Trabalhar com regras de políticas de restrição de software

Este tópico descreve os procedimentos que trabalham com regras de certificado, caminho, zona da Internet e hash usando Diretivas de Restrição de Software.

Introduction

Com as políticas de restrição de software, você pode proteger seu ambiente de computação contra software não confiável, identificando e especificando qual software pode ser executado. Você pode definir um nível de segurança padrão de Irrestrito ou Não permitido para um GPO (Objeto de Diretiva de Grupo) para que o software seja permitido ou não seja executado por padrão. Você pode abrir exceções a esse nível de segurança padrão criando regras de políticas de restrição de software para software específico. Por exemplo, se o nível de segurança padrão estiver definido como Não permitido, você poderá criar regras que permitam a execução de software específico. Os tipos de regras são os seguintes:

• Regras de certificação

  Para procedimentos, consulte Trabalhando com regras de certificado.

• Regras de hash

  Para procedimentos, consulte Trabalhando com regras de hash.

• Regras da zona da Internet

  Para obter procedimentos, consulte Trabalhando com regras de zona da Internet.

• Regras de caminho

  Para procedimentos, consulte Trabalhando com regras de caminho.

Para obter informações sobre outras tarefas para gerenciar diretivas de restrição de software, consulte Administrar diretivas de restrição de software.

Trabalhando com regras de certificados

As políticas de restrição de software também podem identificar o software pelo seu certificado de assinatura. Você pode criar uma regra de certificado que identifique o software e, em seguida, permita ou não que o software seja executado, dependendo do nível de segurança. Por exemplo, você pode usar regras de certificado para confiar automaticamente no software de uma fonte confiável em um domínio sem avisar o usuário. Você também pode usar regras de certificado para executar arquivos em áreas não permitidas do seu sistema operacional. As regras de certificado não estão habilitadas por padrão.

Quando as regras são criadas para o domínio usando a Diretiva de Grupo, você deve ter permissões para criar ou modificar um Objeto de Diretiva de Grupo. Se estiver a criar regras para o computador local, tem de ter credenciais administrativas nesse computador.

Para criar uma regra de certificado

1. Políticas de Restrição de Software Aberto.

2. Na árvore da consola ou no painel de detalhes, clique com o botão direito do rato em Regras Adicionais e, em seguida, clique em Nova Regra de Certificado.

3. Clique em Procurar e selecione um certificado ou arquivo assinado.

4. Em Nível de segurança, clique em Não permitido ou Sem restrições.

5. Em Descrição, digite uma descrição para esta regra e clique em OK.

Note

• Pode ser necessário criar uma nova configuração de diretiva de restrição de software para o GPO (Objeto de Diretiva de Grupo), caso ainda não tenha feito isso.
• As regras de certificado não estão habilitadas por padrão.
• Os únicos tipos de arquivo afetados pelas regras de certificado são aqueles listados em Tipos de arquivo designados no painel de detalhes das Políticas de Restrição de Software. Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
• Para que as políticas de restrição de software entrem em vigor, os usuários devem atualizar as configurações de política saindo e entrando novamente em seus computadores.
• Quando mais de uma regra de políticas de restrição de software é aplicada às configurações de política, há uma precedência de regras para lidar com conflitos.

Habilitando regras de certificado

Há diferentes procedimentos para habilitar regras de certificado, dependendo do seu ambiente:

• Para o seu computador local

• Para um Objeto de Diretiva de Grupo, se estiver num servidor que se juntou a um domínio

• No caso de um Objeto de Política de Grupo, estando num controlador de domínio ou numa estação de trabalho com as Ferramentas de Administração de Servidor Remoto instaladas

• Apenas para controladores de domínio e você estiver em um controlador de domínio ou em uma estação de trabalho que tenha o Pacote de Ferramentas de Administração de Servidor Remoto instalado

Para habilitar regras de certificado para seu computador local

1. Abra as Configurações de Segurança Local.

2. Na árvore de console, clique em Opções de Segurança localizado em Configurações de Segurança/Diretivas Locais.

3. No painel de detalhes, clique duas vezes em Configurações do sistema: Usar regras de certificado em executáveis do Windows para diretivas de restrição de software.

4. Siga um destes procedimentos e clique em OK:

   • Para habilitar regras de certificado, clique em Habilitado.

   • Para desativar as regras de certificado, clique em Desativado.

Para habilitar regras de certificado para um Objeto de Diretiva de Grupo quando você está num servidor membro de um domínio

1. Abra o MMC (Console de Gerenciamento Microsoft).

2. No menu Ficheiro , clique em Adicionar/Remover snap-in e, em seguida, clique em Adicionar.

3. Clique em Editor de Objeto de Diretiva de Grupo Local e, em seguida, clique em Adicionar.

4. Em Selecionar Objeto de Diretiva de Grupo, clique em Procurar.

5. Em Procurar um Objeto de Diretiva de Grupo, selecione um GPO (Objeto de Diretiva de Grupo) no domínio, site ou unidade organizacional apropriado ou crie um novo e clique em Concluir.

6. Clique em Fechar e, em seguida, clique em OK.

7. Na árvore de console, clique em Opções de Segurança localizado em GroupPolicyObject [ComputerName] Policy/Computer Configuration/Windows Settings/Security Settings/Local Policies/.

8. No painel de detalhes, clique duas vezes em Configurações do sistema: Usar regras de certificado em executáveis do Windows para diretivas de restrição de software.

9. Se essa configuração de política ainda não tiver sido definida, marque a caixa de seleção Definir estas configurações de política .

10. Siga um destes procedimentos e clique em OK:

    • Para habilitar regras de certificado, clique em Habilitado.

    • Para desativar as regras de certificado, clique em Desativado.

Para habilitar regras de certificado para um Objeto de Diretiva de Grupo e você estiver em um controlador de domínio ou em uma estação de trabalho que tenha as Ferramentas de Administração de Servidor Remoto instaladas

1. Abra Utilizadores e Computadores do Active Directory.

2. Na árvore de console, clique com o botão direito do mouse no GPO (Objeto de Diretiva de Grupo) para o qual você deseja habilitar regras de certificado.

3. Clique em Propriedades e, em seguida, clique na guia Diretiva de Grupo .

4. Clique em Editar para abrir o GPO que você deseja editar. Você também pode clicar em Novo para criar um novo GPO e clicar em Editar.

5. Na árvore de console, clique em Opções de Segurança localizado em Diretiva/Configuração do Computador/Configurações do Computador/Configurações do Windows/Configurações de Segurança/Diretivas Locais.

6. No painel de detalhes, clique duas vezes em Configurações do sistema: Usar regras de certificado em executáveis do Windows para diretivas de restrição de software.

7. Se essa configuração de política ainda não tiver sido definida, marque a caixa de seleção Definir estas configurações de política .

8. Siga um destes procedimentos e clique em OK:

   • Para habilitar regras de certificado, clique em Habilitado.

   • Para desativar as regras de certificado, clique em Desativado.

Para habilitar regras de certificado apenas para controladores de domínio e você estiver em um controlador de domínio ou em uma estação de trabalho que tenha as Ferramentas de Administração de Servidor Remoto instaladas

1. Abra as Configurações de Segurança do Controlador de Domínio.

2. Na árvore de console, clique em Opções de Segurança localizado em GroupPolicyObject [ComputerName] Policy/Computer Configuration/Windows Settings/Security Settings/Local Policies.

3. No painel de detalhes, clique duas vezes em Configurações do sistema: Usar regras de certificado em executáveis do Windows para diretivas de restrição de software.

4. Se essa configuração de política ainda não tiver sido definida, marque a caixa de seleção Definir estas configurações de política .

5. Siga um destes procedimentos e clique em OK:

   • Para habilitar regras de certificado, clique em Habilitado.

   • Para desativar as regras de certificado, clique em Desativado.

Note

Você deve executar este procedimento antes que as regras de certificado possam entrar em vigor.

Definir opções de publicador confiável

A assinatura de software está sendo usada por um número crescente de editores de software e desenvolvedores de aplicativos para verificar se seus aplicativos vêm de uma fonte confiável. No entanto, muitos usuários não entendem ou prestam pouca atenção aos certificados de assinatura associados aos aplicativos que instalam.

As configurações de política na guia Editores Confiáveis da política de validação de caminho de certificado permitem que os administradores controlem quais certificados podem ser aceitos como provenientes de um editor confiável.

Para configurar as definições da política de editores fidedignos para um computador local

1. No ecrã Iniciar , escrevagpedit.msc e, em seguida, prima ENTER.

2. Na árvore de console, em Diretiva do Computador Local\Configuração do Computador\Configurações do Windows\Configurações de Segurança, clique em Diretivas de Chave Pública.

3. Clique duas vezes em Configurações de Validação de Caminho de Certificado e clique na guia Editores Confiáveis .

4. Marque a caixa de seleção Definir estas configurações de política , selecione as configurações de política que deseja aplicar e clique em OK para aplicar as novas configurações.

Para definir as configurações de política de editores confiáveis para um domínio

1. Abra a Gestão de Diretiva de Grupo.

2. Na árvore de consola, faça duplo clique em Objetos de Política de Grupo na floresta e no domínio que contêm o GPO (Objeto de Política de Grupo) da Política de Domínio Padrão que deseja editar.

3. Clique com o botão direito do mouse na Diretiva de Domínio Padrão do GPO Default Domain Policy e clique em Editar.

4. Na árvore de console, em Configuração do Computador\Configurações do Windows\Configurações de Segurança, clique em Diretivas de Chave Pública.

5. Clique duas vezes em Configurações de Validação de Caminho de Certificado e clique na guia Editores Confiáveis .

6. Marque a caixa de seleção Definir estas configurações de política , selecione as configurações de política que deseja aplicar e clique em OK para aplicar as novas configurações.

Para permitir que apenas administradores gerenciem certificados usados para assinatura de código para um computador local

1. No ecrã Iniciar , escreva gpedit.msc em Procurar programas e ficheiros ou no Windows 8, no Ambiente de Trabalho e, em seguida, prima ENTER.

2. Na árvore da consola, em Política de Domínio Predefinida ou Política do Computador Local, faça duplo clique em Configuração do Computador, Definições do Windows e Definições de Segurança e, em seguida, clique em Políticas de Chave Pública.

3. Clique duas vezes em Configurações de Validação de Caminho de Certificado e clique na guia Editores Confiáveis .

4. Marque a caixa de seleção Definir estas configurações de política .

5. Em Gestão de editores fidedignos, clique em Permitir que apenas todos os administradores façam a gestão de Editores Fidedignos e, em seguida, clique em OK para aplicar as novas definições.

Para permitir que apenas administradores gerenciem certificados usados para assinatura de código para um domínio

1. Abra a Gestão de Diretiva de Grupo.

2. Na árvore de console, clique duas vezes em Objetos de Diretiva de Grupo na floresta e no domínio que contêm o GPO de Diretiva de Domínio Padrão que você deseja editar.

3. Clique com o botão direito do mouse na Diretiva de Domínio Padrão do GPO Default Domain Policy e clique em Editar.

4. Na árvore de console, em Configuração do Computador\Configurações do Windows\Configurações de Segurança, clique em Diretivas de Chave Pública.

5. Clique duas vezes em Configurações de Validação de Caminho de Certificado e clique na guia Editores Confiáveis .

6. Marque a caixa de seleção Definir estas configurações de política , implemente as alterações desejadas e clique em OK para aplicar as novas configurações.

Trabalhando com regras de hash

Um hash é uma série de bytes com um comprimento fixo que identifica exclusivamente um programa de software ou arquivo. O hash é calculado por um algoritmo de hash. Quando uma regra de hash é criada para um programa de software, as políticas de restrição de software calculam um hash do programa. Quando um usuário tenta abrir um programa de software, um hash do programa é comparado às regras de hash existentes para diretivas de restrição de software. O hash de um programa de software é sempre o mesmo, independentemente de onde o programa está localizado no computador. No entanto, se um programa de software for alterado de alguma forma, seu hash também será alterado e ele não corresponderá mais ao hash na regra de hash para políticas de restrição de software.

Por exemplo, você pode criar uma regra de hash e definir o nível de segurança como Não permitido para impedir que os usuários executem um determinado arquivo. Um arquivo pode ser renomeado ou movido para outra pasta e ainda resultar no mesmo hash. No entanto, quaisquer alterações no próprio arquivo também alteram seu valor de hash e permitem que o arquivo ignore as restrições.

Para criar uma regra de hash

1. Políticas de Restrição de Software Aberto.

2. Na árvore da consola ou no painel de detalhes, clique com o botão direito do rato em Regras Adicionais e, em seguida, clique em Nova Regra de Hash.

3. Clique em Procurar para localizar um arquivo.

   Note

   No Windows XP é possível colar um hash pré-calculado no hash Arquivo. No Windows Server 2008 R2 , Windows 7 e versões posteriores, esta opção não está disponível.

4. Em Nível de segurança, clique em Não permitido ou Sem restrições.

5. Em Descrição, digite uma descrição para esta regra e clique em OK.

Note

• Pode ser necessário criar uma nova configuração de diretiva de restrição de software para o GPO (Objeto de Diretiva de Grupo), caso ainda não tenha feito isso.
• Uma regra de hash pode ser criada para um vírus ou um cavalo de Troia para impedir que eles sejam executados.
• Se você quiser que outras pessoas usem uma regra de hash para que um vírus não possa ser executado, calcule o hash do vírus usando diretivas de restrição de software e, em seguida, envie por e-mail o valor de hash para as outras pessoas. Nunca envie o próprio vírus por e-mail.
• Se um vírus tiver sido enviado por correio eletrónico, também pode criar uma regra de caminho para impedir a execução de anexos de correio eletrónico.
• Um arquivo renomeado ou movido para outra pasta resulta no mesmo hash. Qualquer alteração no próprio arquivo resulta em um hash diferente.
• Os únicos tipos de arquivo afetados por regras de hash são aqueles listados em Tipos de Arquivo Designados no painel de detalhes das Políticas de Restrição de Software. Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
• Para que as políticas de restrição de software entrem em vigor, os usuários devem atualizar as configurações de política saindo e entrando novamente em seus computadores.
• Quando mais de uma regra de políticas de restrição de software é aplicada às configurações de política, há uma precedência de regras para lidar com conflitos.

Trabalhando com regras de zona da Internet

As regras de zona da Internet aplicam-se apenas aos pacotes do Windows Installer. Uma regra de zona pode identificar software de uma zona especificada através do Internet Explorer. Essas zonas são Internet, Intranet local, Sites restritos, Sites confiáveis e Meu computador. Uma regra de Zona da Internet foi concebida para impedir que os utilizadores transfiram e instalem software.

Para criar uma regra de zona da Internet

1. Políticas de Restrição de Software Aberto.

2. Na árvore da consola ou no painel de detalhes, clique com o botão direito do rato em Regras Adicionais e, em seguida, clique em Nova Regra de Zona da Internet.

3. Na zona da Internet, clique numa zona da Internet.

4. Em Nível de segurança, clique em Não permitido ou Sem restrição e, em seguida, clique em OK.

Note

• Pode ser necessário criar uma nova configuração de diretiva de restrição de software para o GPO (Objeto de Diretiva de Grupo), caso ainda não tenha feito isso.
• As regras de zona só se aplicam a arquivos com um tipo de arquivo .msi, que são pacotes do Windows Installer.
• Para que as políticas de restrição de software entrem em vigor, os usuários devem atualizar as configurações de política saindo e entrando novamente em seus computadores.
• Quando mais de uma regra de políticas de restrição de software é aplicada às configurações de política, há uma precedência de regras para lidar com conflitos.

Trabalhando com regras de caminho

Uma regra de caminho identifica o software pelo caminho do arquivo. Por exemplo, se você tiver um computador que tenha um nível de segurança padrão de Não permitido, ainda poderá conceder acesso irrestrito a uma pasta específica para cada usuário. Você pode criar uma regra de caminho usando o caminho do arquivo e definindo o nível de segurança da regra de caminho como Irrestrito. Alguns caminhos comuns para esse tipo de regra são %userprofile%, %windir%, %appdata%, %programfiles%e %temp%. Você também pode criar regras de caminho de registro que utilizem a chave de registro do software como o caminho dela.

Como essas regras são especificadas pelo caminho, se um programa de software for movido, a regra de caminho não se aplicará mais.

Para criar uma regra de caminho

1. Políticas de Restrição de Software Aberto.

2. Na árvore da consola ou no painel de detalhes, clique com o botão direito do rato em Regras Adicionais e, em seguida, clique em Nova Regra de Caminho.

3. Em Caminho, digite um caminho ou clique em Procurar para localizar um arquivo ou pasta.

4. Em Nível de segurança, clique em Não permitido ou Sem restrições.

5. Em Descrição, digite uma descrição para esta regra e clique em OK.

Caution

• Em determinadas pastas, como a pasta Windows, definir o nível de segurança como Não permitido pode afetar negativamente a operação do seu sistema operacional. Certifique-se de não desautorizar um componente crucial do sistema operacional ou um de seus programas dependentes.

Note

• Pode ser necessário criar novas diretivas de restrição de software para o GPO (Objeto de Diretiva de Grupo), caso ainda não o tenha feito.
• Se você criar uma regra de caminho para software com um nível de segurança de Não permitido, os usuários ainda poderão executar o software copiando-o para outro local.
• Os caracteres curinga suportados pela regra de caminho são * e ?.
• Você pode usar variáveis de ambiente, como %programfiles% ou %systemroot%, na regra de caminho.
• Se você quiser criar uma regra de caminho para software quando você não sabe onde ele está armazenado em um computador, mas você tem sua chave do Registro, você pode criar uma regra de caminho do Registro.
• Para impedir que os utilizadores executem anexos de correio eletrónico, pode criar uma regra de caminho para o diretório de anexos do programa de correio eletrónico que impeça os utilizadores de executar anexos de correio eletrónico.
• Os únicos tipos de arquivo afetados pelas regras de caminho são aqueles listados em Tipos de arquivo designados no painel de detalhes das Diretivas de Restrição de Software. Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
• Para que as políticas de restrição de software entrem em vigor, os usuários devem atualizar as configurações de política saindo e entrando novamente em seus computadores.
• Quando mais de uma regra de políticas de restrição de software é aplicada às configurações de política, há uma precedência de regras para lidar com conflitos.

Para criar uma regra de caminho do registo

1. Na tela inicial , digite regedit.

2. Na árvore da consola, clique com o botão direito do rato na chave de registo para a qual pretende criar uma regra e, em seguida, clique em Copiar Nome da Chave. Anote o nome do valor no painel de detalhes.

3. Políticas de Restrição de Software Aberto.

4. Na árvore da consola ou no painel de detalhes, clique com o botão direito do rato em Regras Adicionais e, em seguida, clique em Nova Regra de Caminho.

5. Em Caminho, cole o nome da chave do Registro, seguido do nome do valor.

6. Coloque o caminho do registo entre sinais percentuais (%), por exemplo, %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%.

7. Em Nível de segurança, clique em Não permitido ou Sem restrições.

8. Em Descrição, digite uma descrição para esta regra e clique em OK.