Partilhar via

Entender a herança da configuração de imposição e as regras do AppLocker na Política de Grupo

Este artigo para o profissional de TI descreve como as políticas de controle de aplicativo configuradas no AppLocker são aplicadas por meio de Política de Grupo.

A aplicação de regras é aplicada apenas a coleções de regras, não a regras individuais. Para obter mais informações sobre coleções de regras, consulte Coleções de regras do AppLocker.

Política de Grupo mescla a política do AppLocker de duas maneiras:

  • Regras. Política de Grupo não substitui ou substitui regras que já estão presentes em um GPO (objeto Política de Grupo vinculado). Por exemplo, se o GPO atual tiver 12 regras e um GPO vinculado tiver 50 regras, 62 regras serão aplicadas.

    Importante

    Ao determinar se um arquivo tem permissão para ser executado, o AppLocker processa regras na seguinte ordem:

    1. Negação explícita. Um administrador criou uma regra para negar um arquivo.
    2. Permissão explícita. Um administrador criou uma regra para permitir um arquivo.
    3. Negação implícita. Todos os arquivos não cobertos por uma regra de permissão são bloqueados.

  • Configurações de imposição. A última gravação na política é aplicada. Por exemplo, se um GPO de nível superior tiver a configuração de imposição configurada para Impor regras e o GPO mais próximo tiver a configuração configurada apenas para Auditoria, a auditoria só será imposta. Se o modo de aplicação não estiver configurado no GPO mais próximo, a configuração do GPO vinculado mais próximo será imposta. Como a política efetiva de um computador inclui regras de cada GPO vinculado, regras duplicadas ou regras conflitantes podem ser impostas no computador de um usuário. Portanto, você deve planejar cuidadosamente sua implantação para garantir que apenas as regras necessárias estejam presentes em um GPO.

A figura a seguir demonstra como a imposição de regras do AppLocker é aplicada por meio de GPOs vinculados.

gráfico de herança de imposição de regra do applocker.

Na ilustração anterior, todos os GPOs vinculados à Contoso são aplicados em ordem conforme configurado. As regras que não estão configuradas também são aplicadas. Por exemplo, o resultado dos GPOs contoso e recursos humanos é 33 regras impostas, conforme mostrado no cliente HR-Term1. O GPO de Recursos Humanos contém 10 regras em que a configuração do modo de aplicação "não está configurada". Quando a coleção de regras é configurada apenas para Auditoria, nenhuma regra é imposta.

Ao construir a arquitetura Política de Grupo para aplicar políticas do AppLocker, é importante lembrar:

  • Qualquer coleção de regras com o modo de imposição definido como "não configurado" é imposta.
  • Política de Grupo não substitui ou substitui regras que já estão presentes em um GPO vinculado.
  • As regras de negação do AppLocker sempre têm precedência sobre qualquer regra de permissão.
  • Para a aplicação da regra, a última gravação no GPO é aplicada.