Selecione tipos de regras para criar
Aplica-se a: Windows 7, Windows 8.1, Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2012, Windows 8
Este tópico lista os recursos que você pode usar ao selecionar suas regras de política de controle de aplicativo usando o AppLocker.
Ao determinar os tipos de regras para criar para cada um dos seus grupos, você também deve determinar qual configuração de imposição a ser usado para cada grupo. Diferentes tipos de regras são mais aplicáveis para alguns aplicativos, dependendo da forma que os aplicativos são implantados em um grupo de negócios específicas.
Os tópicos a seguir fornecem informações adicionais sobre as regras de AppLocker que podem ajudá-lo a decidir quais regras para usar em seus aplicativos:
Compreendendo o comportamento de regras de AppLocker (a página pode estar em inglês)
Compreendendo exceções de regras de AppLocker (a página pode estar em inglês)
Compreendendo coleções de regras de AppLocker (a página pode estar em inglês)
Compreendendo ações de permissão e negação do AppLocker em regras
Compreendendo tipos de condições de regras de AppLocker (a página pode estar em inglês)Noções básicas sobre tipos de condição de regra do AppLocker
Compreendendo regras de AppLocker padrão (a página pode estar em inglês)
Selecione a coleção de regras
As regras que você criar será uma das coleções de regras a seguir:
Arquivos executáveis: .exe e. com
Arquivos do Windows Installer:. msi,. msp e. mst
Scripts: .ps1, .bat, .cmd, .vbs e .js
Aplicativos empacotados e instaladores de aplicativos empacotados:. AppX
DLLs: .dll e .ocx
Dica
tipos de arquivo. AppX e. mst não são aplicáveis para o AppLocker em execução no Windows Server 2008 R2 e Windows 7.
Por padrão, as regras permitirá que um arquivo executar com privilégio de grupo ou usuário. Se você usar as regras de DLL, será necessário criar uma regra de permissão para cada DLL usada por todos os aplicativos permitidos. A coleção de regras de DLL não está habilitada por padrão.
No exemplo do Woodgrove Bank, o aplicativo de linha de negócios para o grupo de negócios caixas do banco é C:\Program Files\Woodgrove\Teller.exe e esse aplicativo precisa ser incluído em uma regra. Além disso, como essa regra faz parte de uma lista de aplicativos permitidos, todos os arquivos do Windows em C:\Windows também devem ser incluídos.
Determinar a condição de regra
Uma condição de regra é o critério no qual uma regra do AppLocker é baseada e só pode ser uma das condições de regra na tabela a seguir.
Condição de regra |
Cenário de uso |
Recursos |
|---|---|---|
Editor |
Para usar uma condição de editor, os arquivos devem ser assinados digitalmente pelo fornecedor de software ou você deve fazer isso usando um certificado interno. As regras que são especificadas para o nível de versão talvez precisem ser atualizadas quando uma nova versão do arquivo for liberada. |
Para obter mais informações sobre essa condição de regra, consulte Noções básicas sobre condição de regra de fornecedor no AppLocker. |
Caminho |
Qualquer arquivo pode ser atribuído a essa condição de regra; no entanto, já que as regras de caminho especificam locais dentro do sistema de arquivos, qualquer subdiretório também será afetado pela regra (a menos que ele seja explicitamente isento). |
Para obter mais informações sobre essa condição de regra, consulte Noções básicas sobre condição de regra de caminho no AppLocker. |
Hash do arquivo |
Qualquer arquivo pode ser atribuído a essa condição de regra; No entanto, a regra deve ser atualizada sempre que uma nova versão do arquivo é lançada porque o valor de hash é baseado em parte da versão. |
Para obter mais informações sobre essa condição de regra, consulte Noções básicas sobre a condição de regra de hash de arquivo no AppLocker. |
No exemplo do Woodgrove Bank, o aplicativo de linha de negócios para o grupo de negócios caixas do banco é assinado e está localizado em C:\Program Files\Woodgrove\Teller.exe. Portanto, a regra pode ser definida com uma condição de editor. Se a regra é definida para uma versão específica e acima (por exemplo, Teller.exe versão 8.0 e posterior), isso permitirá que todas as atualizações para este aplicativo ocorra sem interrupção do acesso para os usuários se o aplicativo do nome e assinado atributos permanecer o mesmo.
Determinar como permitir que os arquivos de sistema executar
Porque as regras de AppLocker compilar uma lista de aplicativos permitidos, uma regra ou regras devem ser criadas para permitir que todos os arquivos do Windows executar. O AppLocker fornece um meio para garantir que os arquivos de sistema são considerados corretamente em sua coleção de regras gerando as regras padrão para cada coleção de regras. Você pode usar as regras padrão como um modelo ao criar suas próprias regras. No entanto, essas regras são projetadas para funcionar apenas como uma política inicial quando você estiver testando inicialmente as regras do AppLocker para que os arquivos do sistema nas pastas do Windows tenham permissão para serem executados. Quando uma regra padrão é criada, ele é marcado com "(regra padrão)" em seu nome como ele aparece na coleção de regras.
Você também pode criar uma regra para os arquivos de sistema com base na condição de caminho. No exemplo anterior, para o grupo bancário caixas, todos os arquivos do Windows residem em C:\Windows em podem ser definidos com o tipo de condição de regra de caminho. Isso permitirá acesso a esses arquivos sempre que as atualizações são aplicadas e os arquivos são alterados. Se você precisar de segurança de aplicativos adicionais, talvez seja necessário modificar as regras criadas por meio da coleção de regras padrão interna. Por exemplo, a regra padrão para permitir que todos os usuários executem arquivos .exe na pasta do Windows é baseada em uma condição de caminho que permite que todos os arquivos dentro da pasta do Windows sejam executados. A pasta do Windows contém uma subpasta Temp para qual o grupo de usuários tem as seguintes permissões:
Desviar pasta/executar arquivo
Criar arquivos/gravar dados
Criar pastas/anexar dados
Essas configurações de permissões são aplicadas a esta pasta para compatibilidade do aplicativo. No entanto, uma vez que qualquer usuário pode criar arquivos nesse local, permitir que os aplicativos sejam executados nesse local pode estar em conflito com a política de segurança da sua organização.
Próximas etapas
Depois de selecionar os tipos de regras para criar, gravar suas descobertas conforme explicado em Documentar suas regras de AppLocker.
Depois de gravar suas descobertas para criar as regras do AppLocker, você precisará considerar como impor as regras. Para obter informações sobre como fazer isso, consulte Determinar a diretiva de grupo de estrutura e imposição de regra.