Gerenciar aplicativos empacotados com o AppLocker
Este artigo para profissionais de TI descreve conceitos e listas de procedimentos para o ajudar a gerir aplicações em pacote com o AppLocker como parte da sua estratégia geral de controlo de aplicações.
Understanding Packaged apps and Packaged app installers for AppLocker
As aplicações em pacote baseiam-se num modelo que garante que todos os ficheiros dentro de um pacote de aplicações partilham a mesma identidade. Com as aplicações clássicas do Windows, cada ficheiro na aplicação pode ter uma identidade exclusiva. Com as aplicações em pacote, é possível controlar toda a aplicação com uma única regra do AppLocker.
Observação
O AppLocker suporta apenas regras de publicador para aplicações em pacote. Todas as aplicações em pacote têm de ser assinadas pelo fabricante de software porque o Windows não suporta aplicações em pacote não assinadas.
Normalmente, uma aplicação consiste em vários componentes: o instalador que é utilizado para instalar a aplicação e um ou mais exes, dlls ou scripts. Com as aplicações clássicas do Windows, nem todos estes componentes partilham sempre atributos comuns, como o nome do fabricante do software, o nome do produto e a versão do produto. Por conseguinte, o AppLocker controla cada um destes componentes separadamente através de diferentes coleções de regras, tais como regras exe, dll, script e Windows Installer. Por outro lado, todos os componentes de uma aplicação em pacote partilham o mesmo nome de publicador, nome do pacote e atributos de versão do pacote. Por conseguinte, pode controlar uma aplicação inteira com uma única regra.
Comparar aplicações clássicas do Windows e aplicações em pacote
As regras para aplicações clássicas do Windows e aplicações em pacote podem ser impostas em conjunto. As diferenças entre aplicações em pacote e aplicações clássicas do Windows que deve considerar incluem:
- Instalar as aplicações – todas as aplicações em pacote podem ser instaladas por um utilizador padrão, enquanto muitas aplicações clássicas do Windows necessitam de privilégios administrativos para serem instaladas. Num ambiente onde a maioria dos utilizadores são utilizadores padrão, poderá precisar de menos regras exe (porque as aplicações clássicas do Windows necessitam de privilégios administrativos para instalar), mas poderá precisar de mais regras para aplicações em pacote.
- Alterar o estado do sistema – as aplicações Clássicas do Windows podem ser escritas para alterar o estado do sistema se forem executadas com privilégios administrativos. A maioria das aplicações em pacote não pode alterar o estado do sistema porque são executadas com privilégios limitados. Quando cria as políticas do AppLocker, é importante compreender se uma aplicação que está a permitir pode fazer alterações ao nível do sistema.
O AppLocker utiliza coleções de regras diferentes para controlar aplicações em pacote e aplicações clássicas do Windows. Pode optar por controlar um tipo, o outro tipo ou ambos.
Para obter informações sobre como controlar aplicações clássicas do Windows, consulte Administrar o AppLocker.
Para obter mais informações sobre aplicações em pacote, veja Aplicações em pacote e regras do instalador de aplicações em pacote no AppLocker.
Decisões de conceção e implementação
Pode utilizar dois métodos para criar um inventário de aplicações em pacote num computador: a consola appLocker ou o cmdlet Get-AppxPackage Windows PowerShell.
Observação
Nem todas as aplicações em pacote estão listadas no assistente de inventário de aplicações do AppLocker. Determinados pacotes de aplicações são pacotes de arquitetura que são utilizados por outras aplicações. Por si só, estes pacotes não podem fazer nada, mas bloquear esses pacotes pode inadvertidamente causar falhas nas aplicações que pretende permitir. Em vez disso, pode criar regras permitir ou negar para as aplicações em pacote que utilizam estes pacotes de arquitetura. A interface de utilizador do AppLocker filtra deliberadamente todos os pacotes registados como pacotes de arquitetura. Para obter informações sobre como criar uma lista de inventário, consulte Criar lista de aplicações implementadas em cada grupo empresarial.
Para obter informações sobre como utilizar o cmdlet Get-AppxPackage Windows PowerShell, consulte a Referência de Comandos do PowerShell do AppLocker.
Para obter informações sobre como criar regras para Aplicações em pacote, consulte Criar uma regra para aplicações em pacote.
Quando estiver a criar e implementar aplicações, considere as seguintes informações:
- Uma vez que o AppLocker suporta apenas regras de publicador para aplicações em pacote, não é necessário recolher as informações do caminho de instalação para aplicações em pacote.
- Não precisa de criar regras baseadas em hash ou caminho para aplicações em pacote porque o fabricante de software tem de assinar todas as aplicações em pacote e os instaladores de aplicações em pacote. As aplicações Clássicas do Windows nem sempre foram assinadas de forma consistente; Por conseguinte, o AppLocker tem de suportar regras baseadas em hash ou caminho.
- Por predefinição, se não existirem regras numa coleção de regras específica, o AppLocker permite todos os ficheiros incluídos nessa coleção de regras. Por exemplo, se não existirem regras do Windows Installer, o AppLocker permite que todos os ficheiros .msi, .msp e .mst sejam executados.
Observação
Por predefinição, o AppLocker bloqueia todas as aplicações em pacote se a política de domínio existente tiver regras configuradas na coleção de regras exe. Tem de tomar medidas explícitas para permitir aplicações em pacote na sua empresa. Só pode permitir um conjunto selecionado de aplicações em pacote. Em alternativa, se quiser permitir todas as aplicações em pacote, pode criar uma regra predefinida para a coleção de aplicações em pacote.
Utilizar o AppLocker para gerir aplicações em pacote
Tal como existem diferenças na gestão de cada coleção de regras, tem de gerir as aplicações em pacote com a seguinte estratégia:
Recolha informações sobre as Aplicações em pacote que estão a ser executadas no seu ambiente. Para obter informações sobre como recolher estas informações, consulte Criar lista de aplicações implementadas em cada grupo empresarial.
Crie regras do AppLocker para aplicações em pacote específicas com base nas suas estratégias de política. Para obter mais informações, veja Criar uma regra para aplicações em pacote e Compreender as regras predefinidas do AppLocker.
Continue a atualizar as políticas do AppLocker à medida que são introduzidas novas aplicações de pacote no seu ambiente. Para efetuar esta atualização, veja Adicionar regras para aplicações em pacote ao conjunto de regras do AppLocker existente.
Continue a monitorizar o seu ambiente para verificar a eficácia das regras implementadas nas políticas do AppLocker. Para efetuar esta monitorização, veja Monitorizar a utilização de aplicações com o AppLocker.