quando esse aplicativo foi executado
um identificador para a regra da SRP.
Um exemplo da saída gravada em um arquivo de log:
explorer.exe (PID = 4728) identifiedC:\Windows\system32\onenote.exe como regra de caminho de uso irrestrito, Guid ={320bd852-aa7c-4674-82c5-9a80321670a3} Todos os aplicativos e o código associado que a SRP verifica e define para bloquear serão observados no arquivo de log, que você pode usar para determinar quais executáveis devem ser considerados para a Lista de permissões.