AppLocker
Este artigo fornece uma descrição do AppLocker e pode ajudá-lo a decidir se a sua organização pode beneficiar da implementação de políticas appLocker. O AppLocker ajuda a controlar quais aplicativos e arquivos os usuários podem executar. Isso inclui arquivos executáveis, scripts, arquivos do instalador do Windows, bibliotecas de vínculo dinâmico (DLLs), aplicativos empacotados e instaladores de aplicativos empacotados. O AppLocker também é utilizado por algumas funcionalidades do Controlo de Aplicações para Empresas.
Observação
O AppLocker é uma funcionalidade de segurança avançada de defesa e não é considerada uma funcionalidade de segurança do Windows defensável. O Controlo de Aplicações para Empresas deve ser utilizado quando o objetivo é fornecer uma proteção robusta contra uma ameaça e espera-se que não existam limitações por predefinição que impeçam que a funcionalidade de segurança atinja este objetivo.
Observação
Por predefinição, a política appLocker aplica-se apenas ao código iniciado no contexto de um utilizador. No Windows 10, Windows 11 e Windows Server 2016 ou posterior, pode aplicar a política appLocker a processos não utilizadores, incluindo os que são executados como SISTEMA. Para obter mais informações, veja Extensões de coleção de regras do AppLocker.
O AppLocker pode ajudar a:
- Definir regras baseadas em atributos de arquivo que persistem em atualizações de aplicativo, como o nome do fornecedor (derivado da assinatura digital), o nome do produto, o nome do arquivo e a versão do arquivo. Você também pode criar regras com base no caminho do arquivo e no hash.
- Atribua uma regra para um grupo de segurança ou um usuário individual.
- Crie exceções para as regras. Por exemplo, você pode criar uma regra que permite que todos os usuários executem todos os binários do Windows, exceto o Editor do Registro (regedit.exe).
- Utilize o modo só de auditoria para implementar a política e compreender o respetivo efeito antes de a impor.
- Criar regras em um servidor de preparo, testá-las, exportá-las para o ambiente de produção e importá-las para um objeto de política de grupo.
- Crie e faça a gestão de regras do AppLocker com Windows PowerShell.
O AppLocker ajuda a impedir que os utilizadores executem aplicações não aprovadas. O AppLocker aborda os seguintes cenários de controlo de aplicações:
- Inventário de aplicações: o AppLocker tem a capacidade de aplicar a respetiva política num modo só de auditoria em que toda a atividade de início de aplicação é permitida, mas registada nos registos de eventos. Esses eventos podem ser coletados para análise posterior. Os cmdlets do Windows PowerShell também ajudam a analisar esses dados de maneira programática.
- Proteção contra software indesejado: o AppLocker tem a capacidade de negar a execução de aplicações quando as exclui da lista de aplicações permitidas. Quando as regras do AppLocker são impostas no ambiente de produção, as aplicações que não estão incluídas nas regras permitidas são impedidas de serem executadas.
- Conformidade de licenciamento: o AppLocker pode ajudá-lo a criar regras que impedem o software não licenciado de executar e restringir o software licenciado a utilizadores autorizados.
- Uniformização do software: as políticas do AppLocker podem ser configuradas para permitir que apenas as aplicações suportadas ou aprovadas sejam executadas em computadores dentro de um grupo empresarial. Esta configuração permite uma implementação de aplicações mais uniforme.
Quando usar o AppLocker
Em muitas organizações, as informações são o ativo mais valioso, e garantir que apenas usuários aprovados tenham acesso a essas informações é fundamental. Tecnologias de controle de acesso, como o Active Directory Rights Management Services (AD RMS) e as listas de controle de acesso (ACLs), ajudam a controlar o que os usuários têm permissão para acessar.
No entanto, quando um usuário executa um processo, esse processo tem o mesmo nível de acesso aos dados que o usuário tem. Como resultado, as informações confidenciais podem ser facilmente eliminadas ou transmitidas para fora da organização se um utilizador executar software não autorizado, incluindo software maligno. O AppLocker ajuda a mitigar estes tipos de problemas de segurança ao restringir os ficheiros que os utilizadores ou grupos têm permissão para executar. Uma vez que o AppLocker pode controlar DLLs e scripts, também é útil controlar quem pode instalar e executar controlos ActiveX.
O AppLocker é ideal para organizações que usem Política de Grupo no momento para gerenciar os computadores.
Estes são exemplos de cenários nos quais o AppLocker pode ser usado:
- A política de segurança da organização determina o uso apenas de software licenciado, logo, você precisa evitar que os usuários executem um software não licenciado e também restringir o uso do software licenciado a usuários autorizados.
- Um aplicativo não é mais compatível com a organização, de maneira que você precisa evitar que ele seja usado por todos.
- Como o potencial para um software indesejado ser introduzido no ambiente é alto, você precisa reduzir essa ameaça.
- A licença para uma aplicação é revogada ou expirada na sua organização, pelo que tem de impedir que seja utilizada por todas as pessoas.
- Um novo aplicativo ou uma nova versão de um aplicativo é implantado, e você precisa evitar que os usuários executem a versão anterior.
- As ferramentas de software específicas não são permitidas na organização ou apenas os utilizadores específicos devem ter acesso a essas ferramentas.
- Um único usuário ou um pequeno grupo de usuários precisa usar um aplicativo cujo acesso seja negado a todos os outros.
- Algumas pessoas na sua organização que necessitam de software diferente partilham um computador e precisa de proteger aplicações específicas.
- Além de outras medidas, você precisa controlar o acesso a dados confidenciais por meio do uso do aplicativo.
O AppLocker pode ajudar a proteger os ativos digitais dentro da organização, reduzir a ameaça de software mal-intencionado introduzido no ambiente e melhorar o gerenciamento de controle de aplicativos e a manutenção das políticas de controle de aplicativo.
Instalação do AppLocker
O AppLocker está incluído em todas as edições do Windows, exceto Windows 10 versão 1809 ou anterior. Você pode criar regras do AppLocker para um único computador ou para um grupo de computadores. Para um único computador, você pode criar regras usando o Editor de Política de Segurança Local (secpol.msc). Para um grupo de computadores, você pode criar as regras dentro de um objeto de política de grupo usando o Console de Gerenciamento de políticas de Grupo (GPMC).
Observação
O GPMC está disponível em computadores cliente que executem o Windows apenas ao instalar as Ferramentas de Administração Remota do Servidor. No computador no qual o Windows Server esteja em execução, você deve instalar o recurso Gerenciamento de políticas de Grupo.
Como usar o AppLocker em Server Core
As instalações do AppLocker no Server Core não são suportadas.
Considerações sobre a virtualização
Você pode administrar as políticas do AppLocker usando uma instância virtualizada do Windows desde que ela atenda a todos os requisitos de sistema listados anteriormente. Você também pode executar Política de Grupo em uma instância virtualizada. No entanto, corre o risco de perder as políticas que criar e manter se a instância virtualizada for removida ou falhar.
Considerações sobre a segurança
As políticas de controle do aplicativo especificam quais aplicativos podem ser executados no computador local. As diversas formas que um software mal-intencionado pode assumir dificulta para os usuários saberem o que é seguro executar. Quando ativado, um software mal-intencionado pode danificar o conteúdo em uma unidade de disco rígido, inundar uma rede com solicitações para causar um ataque de negação de serviço (DoS), enviar informações confidenciais para a Internet ou comprometer a segurança de um computador.
A contramedida é criar um design sonoro para as políticas de controlo de aplicações em PCs na sua organização. O AppLocker pode fazer parte da estratégia de controle do aplicativo porque você pode controlar o que o software tem permissão para executar nos computadores.
Uma implementação da política de controle do aplicativo com falhas pode desabilitar os aplicativos necessários ou permitir a execução de um software mal-intencionado ou indesejado. Deve testar cuidadosamente as políticas num ambiente de laboratório antes de implementá-las na produção. Também é importante que as organizações dediquem recursos suficientes para gerir e resolver problemas de implementação dessas políticas.
Para obter mais informações sobre problemas de segurança específicos, veja Considerações de segurança do AppLocker. Ao usar o AppLocker para criar políticas de controle do aplicativo, você deve estar ciente das seguintes considerações de segurança:
- Quem tem os direitos para definir políticas do AppLocker?
- Como você valida se as políticas foram impostas?
- Quais eventos você deve auditar?
Para consultar o planejamento de segurança, a seguinte tabela identifica as configurações de linha de base para um computador com AppLocker instalado:
| Configuração | Valor padrão |
|---|---|
| Contas criadas | Nenhum |
| Método de autenticação | Não aplicável |
| Interfaces de gerenciamento | O AppLocker pode ser gerenciado usando-se um snap-in Console de Gerenciamento Microsoft, Gerenciamento de políticas de Grupo, e o Windows PowerShell |
| Portas abertas | Nenhum |
| Privilégios mínimos necessários | O administrador no computador local, Admin do Domínio, ou qualquer conjunto de direitos que permitam criar, editar e distribuir objetos de política de grupo. |
| Protocolos usados | Não aplicável |
| Tarefas agendadas | Appidpolicyconverter.exe é colocado em uma tarefa agendada a ser executada sob demanda. |
| Políticas de segurança | Nenhum necessário. O AppLocker cria políticas de segurança. |
| Serviços do sistema necessários | O serviço Identidade do Aplicativo (appidsvc) é executado em LocalServiceAndNoImpersonation. |
| Armazenamento de credenciais | Nenhum |
Nesta seção
| Artigo | Descrição |
|---|---|
| Administrar o AppLocker | Este artigo para profissionais de TI fornece ligações para procedimentos específicos a utilizar ao administrar políticas do AppLocker. |
| Guia de design do AppLocker | Este artigo para profissionais de TI apresenta os passos de conceção e planeamento necessários para implementar políticas de controlo de aplicações com o AppLocker. |
| Guia de implantação do AppLocker | Este artigo para profissionais de TI apresenta os conceitos e descreve os passos necessários para implementar políticas appLocker. |
| Referência técnica do AppLocker | Este artigo de descrição geral para profissionais de TI fornece ligações para os artigos na referência técnica. |