Monitorar o uso de aplicativos com o AppLocker
Este artigo para profissionais de TI descreve como monitorar o uso do aplicativo quando as políticas do AppLocker são aplicadas.
Depois de implantar políticas do AppLocker, monitore seu efeito em dispositivos para garantir que os resultados sejam o esperado.
Descobrir o efeito de uma política do AppLocker
Você pode avaliar como a política AppLocker é implementada atualmente para fins de documentação ou auditoria ou antes de modificar a política. Atualizar seu documento de Planejamento de Implantação de Política do AppLocker ajuda você a acompanhar suas descobertas. Você pode executar uma ou mais das etapas a seguir para entender quais controles de aplicativo são aplicados atualmente por meio das regras do AppLocker.
Analisar os logs do AppLocker no Visualizador de Eventos
Quando a aplicação da política appLocker é definida como Impor regras, todos os arquivos que não são permitidos pela sua política são bloqueados. Nesse caso, um evento é gerado no log de eventos AppLocker para a coleção de regras. Quando a aplicação da política do AppLocker é definida apenas como Auditoria, as regras não são impostas, mas ainda são avaliadas para gerar dados de evento de auditoria gravados nos logs do AppLocker.
Para obter mais informações sobre o procedimento para acessar o log, consulte Exibir o Log do AppLocker no Visualizador de Eventos.
Habilitar a configuração de aplicação do AppLocker somente auditoria
Usando a configuração de execução somente auditoria , você pode garantir que as regras do AppLocker estejam configuradas corretamente para sua organização. Quando a aplicação da política do AppLocker é definida apenas como Auditoria, as regras são avaliadas apenas, mas todos os eventos gerados a partir dessa avaliação são gravados no log do AppLocker.
Para obter mais informações sobre o procedimento para fazer essa configuração, consulte Configurar uma política AppLocker somente para auditoria.
Examinar eventos AppLocker com Get-AppLockerFileInformation
Para assinaturas de eventos e eventos locais, você pode usar o cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar quais arquivos foram bloqueados ou seriam bloqueados (se você estiver usando o modo de execução somente auditoria) e quantas vezes o evento de bloco ocorreu para cada arquivo.
Para obter mais informações sobre o procedimento para fazer essa verificação, consulte Revisar Eventos appLocker com Get-AppLockerFileInformation.
Examinar eventos AppLocker com Test-AppLockerPolicy
Você pode usar o cmdlet test-AppLockerPolicy Windows PowerShell para determinar se alguma das regras em suas coleções de regras afeta arquivos executados em seu dispositivo de referência ou no dispositivo no qual você mantém políticas.
Para obter mais informações sobre o procedimento para fazer esse teste, consulte Testar uma política appLocker usando Test-AppLockerPolicy.
Examinar eventos do AppLocker com Get-AppLockerFileInformation
Para assinaturas de eventos e eventos locais, você pode usar o cmdlet Get-AppLockerFileInformation Windows PowerShell para determinar quais arquivos foram bloqueados ou seriam bloqueados (se a configuração de execução somente auditoria for aplicada) e quantas vezes o evento de bloco ocorreu para cada arquivo.
A associação ao grupo de administradores locais, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Observação
Se os logs do AppLocker não estiverem em seu dispositivo local, você precisará de permissão para exibir os logs. Se a saída for salva em um arquivo, você precisará de permissão para ler esse arquivo.
Para examinar eventos do AppLocker com Get-AppLockerFileInformation
No prompt de comando, digite PowerShell e selecione ENTER.
Execute o seguinte comando para examinar quantas vezes sua política AppLocker não permitiu um arquivo:
Get-AppLockerFileInformation -EventLog -EventType Audited -StatisticsExecute o seguinte comando para examinar quantas vezes um arquivo foi autorizado a ser executado ou impedido de executar:
Get-AppLockerFileInformation -EventLog -EventType Allowed -Statistics
Exibir o log do AppLocker no Visualizador de Eventos
Quando a aplicação da política appLocker é definida como Impor regras, todos os arquivos que não são permitidos pela sua política são bloqueados. Nesse caso, um evento é gerado no log de eventos AppLocker para a coleção de regras. Quando a aplicação da política do AppLocker é definida apenas como Auditoria, as regras não são impostas, mas ainda são avaliadas para gerar dados de evento de auditoria gravados nos logs do AppLocker.
A associação ao grupo de administradores locais, ou equivalente, é o mínimo necessário para concluir esse procedimento.
Para exibir eventos no log do AppLocker usando Visualizador de Eventos
- Para abrir Visualizador de Eventos, acesse o menu Iniciar, digiteeventvwr.msc e selecione ENTER.
- Na árvore de console em Logs de Aplicativos e Serviços\Microsoft\Windows, clique duas vezes em AppLocker.
Os eventos AppLocker estão listados no log EXE e DLL , no log MSI e script ou no log empacotado de implantação de aplicativo ou de execução de aplicativo empacotado . As informações do evento incluem a configuração de imposição, nome do arquivo, data e hora e nome do usuário. Os logs podem ser exportados para outros formatos de arquivo para análise posterior.
Artigos relacionados
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários