Configurações de política de acesso atribuídas
Quando a configuração de Acesso Atribuído é aplicada em um dispositivo, determinadas configurações de política e regras do AppLocker são impostas, afetando os usuários que acessam o dispositivo. As configurações de política usam uma combinação de configurações de CSP (provedor de serviços de configuração) e GPO (política de grupo).
Este artigo de referência lista as configurações de política e as regras do AppLocker aplicadas pelo Acesso Atribuído.
Observação
Não é recomendável configurar as configurações de política impostas pelo Acesso Atribuído a valores diferentes usando outros canais. O Acesso Atribuído é otimizado para fornecer uma experiência bloqueada.
Configurações de política do dispositivo
As seguintes configurações de política são aplicadas no nível do dispositivo quando você implanta uma experiência restrita do usuário. Qualquer usuário que acessa o dispositivo está sujeito às configurações da política, incluindo contas de administrador:
Tipo | Caminho | Nome/Descrição |
---|---|---|
CSP | ./Vendor/MSFT/Policy/Config/Experience/AllowCortana |
Desabilitar a Cortana |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDocuments |
Desabilitar o ícone Iniciar documentos |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderDownloads |
Desabilitar o ícone Iniciar downloads |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderFileExplorer |
Desabilitar o ícone Do explorador de arquivos Iniciar |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderHomeGroup |
Desabilitar o ícone Iniciar grupo doméstico |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderMusic |
Desabilitar o ícone Iniciar música |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderNetwork |
Desabilitar o ícone iniciar rede |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPersonalFolder |
Desabilitar o ícone Iniciar pasta pessoal |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderPictures |
Desabilitar o ícone Iniciar imagens |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderSettings |
Desabilitar o ícone Desabilitar configurações de início |
CSP | ./Vendor/MSFT/Policy/Config/Start/AllowPinnedFolderVideos |
Desabilitar o ícone Iniciar vídeos |
CSP | ./Vendor/MSFT/Policy/Config/Start/HideChangeAccountSettings |
Ocultar configurações de conta de alteração de aparecer no bloco de usuário |
CSP | ./Vendor/MSFT/Policy/Config/Update/SetAutoRestartNotificationDisable |
Oculta todas as notificações de atualização |
CSP | ./Vendor/MSFT/Policy/Config/Update/UpdateNotificationLevel |
Desabilita notificações de reinicialização automática para atualizações |
CSP | ./Vendor/MSFT/Policy/Config/WindowsInkWorkspace/AllowWindowsInkWorkspace |
O acesso ao workspace de tinta está desabilitado |
CSP | ./Vendor/MSFT/Policy/Config/WindowsLogon/DontDisplayNetworkSelectionUI |
Ocultar a interface do usuário de redes na tela do logon, bem como na interface do usuário "opções de segurança" |
Configurações de política de usuário
As seguintes configurações de política são aplicadas a qualquer conta nãoministradora quando você implanta uma experiência restrita do usuário:
Tipo | Caminho | Nome/Descrição |
---|---|---|
CSP | ./User/Vendor/MSFT/Policy/Config/Start/DisableContextMenus |
Desabilitar menu de contexto para aplicativos de menu Iniciar |
CSP | ./User/Vendor/MSFT/Policy/Config/Start/HidePeopleBar |
Ocultar Pessoas Barra de aparecer na barra de tarefas |
CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentlyAddedApps |
Ocultar aplicativos adicionados recentemente de aparecer no menu Iniciar |
CSP | ./User/Vendor/MSFT/Policy/Config/Start/HideRecentJumplists |
Ocultar listas de salto recentes de aparecer na barra de tarefas/menu Iniciar |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Limpar o histórico de documentos abertos recentemente ao sair |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Desabilitar a exibição de notificações do sistema |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Não permitir a fixação de itens nas Listas de Atalhos |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Não permitir a fixação de programas na Barra de Tarefas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Não exibir nem controlar itens nas Listas de Atalhos a partir de locais remotos |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Ocultar e desabilitar todos os itens na área de trabalho |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Ocultar o botão Modo de Exibição de Tarefas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Bloquear todas as configurações da barra de tarefas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Bloquear a Barra de Tarefas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários adicionem ou removam barras de ferramentas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários personalizem a tela inicial |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários moam a barra de tarefas para outro local de encaixe de tela |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários organizem barras de ferramentas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários redimensionem a barra de tarefas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Impedir que os usuários desinstalem aplicativos da tela inicial |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover o acesso aos menus de contexto para a barra de tarefas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover a lista Todos os Programas do menu Iniciar |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover Central de Controle |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover a lista de programas frequentes do menu Iniciar |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover a Notificação e a Central de Ações |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover configurações rápidas |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover o comando Executar do menu Iniciar |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Remover o ícone de Segurança e Manutenção |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Desativar todas as notificações de balão |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas | Desativar as notificações de balão de anúncio do recurso |
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Notificações | Desativar as notificações do sistema |
GPO | Configuração do usuário\Modelos Administrativos\Sistema\Opções Ctrl+Alt+Del | Remover senha de alteração |
GPO | Configuração do usuário\Modelos Administrativos\Sistema\Opções Ctrl+Alt+Del | Remover logoff |
GPO | Configuração do usuário\Modelos Administrativos\Sistema\Opções Ctrl+Alt+Del | Remover o Gerenciador de Tarefas |
GPO | Configuração do usuário\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos | Remover a unidade de rede de mapa e desconectar a unidade de rede |
GPO | Configuração do usuário\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos | Remover o menu de contexto padrão do Explorador de Arquivos |
As seguintes configurações de política são aplicadas à conta de quiosque ao configurar uma experiência de quiosque com o Microsoft Edge:
Tipo | Caminho | Nome/Descrição |
---|---|---|
GPO | Configuração do Usuário\Modelos Administrativos\Menu Iniciar e Barra de Tarefas\Notificações | Executar somente aplicativos Windows especificados >msedge.exe |
GPO | Configuração do Usuário\Modelos Administrativos\Sistema | Desativar as notificações do sistema |
GPO | Configuração do Usuário\Modelos Administrativos\Componentes do Windows\Gerenciador de Anexos | Nível de risco padrão para anexos de > arquivo Alto risco |
GPO | Configuração do Usuário\Modelos Administrativos\Componentes do Windows\Gerenciador de Anexos | Lista de inclusão para tipos de arquivo baixos >.pdf;.epub |
GPO | Configuração do usuário\Modelos Administrativos\Componentes do Windows\Explorador de Arquivos | Remover o menu de contexto padrão do Explorador de Arquivos |
Regras do AppLocker
Quando você implanta uma experiência de usuário restrita do Acesso Atribuído, as regras do AppLocker são geradas para permitir os aplicativos listados na configuração. Aqui estão as regras predefinidas do AppLocker de Acesso Atribuído:
regras do aplicativo Plataforma Universal do Windows (UWP)
- A regra padrão é permitir que todos os usuários iniciem os aplicativos empacotados assinados
- A lista de negação de aplicativo empacotado é gerada em runtime quando o usuário do Acesso Atribuído entra:
- Com base nos aplicativos instalados disponíveis para a conta de usuário, o Acesso Atribuído gera a lista de negação. A lista exclui os aplicativos empacotados de caixa de entrada permitidos padrão, que são essenciais para que o sistema funcione e exclua os pacotes permitidos definidos na configuração de Acesso Atribuído
- Se houver vários aplicativos no mesmo pacote, todos os aplicativos serão excluídos
A lista de negação é usada para impedir que o usuário acesse os aplicativos, que estão disponíveis atualmente para o usuário, mas não na lista permitida
Observação
Você não pode gerenciar regras do AppLocker geradas pela experiência restrita do usuário em snap-ins do MMC. Evite criar regras do AppLocker que entram em conflito com as regras do AppLocker geradas pelo Acesso Atribuído.
O acesso atribuído não impede que a organização ou os usuários instalem aplicativos UWP. Quando um novo aplicativo UWP é instalado durante uma sessão de Acesso Atribuído, o aplicativo não está na lista de negações. Quando o usuário sai e entra novamente, o aplicativo instalado é incluído na lista de negação. Para aplicativos implantados centralmente que você deseja permitir, como aplicativos de linha de biness, atualize a configuração de Acesso Atribuído e inclua os aplicativos na lista de aplicativos de permissão.
Regras do aplicativo desktop
- A regra padrão é permitir que todos os usuários iniciem os programas de área de trabalho assinados com o Certificado da Microsoft para que o sistema inicialize e funcione. A regra também permite que o grupo de usuários administradores iniciem todos os programas da área de trabalho.
- Há uma lista de negação de aplicativo de área de trabalho de caixa de entrada predefinida para a conta de usuário do Acesso Atribuído, que é atualizada com base na lista de permissões do aplicativo de área de trabalho que você definiu na configuração de Acesso Atribuído
- Aplicativos de área de trabalho permitidos definidos pela empresa são adicionados na lista de permissões do AppLocker