Executar o Assistente para Gerar Regras Automaticamente

Este artigo para profissionais de TI descreve os passos para executar o assistente para criar regras do AppLocker num dispositivo de referência.

O AppLocker permite-lhe gerar automaticamente regras para todos os ficheiros numa pasta. Analisa a pasta especificada e cria os tipos de condição que escolher para cada ficheiro nessa pasta.

Para gerir uma política do AppLocker num Objeto Política de Grupo (GPO), pode efetuar esta tarefa com a Consola de Gestão do Política de Grupo. Para gerir uma política appLocker para o computador local ou para utilizar num modelo de segurança, utilize o snap-in Política de Segurança Local. Para obter informações sobre como utilizar estes snap-ins de MMC para administrar o AppLocker, consulte Administrar o AppLocker.

Para gerar regras automaticamente

  1. Abra a consola do AppLocker.

  2. Clique com o botão direito do rato no tipo de regra adequado para o qual pretende gerar automaticamente regras. Pode gerar automaticamente regras para regras executáveis, do Windows Installer, do script e das aplicações em pacote.

  3. Selecione Gerar Automaticamente Regras.

  4. Na página Pasta e Permissões , selecione Procurar para escolher a pasta a analisar. Por predefinição, esta pasta é a pasta Ficheiros do Programa.

  5. Selecione Selecionar para escolher o grupo de segurança no qual as regras predefinidas devem ser aplicadas. Por predefinição, este grupo é o grupo Todos .

  6. O assistente fornece um nome na caixa Nome para identificar este conjunto de regras com base no nome da pasta selecionada. Aceite o nome fornecido ou escreva um nome diferente e, em seguida, selecione Seguinte.

  7. Na página Preferências de Regra , selecione as condições que pretende que o assistente utilize ao criar regras e, em seguida, selecione Seguinte. Para obter mais informações sobre as condições das regras, veja Compreender os tipos de condição de regra do AppLocker.

    Observação

    A caixa Reduzir o número de regras criadas ao agrupar ficheiros semelhantes marcar está selecionada por predefinição. Isto ajuda-o a organizar as regras do AppLocker e a reduzir o número de regras que cria ao realizar as seguintes operações para a condição de regra que selecionar:

    • É criada uma condição de publicador para todos os ficheiros que tenham o mesmo nome de fabricante e produto.
    • É criada uma condição de caminho para a pasta que selecionar. Por exemplo, se selecionar C:\Programas\ProgramName\ e os ficheiros nessa pasta não estiverem assinados, o assistente cria uma regra para %programfiles%\ProgramName\*.
    • É criada uma condição hash de ficheiro que contém todos os hashes de ficheiro. Quando o agrupamento de regras é desativado, o assistente cria uma regra hash de ficheiro para cada ficheiro.
  8. Reveja os ficheiros que foram analisados e as regras criadas. Para fazer alterações, selecione Anterior para regressar à página onde pode alterar as suas seleções. Depois de rever as regras, selecione Criar.

Observação

Se estiver a executar o assistente para criar as suas primeiras regras para um GPO, ser-lhe-á pedido que crie as regras predefinidas que permitem a execução de ficheiros críticos do sistema, após concluir o assistente. Pode editar as regras predefinidas em qualquer altura. Se a sua organização tiver decidido editar as regras predefinidas ou criar regras personalizadas para permitir que os ficheiros do sistema Windows sejam executados, certifique-se de que elimina as regras predefinidas depois de as substituir pelas regras personalizadas.