Trabalhando com regras do AppLocker

Este artigo para profissionais de TI descreve os tipos de regras do AppLocker e como trabalhar com os mesmos para as suas políticas de controlo de aplicações.

Coleções de regras

As políticas do AppLocker estão organizadas em coleções de regras, incluindo ficheiros executáveis, scripts, ficheiros do Windows Installer, aplicações em pacote e instaladores de aplicações em pacote e ficheiros DLL. Estas coleções proporcionam-lhe uma forma fácil de diferenciar as regras para diferentes tipos de aplicações. A tabela seguinte lista os formatos de ficheiro incluídos em cada coleção de regras.

Coleção de regras Formatos de ficheiro associados
Ficheiros executáveis .exe
.com
Scripts .ps1
.bat
.cmd
.vbs
.js
Ficheiros do Windows Installer .msi
.msp
.mst
Aplicações em pacote e instaladores de aplicações em pacote .appx
Ficheiros DLL .dll
.ocx

Observação

As regras do AppLocker para ficheiros executáveis aplicam-se a todos os ficheiros executáveis portáteis (PE), independentemente da extensão do ficheiro que os atacantes possam alterar facilmente. As informações da extensão de ficheiro listadas na tabela anterior para ficheiros executáveis são ilustrativas apenas.

A coleção de regras DLL não está ativada por predefinição. Para saber como ativar a coleção de regras DLL, veja Coleções de regras DLL.

Importante

Se utilizar regras DLL, terá de criar uma regra de permissão que abranja todas as DLL utilizadas por todas as aplicações permitidas.

Quando são utilizadas regras DLL, o AppLocker tem de marcar cada DLL que uma aplicação carrega. Por conseguinte, os utilizadores podem sofrer uma redução no desempenho se forem utilizadas regras de DLL. No entanto, este impacto no desempenho é normalmente imperceptível, a menos que um dispositivo já esteja limitado a recursos.

Modos de imposição

As políticas do AppLocker definem um modo de imposição para cada coleção de regras incluída na política. Estes modos de imposição estão descritos na tabela seguinte.

Modo de imposição Descrição
Não configurado Apesar do nome, este modo de imposição não significa que as regras sejam ignoradas. Pelo contrário, se existirem regras numa coleção de regras que "não esteja configurada", as regras serão impostas , a menos que uma política com uma precedência superior altere o modo de imposição para Apenas auditoria. Uma vez que este modo de imposição pode ser confuso para os autores de políticas, deve evitar utilizar este valor nas políticas do AppLocker. Em vez disso, deve escolher explicitamente entre as duas opções restantes.
Impor regras As regras são impostas. Quando um utilizador executa uma aplicação afetada por uma regra do AppLocker, o binário da aplicação é bloqueado. As informações sobre o binário são adicionadas ao registo de eventos do AppLocker.
Apenas auditoria As regras são auditadas, mas não são impostas. Quando um utilizador executa uma aplicação afetada por uma regra do AppLocker, o binário da aplicação tem permissão para ser executado. No entanto, as informações sobre o binário são adicionadas ao registo de eventos do AppLocker. O modo de imposição Apenas de auditoria ajuda a identificar as aplicações afetadas pela política antes de a política ser imposta.

Quando as políticas do AppLocker são intercaladas, as regras de todas as políticas são adicionadas à política efetiva e é selecionado um único modo de imposição para cada coleção de regras. Se forem aplicadas múltiplas políticas AppLocker a um dispositivo através de Política de Grupo, a definição do modo de imposição aplicada é selecionada com base na precedência Política de Grupo. Se aplicar uma política appLocker localmente através do cmdlet Set-AppLockerPolicy PowerShell com a opção -merge , o modo de imposição mais restritivo é escolhido entre a política local existente e a política que está a ser intercalada.

Condições da regra

As condições da regra são critérios que ajudam o AppLocker a identificar as aplicações às quais a regra se aplica. As três condições principais da regra são o fabricante, o caminho e o hash de ficheiro.

  • Publicador: identifica uma aplicação com base na respetiva assinatura digital
  • Caminho: identifica uma aplicação pela respetiva localização no sistema de ficheiros do computador ou na rede
  • Hash de ficheiro: representa o hash authenticode criptográfico calculado pelo sistema do ficheiro identificado

Editor

Esta condição identifica uma aplicação com base na respetiva assinatura digital e atributos expandidos quando disponível. A assinatura digital contém informações sobre a empresa que criou a aplicação (o publicador). Os ficheiros executáveis, dlls, instaladores do Windows, aplicações em pacote e instaladores de aplicações em pacote também incluem atributos expandidos, que são obtidos a partir do recurso binário. Estes atributos incluem frequentemente o nome do produto, o nome do ficheiro original e o número da versão do ficheiro, conforme definido pelo publicador. Se existirem aplicações em pacote e instaladores de aplicações em pacote, estes atributos expandidos contêm o nome e a versão do pacote de aplicação.

Observação

As regras criadas nas aplicações em pacote e na coleção de regras de instaladores de aplicações em pacote só podem ter condições de publicador, uma vez que o Windows não suporta aplicações em pacote não assinadas e instaladores de aplicações em pacote.

Utilize uma condição de regra de publicador sempre que possível, uma vez que são mais resilientes às atualizações de aplicações, bem como uma alteração na localização dos ficheiros.

Quando seleciona um ficheiro de referência para uma condição de publicador, o assistente cria uma regra que especifica o publicador, o produto, o nome do ficheiro e o número da versão. Pode tornar a regra mais genérica ao mover para cima o controlo de deslize ou ao utilizar um caráter universal (*) nos campos produto, nome do ficheiro ou número de versão.

Observação

Para introduzir valores personalizados para qualquer um dos campos de uma condição de regra de publicador no Assistente de Criação de Regras, tem de selecionar a caixa Utilizar valores personalizados marcar. Quando esta caixa de marcar estiver selecionada, não pode utilizar o controlo de deslize.

A Versão do ficheiro e a Versão do pacote controlam se um utilizador pode executar uma versão específica, versões anteriores ou versões posteriores da aplicação. Pode escolher um número de versão e, em seguida, configurar as seguintes opções:

  • Exatamente. A regra aplica-se apenas a esta versão da aplicação
  • E acima. A regra aplica-se a esta versão e a todas as versões posteriores.
  • E abaixo. A regra aplica-se a esta versão e a todas as versões anteriores.

A tabela seguinte descreve como uma condição de publicador é aplicada.

Opção A condição do editor permite ou nega...
Todos os ficheiros assinados Todos os arquivos assinados por um fornecedor.
Somente fornecedor Todos os arquivos assinados pelo fornecedor identificado.
Nome do produto e do publicador Todos os ficheiros do produto especificado assinados pelo publicador nomeado.
Nome do publicador e do produto e nome do ficheiro Qualquer versão do ficheiro ou pacote com nome para o produto nomeado assinado pelo publicador.
Publisher, nome do produto, nome do ficheiro e versão do ficheiro Exatamente
A versão especificada do ficheiro ou pacote com nome para o produto nomeado assinado pelo publicador.
Publisher, nome do produto, nome do ficheiro e versão do ficheiro E acima
A versão especificada do ficheiro ou pacote com nome e quaisquer novas versões para o produto assinado pelo publicador.
Publisher, nome do produto, nome do ficheiro e versão do ficheiro E abaixo
A versão especificada do ficheiro ou pacote com nome e quaisquer versões anteriores do produto assinado pelo publicador.
Personalizado Pode editar os campos Publicador, Nome do produto, Nome do ficheiro, Nome do Pacote de Versão e Versão do pacote para criar uma regra personalizada.

Caminho

Esta condição de regra identifica uma aplicação pela respetiva localização no sistema de ficheiros do computador ou na rede.

O AppLocker utiliza variáveis de caminho personalizadas para caminhos bem conhecidos, como Ficheiros de Programa e Windows.

A tabela seguinte detalha estas variáveis de caminho.

Diretório ou disco do Windows Variável de caminho do AppLocker Variável de ambiente do Windows
Windows %WINDIR% %SystemRoot%
System32 e SysWOW64 %SYSTEM32% %SystemDirectory%
Diretório de instalação do Windows %OSDRIVE% %SystemDrive%
Ficheiros de Programa %PROGRAMFILES% %ProgramFiles% e %ProgramFiles(x86)%
Suporte de dados amovível (por exemplo, um CD ou DVD) %AMOVÍVEL%
Dispositivo de armazenamento amovível (por exemplo, uma pen USB) %HOT%

Importante

Uma vez que uma condição de regra de caminho pode ser configurada para incluir um grande número de pastas e ficheiros, as condições do caminho devem ser cuidadosamente planeadas. Por exemplo, se uma regra de caminho incluir uma localização de pasta que permita que os não administradores escrevam dados, um utilizador (ou software maligno em execução como um utilizador padrão) pode copiar ficheiros não aprovados para essa localização e executar os ficheiros. Por este motivo, deve evitar criar condições de caminho para localizações graváveis do utilizador padrão, como um perfil de utilizador.

Hash de ficheiro

Quando escolhe a condição da regra hash de ficheiro, o sistema calcula o hash criptográfico Authenticode do ficheiro identificado. A vantagem desta condição de regra é que, uma vez que cada ficheiro tem um hash exclusivo, uma condição de regra hash de ficheiro aplica-se apenas a um ficheiro. A desvantagem é que sempre que o ficheiro é atualizado (como uma atualização de segurança ou atualização) o hash do ficheiro é alterado. Como resultado, tem de atualizar manualmente as regras de hash de ficheiros.

Regras predefinidas do AppLocker

As políticas appLocker criadas com o editor de Política de Grupo appLocker podem incluir regras predefinidas. As regras predefinidas destinam-se a ajudar a garantir que os ficheiros necessários para que o Windows funcione corretamente são permitidos numa coleção de regras do AppLocker. Para obter informações, veja Compreender as regras predefinidas do AppLocker e, para obter os passos, veja Criar regras predefinidas do AppLocker.

Os tipos de regras predefinidas executáveis incluem:

  • Permitir que os membros do grupo administradores local executem todas as aplicações.
  • Permitir que os membros do grupo Todos executem aplicações localizadas na pasta Do Windows.
  • Permitir que os membros do grupo Todos executem aplicações localizadas na pasta Ficheiros do Programa.

Os tipos de regras predefinidas de script incluem:

  • Permitir que os membros do grupo administradores local executem todos os scripts.
  • Permitir que os membros do grupo Todos executem scripts localizados na pasta Ficheiros do Programa.
  • Permitir que os membros do grupo Todos executem scripts localizados na pasta do Windows.

Os tipos de regras predefinidos do Windows Installer incluem:

  • Permitir que os membros do grupo de Administradores local executem todos os ficheiros do Windows Installer.
  • Permitir que os membros do grupo Todos executem todos os ficheiros do Windows Installer assinados digitalmente.
  • Permitir que os membros do grupo Todos executem todos os ficheiros do Windows Installer localizados na pasta Windows\Installer.

Tipos de regras predefinidas de DLL:

  • Permitir que os membros do grupo de Administradores local executem todos os DLLs.
  • Permitir que os membros do grupo Todos executem DLLs localizados na pasta Ficheiros do Programa.
  • Permitir que os membros do grupo Todos executem DLLs localizados na pasta do Windows.

Tipos de regras predefinidas de aplicações em pacote:

  • Permitir que os membros do grupo Todos instalem e executem todas as aplicações em pacote assinadas e os instaladores de aplicações em pacote.

Comportamento da regra do AppLocker

Se não forem definidas regras do AppLocker para uma coleção de regras específica, todos os ficheiros abrangidos por essa coleção de regras podem ser executados. No entanto, se existir alguma regra para uma coleção de regras específica, apenas os ficheiros que correspondem a, pelo menos, uma regra de permissão e que não correspondem a nenhuma regra de negação são executados. Por exemplo, se criar uma regra executável que permita a execução de ficheiros .exe no %SystemDrive%\FilePath , apenas os ficheiros executáveis localizados nesse caminho podem ser executados.

Uma regra pode ser configurada para utilizar ações de permissão ou negação:

  • Permitir. Pode especificar os ficheiros que podem ser executados no seu ambiente e para os quais os utilizadores ou grupos de utilizadores. Também pode configurar exceções para identificar ficheiros excluídos da regra.
  • Negar. Pode especificar os ficheiros que não têm permissão para ser executados no seu ambiente e para os utilizadores ou grupos de utilizadores. Também pode configurar exceções para identificar ficheiros excluídos da regra.

Para uma melhor prática, utilize ações de permissão com exceções. Embora possa utilizar uma combinação de ações de permissão e negação, as ações de negação ganham sempre. Não pode utilizar qualquer outra regra para permitir um ficheiro que corresponda a uma regra de negação.

Exceções de regras

Pode aplicar regras do AppLocker a utilizadores individuais ou a um grupo de utilizadores. Se aplicar uma regra a um grupo de utilizadores, a regra afetará todos os utilizadores nesse grupo. Se precisar de permitir que um subconjunto de um grupo de utilizadores utilize uma aplicação, pode criar uma regra especial para esse subconjunto. Por exemplo, a regra "Permitir que todas as pessoas executem o Windows, exceto Editor de Registo" permite que todas as pessoas na organização executem o sistema operativo Windows, mas não permite que ninguém execute Editor de Registo.

O efeito desta regra impediria que utilizadores como o pessoal do Suporte Técnico executassem um programa necessário para as respetivas tarefas de suporte. Para resolve este problema, crie uma segunda regra que se aplique ao grupo de utilizadores do Suporte Técnico: "Permitir que o Suporte Técnico execute Editor de Registo". Se, em vez disso, utilizou uma regra de negação que impede todos os utilizadores de executar o Registo Editor, a segunda regra não permitirá que os utilizadores do suporte técnico executem Editor de Registo.

Coleção de regras DLL

Uma vez que a coleção de regras DLL não está ativada por predefinição, tem de efetuar o seguinte procedimento antes de poder criar e impor regras DLL.

A associação ao grupo local Administradores , ou equivalente, é o mínimo necessário para concluir este procedimento.

Para ativar a coleção de regras DLL

  1. Selecione Iniciar, escreva secpol.msc e, em seguida, selecione ENTER.
  2. Se for apresentada a caixa de diálogo Controlo de Conta de Utilizador , confirme que a ação apresentada é a que pretende e, em seguida, selecione Sim.
  3. Na árvore da consola, faça duplo clique em Políticas de Controlo de Aplicações, clique com o botão direito do rato em AppLocker e, em seguida, selecione Propriedades.
  4. Selecione o separador Avançadas, selecione a caixa ativar a coleção de regras DLL marcar e, em seguida, selecione OK.

Importante

Antes de impor as regras DLL, certifique-se de que existem regras de permissão para cada DLL necessária para todas as aplicações permitidas.

Assistentes do AppLocker

Pode criar regras com dois assistentes do AppLocker:

  1. O Assistente para Criar Regras permite-lhe criar uma regra de cada vez.
  2. O Assistente para Gerar Regras Automaticamente permite-lhe criar múltiplas regras de uma só vez. Pode selecionar uma pasta e permitir que o assistente crie regras para quaisquer ficheiros relevantes encontrados. Em alternativa, para aplicações em pacote, permita que o assistente crie regras para todas as aplicações em pacote instaladas no computador. Também pode especificar o utilizador ou grupo ao qual pretende aplicar as regras. Este assistente gera automaticamente apenas regras de permissão.

Outras considerações

  • Por predefinição, as regras do AppLocker não permitem que os utilizadores abram ou executem ficheiros que não sejam permitidos. Os administradores devem manter uma lista atualizada de aplicações permitidas.
  • Existem dois tipos de condições do AppLocker que não persistem após uma atualização de uma aplicação:
    • Uma condição hash de ficheiro As condições da regra hash de ficheiro podem ser utilizadas com qualquer aplicação porque é gerado um valor hash criptográfico do ficheiro de aplicação no momento em que a regra é criada. No entanto, o valor hash é específico para essa versão exata do ficheiro. Se precisar de permitir várias versões do ficheiro, precisa de condições de hash de ficheiros individuais para cada versão do ficheiro.
    • Uma condição de publicador com um conjunto de versões de produto específico Se criar uma condição de regra de publicador que utilize a opção Versão exata , a regra não poderá persistir se estiver instalada uma nova versão da aplicação. Tem de ser criada uma nova condição de publicador ou a versão tem de ser editada na regra para ser menos específica.
  • Se uma aplicação não estiver assinada digitalmente, não poderá utilizar uma condição de regra de publicador para essa aplicação.
  • Se forem impostas regras para a coleção de regras EXE, tem de criar regras na coleção de regras de instaladores de aplicações em pacote e aplicações em pacote. Caso contrário, todas as aplicações em pacote e os instaladores de aplicações em pacote são bloqueados.
  • Um URL configurado personalizado pode ser incluído na mensagem que é apresentada quando uma aplicação é bloqueada.
  • Espere um aumento no número de chamadas do Suporte Técnico quando os utilizadores encontrarem aplicações que não são permitidas.

Nesta seção

Artigo Descrição
Criar uma regra que usa uma condição de hash de arquivo Este artigo para profissionais de TI mostra como criar uma regra do AppLocker com uma condição hash de ficheiro.
Criar uma regra que usa uma condição de caminho Este artigo para profissionais de TI mostra como criar uma regra do AppLocker com uma condição de caminho.
Criar uma regra que usa uma condição de fornecedor Este artigo para profissionais de TI mostra como criar uma regra do AppLocker com uma condição de publicador.
Criar regras padrão do AppLocker Este artigo para profissionais de TI descreve os passos para criar um conjunto padrão de regras do AppLocker que permitem a execução de ficheiros do sistema Windows.
Adicionar exceções a uma regra do AppLocker Este artigo para profissionais de TI descreve os passos para especificar que aplicações podem ou não ser executadas como exceções a uma regra do AppLocker.
Criar uma regra para aplicativos empacotados Este artigo para profissionais de TI mostra como criar uma regra do AppLocker para aplicações em pacote com uma condição de publicador.
Excluir uma regra do AppLocker Este artigo para profissionais de TI descreve os passos para eliminar uma regra do AppLocker.
Editar regras do AppLocker Este artigo para profissionais de TI descreve os passos para editar uma regra de publicador, uma regra de caminho e uma regra de hash de ficheiro no AppLocker.
Habilitar a coleção de regras de DLL Este artigo para profissionais de TI descreve os passos para ativar a funcionalidade de coleção de regras DLL para o AppLocker.
Impor regras do AppLocker Este artigo para profissionais de TI descreve como impor regras de controlo de aplicações com o AppLocker.
Executar o Assistente para Gerar Regras Automaticamente Este artigo para profissionais de TI descreve os passos para executar o assistente para criar regras do AppLocker num dispositivo de referência.