Criar uma nova Política Base com o Assistente
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
Ao criar políticas para utilização com o Controlo de Aplicações para Empresas, recomenda-se que comece com uma política de modelo e, em seguida, adicione ou remova regras de acordo com o seu cenário de Controlo de Aplicações. Por este motivo, o Assistente de Controlo de Aplicações oferece três políticas de modelo para começar e personalizar durante o fluxo de trabalho de criação da política base. As informações de pré-requisitos sobre o Controlo de Aplicações podem ser acedidas através do guia de conceção do Controlo de Aplicações. Esta página descreve os passos para criar uma nova política de Controlo de Aplicações a partir de um modelo, configurar as opções de política e o signatário e as regras de ficheiro.
Políticas de Base de Modelos
Cada uma das políticas de modelo tem um conjunto exclusivo de regras de lista de permissões de políticas que afetam o modelo de círculo de confiança e segurança da política. A tabela seguinte lista as políticas por ordem crescente de confiança e liberdade. Por exemplo, a política de modo Predefinido do Windows confia em menos editores e signatários de aplicações do que a política de modo Assinado e Respeitável. A política Predefinida do Windows tem um círculo de confiança mais pequeno com melhor segurança do que a política Assinado e Respeitável, mas em detrimento da compatibilidade.
| Política base de modelos | Descrição |
|---|---|
| Modo Predefinido do Windows | O modo Predefinido do Windows autoriza os seguintes componentes:
|
| Permitir o Modo Microsoft | O modo de permissão autoriza os seguintes componentes:
|
| Modo Assinado e Respeitável | O modo Assinado e Dedutível autoriza os seguintes componentes:
|
O conteúdo em itálico indica as alterações na política atual relativamente à política anterior.
Pode aceder a mais informações sobre as políticas Modo Predefinido do Windows e Permitir Modo Microsoft através do artigo Controlo de Aplicações de Exemplo para Políticas base de Negócio.
Assim que o modelo base estiver selecionado, atribua um nome à política e escolha onde guardar a política de Controlo de Aplicações no disco.
Configurar Regras de Política
Após o início da página, as regras de política são ativadas/desativadas automaticamente, consoante o modelo escolhido da página anterior. Opte por ativar ou desativar as opções de regra de política pretendidas ao premir o botão de controlo de deslize junto aos títulos das regras de política. É apresentada uma breve descrição de cada regra na parte inferior da página quando o rato paira sobre o título da regra.
Descrição das Regras de Política
A tabela seguinte tem uma descrição de cada regra de política, começando pela coluna mais à esquerda. O artigo Regras de política fornece uma descrição mais completa de cada regra de política.
| Opção de regra | Descrição |
|---|---|
| Menu Opções de Arranque Avançadas | O menu de pré-arranque F8 está desativado por predefinição para todas as políticas do Controlo de Aplicações para Empresas. Definir essa opção de regra permite que o menu F8 seja exibido para usuários presentes fisicamente. |
| Permitir Políticas Suplementares | Utilize esta opção numa política base para permitir que as políticas suplementares a expandam. |
| Desativar imposição de script | Esta opção desativa as opções de imposição de scripts. Os scripts do PowerShell não assinados e o PowerShell interativo já não estão restritos ao Modo de Idioma Restrito. NOTA: esta opção é necessária para executar ficheiros HTA e só é suportada com o Atualização de maio de 2019 para o Windows 10 (1903) e superior. A sua utilização em versões anteriores do Windows 10 não é suportada e pode ter resultados inesperados. |
| Integridade de código protegida por hipervisor (HVCI) | Quando ativada, a imposição de políticas utiliza segurança baseada em virtualização para executar o serviço de integridade de código dentro de um ambiente seguro. O HVCI fornece proteções mais fortes contra software maligno de kernel. |
| Autorização do Gráfico de Segurança Inteligente | Utilize esta opção para permitir automaticamente aplicações com uma reputação "conhecida como boa", conforme definido pelo Microsoft Intelligent Security Graph (ISG). |
| Instalador Gerido | Utilize esta opção para permitir automaticamente aplicações instaladas por uma solução de distribuição de software, como Microsoft Configuration Manager, que tenha sido definida como um instalador gerido. |
| Exigir WHQL | Por predefinição, os controladores legados que não são windows Hardware Quality Labs (WHQL) assinados têm permissão para executar. Habilitar essa regra requer que todo driver executado seja assinado por WHQL e remova o suporte ao driver herdado. A partir de agora, todos os novos controladores compatíveis com o Windows têm de ter certificação WHQL. |
| Atualizar Política sem Reiniciar | Utilize esta opção para permitir que futuras atualizações de políticas do Controlo de Aplicações para Empresas sejam aplicadas sem que seja necessário reiniciar o sistema. |
| Política de Integridade do Sistema Não Assinada | Permite que a política permaneça não assinada. Quando essa opção é removida, a política deve ser assinada e ter UpdatePolicySigners adicionado à política para habilitar futuras modificações de política. |
| Integridade do Código do Modo de Utilizador | As políticas de Controlo de Aplicações para Empresas restringem os binários do modo kernel e do modo de utilizador. Por padrão, somente binários do modo kernel são restritos. Habilitar essa opção de regra valida executáveis do modo de usuário e scripts. |
Descrição das Regras de Política Avançadas
Selecionar a etiqueta + Opções Avançadas mostra outra coluna de regras de política, regras de política avançadas. A tabela seguinte fornece uma descrição de cada regra de política avançada.
| Opção de regra | Descrição |
|---|---|
| Auditoria de Arranque por Falha | Utilizado quando a política de Controlo de Aplicações para Empresas está no modo de imposição. Quando um controlador falha durante o arranque, a política de Controlo de Aplicações é colocada no modo de auditoria para que o Windows seja carregado. Os administradores podem validar o motivo da falha no log de eventos CodeIntegrity. |
| Desativar a Assinatura de Voo | Se estiver ativada, as políticas de Controlo de Aplicações bloqueiam binários assinados por flightroot. Esta opção seria utilizada no cenário em que as organizações apenas querem executar binários lançados e não compilações assinadas por piloto/pré-visualização. |
| Desativar o Runtime FilePath Rule Protection | Esta opção desativa a marcar de runtime predefinida que só permite regras filePath para caminhos que só são graváveis por um administrador. |
| Segurança de Código Dinâmico | Permite a imposição de políticas para aplicações .NET e bibliotecas carregadas dinamicamente (DLLs). |
| Invalidar EAs no Reinício | Quando a opção Gráfico de Segurança Inteligente (14) é utilizada, o Controlo de Aplicações define um atributo de ficheiro expandido que indica que o ficheiro foi autorizado a ser executado. Esta opção faz com que o Controlo de Aplicações revalida periodicamente a reputação dos ficheiros autorizados pelo ISG. |
| Exigir Signatários de EV | Esta opção não é atualmente suportada. |
Observação
Recomendamos que ative o Modo de Auditoria inicialmente porque lhe permite testar novas políticas de Controlo de Aplicações para Empresas antes de as impor. Com o modo de auditoria, nenhuma aplicação é bloqueada. Em vez disso, a política regista um evento sempre que uma aplicação fora da política é iniciada. Por este motivo, todos os modelos têm o Modo de Auditoria ativado por predefinição.
Criar regras de ficheiros personalizadas
As regras de ficheiros numa política de Controlo de Aplicações especificam o nível no qual as aplicações são identificadas e fidedignas. As regras de ficheiro são o mecanismo main para definir a confiança na política de Controlo de Aplicações. Selecionar + Regras Personalizadas abre o painel de condições da regra de ficheiro personalizado para criar regras de ficheiro personalizadas para a sua política. O Assistente suporta quatro tipos de regras de ficheiro:
Regras do Publicador
O tipo de regra de ficheiro do Publisher utiliza propriedades na cadeia de certificados de assinatura de código para as regras de ficheiro base. Depois de selecionar o ficheiro para desativar a regra, denominado ficheiro de referência, utilize o controlo de deslize para indicar a especificidade da regra. A tabela seguinte mostra a relação entre o posicionamento do controlo de deslize, o nível de regra do Controlo de Aplicações para Empresas correspondente e a respetiva descrição. Quanto mais baixa for a colocação na tabela e o controlo de deslize da IU, maior será a especificidade da regra.
| Condição da Regra | Nível de Regra de Controlo de Aplicações | Descrição |
|---|---|---|
| A emitir AC | PCACertificate | O certificado mais elevado disponível é adicionado aos signatários. Normalmente, este certificado é o certificado PCA, um nível abaixo do certificado de raiz. Qualquer ficheiro assinado por este certificado é afetado. |
| Editor | Editor | Esta regra é uma combinação da regra PCACertificate e do nome comum (CN) do certificado de folha. Qualquer ficheiro assinado por uma AC principal, mas com uma folha de uma empresa específica, por exemplo, uma empresa de controladores de dispositivos, é afetado. |
| Versão do ficheiro | SignedVersion | Esta regra é uma combinação de PCACertificate, publicador e um número de versão. Qualquer item do publicador especificado com uma versão em ou acima do especificado é afetado. |
| Nome do arquivo | FilePublisher | Mais específico. Combinação do nome de ficheiro, publicador e certificado PCA e um número de versão mínimo. Os ficheiros do publicador com o nome especificado e maiores ou iguais à versão especificada são afetados. |
Regras de Caminho de Ficheiro
As regras filepath não fornecem as mesmas garantias de segurança que as regras explícitas do signatário, uma vez que se baseiam em permissões de acesso mutáveis. Para criar uma regra de caminho de ficheiro, selecione o ficheiro com o botão Procurar.
Regras de Atributo de Ficheiro
O Assistente suporta a criação de regras de nome de ficheiro com base em atributos de ficheiro autenticados. As regras de nome de ficheiro são úteis quando uma aplicação e as respetivas dependências (por exemplo, DLLs) podem partilhar o mesmo nome de produto, por exemplo. Este nível de regra permite que os utilizadores criem facilmente políticas direcionadas com base no parâmetro nome de ficheiro do Nome do Produto. Para selecionar o atributo de ficheiro para criar a regra, mova o controlo de deslize no Assistente para o atributo pretendido. A tabela seguinte descreve cada um dos atributos de ficheiro suportados para criar uma regra.
| Nível da regra | Descrição |
|---|---|
| Nome de Ficheiro Original | Especifica o nome de ficheiro original, ou o nome com o qual o ficheiro foi criado pela primeira vez, do binário. |
| Descrição do ficheiro | Especifica a descrição do ficheiro fornecida pelo programador do binário. |
| Nome do produto | Especifica o nome do produto com o qual o binário é enviado. |
| Nome interno | Especifica o nome interno do binário. |
Regras de Hash de Ficheiro
Por fim, o Assistente suporta a criação de regras de ficheiro com o hash do ficheiro. Embora este nível seja específico, pode causar custos administrativos adicionais para manter os valores hash da versão atual do produto. Sempre que um binário é atualizado, o valor de hash muda, logo, exigindo uma atualização de política. Por predefinição, o Assistente utiliza o hash de ficheiro como contingência caso não seja possível criar uma regra de ficheiro com o nível de regra de ficheiro especificado.
Eliminar Regras de Assinatura
A tabela de lista de regras de assinatura de políticas à esquerda da página documenta as regras de permissão e negação no modelo e quaisquer regras personalizadas que criar. As regras de assinatura de modelos e as regras personalizadas podem ser eliminadas da política ao selecionar a regra na tabela de lista de regras. Assim que a regra estiver realçada, prima o botão eliminar por baixo da tabela. Em seguida, ser-lhe-á pedida outra confirmação. Selecione Yes para remover a regra da política e da tabela de regras.