Partilhar via

Manter as políticas do AppLocker

Este artigo descreve como manter regras dentro das políticas do AppLocker.

Os cenários comuns de manutenção do AppLocker incluem:

  • Um novo aplicativo é implantado e você precisa atualizar uma política do AppLocker.
  • Uma nova versão de um aplicativo é implantada e você precisa atualizar uma política do AppLocker ou criar uma nova regra para atualizar a política.
  • Um aplicativo não tem mais suporte da sua organização, portanto, você precisa impedir que ele seja usado.
  • Um aplicativo parece estar bloqueado, mas deve ser permitido.
  • Um aplicativo parece ser permitido, mas deve ser bloqueado.
  • Um único usuário ou pequeno subconjunto de usuários precisa usar um aplicativo específico bloqueado.

Há três métodos que você pode usar para manter as políticas do AppLocker:

Mantendo as políticas do AppLocker usando o MDM (Mobile Gerenciamento de Dispositivos)

Usando o provedor de serviços de configuração appLocker, você pode selecionar quais aplicativos são permitidos ou impedidos de executar. Usando o CSP, você pode configurar restrições de aplicativo com base no agrupamento (como EXE, MSI, DLL, aplicativos Store e muito mais) e, em seguida, escolheu como impor políticas diferentes para aplicativos diferentes.

Para obter mais informações, consulte o CSP do AppLocker.

Manter as políticas do AppLocker usando Política de Grupo

Para cada cenário, as etapas para manter uma política AppLocker distribuída por Política de Grupo incluem as tarefas a seguir.

À medida que novos aplicativos são implantados e os aplicativos existentes são atualizados ou desativados, talvez seja necessário atualizar as regras no GPO (Objeto Política de Grupo) para manter sua política atual.

Você pode editar uma política do AppLocker adicionando, alterando ou removendo regras. No entanto, você não pode especificar uma versão para a política AppLocker importando mais regras. Para garantir o controle de versão ao modificar uma política do AppLocker, use Política de Grupo software de gerenciamento que permite criar versões de GPOs.

Importante

Você deve evitar editar uma coleção de regras do AppLocker enquanto ela está sendo imposta no Política de Grupo. Como o AppLocker controla quais arquivos podem ser executados, fazer alterações em uma política ao vivo pode causar um comportamento inesperado.

Etapa 1: entender o comportamento atual da política do GPO

Antes de modificar uma política, avalie como a política é implementada no momento. Por exemplo, se uma nova versão do aplicativo for implantada, você poderá usar Test-AppLockerPolicy para verificar a eficácia da política atual para esse aplicativo.

Etapa 2: Exportar a política AppLocker do GPO

Atualizar uma política appLocker que atualmente é imposta em seu ambiente de produção pode ter resultados não intencionais. Portanto, exporte a política do GPO e atualize a regra ou as regras usando o AppLocker no computador de referência ou teste do AppLocker. Para preparar uma política appLocker para modificação, consulte Exportar uma política AppLocker de um GPO.

Etapa 3: atualizar a política AppLocker editando a regra apropriada do AppLocker

Depois de exportar a política AppLocker do GPO para o computador de referência ou teste appLocker ou acessar a política no computador local, as regras podem ser modificadas conforme necessário.

Para modificar as regras do AppLocker, confira os seguintes artigos:

Etapa 4: testar a política AppLocker

Você deve testar cada coleção de regras para garantir que as regras sejam executadas conforme o planejado. (Como as regras do AppLocker são herdadas de GPOs vinculados, você deve implantar todas as regras para testes simultâneos em todos os GPOs de teste.) Para obter etapas para executar esse teste, consulte Testar e atualizar uma política do AppLocker.

Etapa 5: importar a política AppLocker para o GPO

Após o teste, importe a política AppLocker de volta para o GPO para implementação. Para atualizar o GPO com uma política de AppLocker modificada, consulte Importar uma política AppLocker para um GPO.

Etapa 6: Monitorar o comportamento da política resultante

Depois de implantar uma política, avalie a eficácia da política.

Manter as políticas do AppLocker usando o snap-in da Política de Segurança Local

Para cada cenário, as etapas para manter uma política appLocker usando o Política de Grupo Editor local ou o snap-in da Política de Segurança Local incluem as tarefas a seguir.

Etapa 1: entender o comportamento atual da política

Antes de modificar uma política, avalie como a política é implementada no momento.

Etapa 2: atualizar a política AppLocker modificando a regra apropriada do AppLocker

As regras são agrupadas em uma coleção, que pode ter a configuração de aplicação da política aplicada a ela. Por padrão, as regras do AppLocker não permitem que os usuários abram ou executem arquivos que não sejam permitidos.

Para modificar as regras do AppLocker, consulte o artigo apropriado listado em Administrar AppLocker.

Etapa 3: testar a política AppLocker

Você deve testar cada coleção de regras para garantir que as regras sejam executadas conforme o planejado. Para obter etapas para executar esse teste, consulte Testar e atualizar uma política do AppLocker.

Etapa 4: implantar a política com a regra modificada

Você pode exportar e importar políticas do AppLocker para implantar a política em outros computadores que executam Windows 8 ou posterior. Para executar essa tarefa, consulte Exportar uma política AppLocker para um arquivo XML e Importar uma política AppLocker de outro computador.

Etapa 5: Monitorar o comportamento da política resultante

Depois de implantar uma política, avalie a eficácia da política.

Outros recursos

  • Para obter etapas para executar outras tarefas de política do AppLocker, consulte Administrar AppLocker.