Entender a herança da configuração de imposição e as regras do AppLocker na Política de Grupo

Este artigo para profissionais de TI descreve como as políticas de controlo de aplicações configuradas no AppLocker são aplicadas através de Política de Grupo.

A imposição de regras é aplicada apenas a coleções de regras e não a regras individuais. Para obter mais informações sobre coleções de regras, consulte Coleções de regras do AppLocker.

Política de Grupo intercala a política appLocker de duas formas:

  • Regras. Política de Grupo não substitui nem substitui regras que já estão presentes num Objeto de Política de Grupo ligado (GPO). Por exemplo, se o GPO atual tiver 12 regras e um GPO ligado tiver 50 regras, serão aplicadas 62 regras.

    Importante

    Ao determinar se um ficheiro tem permissão para ser executado, o AppLocker processa as regras pela seguinte ordem:

    1. Negação explícita. Um administrador criou uma regra para negar um ficheiro.
    2. Permissão explícita. Um administrador criou uma regra para permitir um ficheiro.
    3. Negação implícita. Todos os ficheiros não abrangidos por uma regra de permissão são bloqueados.
  • Definições de imposição. A última escrita na política é aplicada. Por exemplo, se um GPO de nível superior tiver a definição de imposição configurada para Impor regras e o GPO mais próximo tiver a definição configurada apenas para Auditoria, a opção Apenas auditoria é imposta. Se o modo de imposição não estiver configurado no GPO mais próximo, a definição do GPO ligado mais próximo é imposta. Uma vez que a política efetiva de um computador inclui regras de cada GPO ligado, as regras duplicadas ou as regras em conflito podem ser impostas no computador de um utilizador. Por conseguinte, deve planear cuidadosamente a sua implementação para garantir que apenas as regras necessárias estão presentes num GPO.

A figura seguinte demonstra como a imposição de regras do AppLocker é aplicada através de GPOs ligados.

gráfico de herança de imposição de regras do applocker.

Na ilustração anterior, todos os GPOs ligados à Contoso são aplicados por ordem configurada. As regras que não estão configuradas também são aplicadas. Por exemplo, o resultado dos GPOs da Contoso e dos Recursos Humanos são 33 regras impostas, conforme mostrado no hr-term1 do cliente. O GPO de Recursos Humanos contém 10 regras em que a definição do modo de imposição "não está configurada". Quando a coleção de regras está configurada apenas para Auditoria, não são impostas regras.

Ao construir a arquitetura de Política de Grupo para aplicar políticas appLocker, é importante lembrar:

  • Qualquer coleção de regras com o modo de imposição definido como "não configurado" é imposta.
  • Política de Grupo não substitui nem substitui regras que já estão presentes num GPO ligado.
  • As regras de negação do AppLocker têm sempre precedência sobre quaisquer regras de permissão.
  • Para a imposição de regras, é aplicada a última escrita no GPO.