Exercícios – Habilitar o AppLocker em uma VM do Windows Server 2016 em execução no Azure

  • 10 minutos

Como administrador sênior que trabalha para a Contoso, você foi solicitado a testar o Microsoft AppLocker para futura implementação em seu ambiente de Área de Trabalho Virtual do Azure. Em uma empresa, este processo normalmente é feito através de objetos de Política de Grupo, Intune ou Gerente de Configuração. Este exercício não abrange o acesso a essas ferramentas ou a um controlador de domínio do Active Directory.

Neste exercício, você utilizará uma VM do Windows Server 2016 em execução no Azure. Como este não é um ambiente de Área de Trabalho Virtual do Azure para o laboratório, o Windows 10 Enterprise não está disponível. Você vai:

  • Abra o Azure Cloud Shell.
  • Criar um grupo de recursos.
  • Implantar uma VM do Windows Server 2016.
  • Conectar-se à VM.
  • Adicionar um usuário padrão.
  • Habilitar o serviço AppIDsrv.
  • Desabilitar a Configuração de Segurança Aprimorada do Internet Explorer.
  • Baixar e instalar o Visual Studio Code 2019.
  • Habilitar o AppLocker.
  • Habilitar as regras padrão do AppLocker.
  • Teste a configuração do AppLocker em nossa VM do Windows Server 2016 implantada.
  • Limpe os recursos.
  • Experimente uma demonstração sobre como a utilização do AppLocker.

Observação

Para completar esta unidade de exercício, você precisa ter uma assinatura ativa do Azure. Se você realizar o exercício, poderá incorrer em custos na sua assinatura Azure. Para estimar os custos, consulte Preços de Máquinas Virtuais do Windows. As etapas delineadas neste laboratório são para um ambiente Windows Server 2016.

Você pode definir e implantar VMs no Azure de várias maneiras. Este exercício utiliza a CLI do Azure no Azure Cloud Shell.

Abra o Azure Cloud Shell

  1. Entre no portal do Azure usando suas credenciais do Azure.
  2. Selecione o ícone Cloud Shell ao lado da caixa de pesquisa. Uma faixa Bem-vindo ao Azure Cloud Shell é aberta.
  3. Você pode receber um aviso dizendo que não possui nenhum armazenamento montado e pedindo para selecionar uma assinatura e criar o armazenamento. Selecione sua assinatura e escolha Criar armazenamento se for solicitado.
  4. Na janela do terminal Azure Cloud Shell, selecione PowerShell como o ambiente.

Criar um grupo de recursos

Agora você precisa criar um grupo de recursos. Um grupo de recursos do Azure é um contêiner lógico no qual os recursos do Azure são implantados e gerenciados. O exemplo seguinte cria um grupo de recursos chamado myResourceGroup no local westus. Dependendo de sua localização, você pode selecionar uma opção diferente.

  1. Insira o seguinte comando na CLI do PowerShell:
az group create -n myResourceGroup -l westus
  1. Verifique seu novo grupo de recursos utilizando o seguinte comando. Este comando recebe o grupo de recursos Azure em sua assinatura chamada myResourceGroup.
Get-AZResourceGroup -Name myResourceGroup

Implantar uma VM do Windows Server 2016

  1. Insira os seguintes comandos na janela da CLI:
az vm create --resource-group myResourceGroup --name myVM --image win2016datacenter --admin-username myVMadmin

  1. Insira a senha de administrador e a confirme quando for solicitado.

  2. Quando aparecer a mensagem Executando, a máquina está sendo implantada. Os recursos do Azure devem levar entre 2 e 3 minutos para serem implantados.

    Quando o processo estiver concluído, a seguinte saída será exibida:

    {- Finished ..
 "fqdns": "",
 "id":"/subscriptions/************/resourceGroups/myResourceGroup/providers/Microsoft.Compute/virtualMachines/myVM",
 "location": "westus",
 "macAddress": "00-0D-3A-5A-75-FA",
 "powerState": "VM running",
 "privateIpAddress": "10.0.0.4",
 "publicIpAddress": "65.52.124.71", 
 "resourceGroup": "myResourceGroup",
 "zones": ""
}

  3. Utilize o endereço público em sua conexão de Área de Trabalho Remota. Anote o endereço com sua senha de administrador.

Conecte-se à VM

Utilize as seguintes etapas para criar uma sessão de Área de Trabalho Remota a partir de seu computador local. Substitua o endereço IP pelo endereço IP público da sua VM. Quando for solicitado, digite o nome de usuário do administrador especificado no comando do PowerShell e a senha associada.

  1. Em uma área de trabalho do Windows, insira mstsc em sua janela de pesquisa e selecione o aplicativo Conexão da Área de Trabalho Remota.
  2. Selecione Mostrar opções. Insira o endereço IP da VM e suas credenciais de administrador, e então selecione Conectar. Não escolha salvar a configuração de logon.
  3. Se você receber uma mensagem que diz A identidade do computador remoto não pode ser verificada. Deseja se conectar mesmo assim? , selecione Sim.

Adicionar um usuário padrão

A próxima etapa é adicionar um usuário padrão ao servidor myVM.

  1. O painel de controle do Windows Server Managers agora deve estar disponível. Caso contrário, selecione Iniciar e, em seguida, selecione Gerenciador do Servidor.
  2. No Painel, selecione Ferramentas e, em seguida, selecione Gerenciamento do Computador.
  3. Em Ferramentas do Sistema, selecione Usuários e Grupos Locais. Clique com o botão direito do mouse em Usuários ou ative seu menu de atalhos, e então selecione Novo Usuário.
  4. Insira um nome de usuário, nome completo e descrição. Insira e confirme uma senha, desmarque a caixa de seleção O usuário deve alterar a senha na próxima vez que entrar.
  5. Selecione Criar e, em seguida, selecione Fechar.
  6. Selecione a opção Grupos e, em seguida, pesquise por Usuários da Área de Trabalho Remota.
  7. Clique com o botão direito em Usuários da Área de trabalho Remota ou ative o menu de atalho e, em seguida, selecione Adicionar ao Grupo.
  8. Na caixa de diálogo de propriedades Usuários da área de trabalho remota , selecione Adicionar .
  9. Adicione o usuário padrão que você criou anteriormente para este grupo.
  10. Selecione OK.
  11. Feche o console de Gerenciamento do Computador.

Habilitar o serviço AppIDsrv

O serviço de Identidade do Aplicativo (AppIDsrv) determina e verifica a identidade de um aplicativo. A interrupção deste serviço impedirá que as políticas do AppLocker sejam aplicadas.

  1. Inicie o Gerenciador de Tarefas clicando com o botão direito do mouse na barra de tarefas e, em seguida, selecionando Gerenciador de Tarefas.

  2. Selecione Mais detalhes e, em seguida, selecione a guia Serviços.

  3. Role para baixo até ver AppIDSvc. Clique com o botão direito do mouse e, em seguida, selecione Iniciar.

    O serviço AppIDSrv deve agora ter um status de Executando.

  4. Fechar o Gerenciador de Tarefas.

Desabilitar a Configuração de Segurança Aprimorada do Internet Explorer

Para mostrar o poder do AppLocker, precisamos desabilitar a Configuração de Segurança Aprimorada. Esta proteção é, por padrão, habilitada no Internet Explorer no Windows Server 2016. Com a Configuração de Segurança Aprimorada desabilitada, o acesso à Internet não é verificado.

  1. No Gerenciador do Servidor, selecione Servidor local.
  2. No painel Propriedades, encontre Configuração de Segurança Aprimorada do IE e selecione o link Ligado.
  3. Desative a Configuração de Segurança Aprimorada para Administradores e Usuários, selecionando o botão Desligado para cada um.
  4. Inicialize o Internet Explorer. Você deve ver a mensagem A Configuração de Segurança Aprimorada no Internet Explorer não está habilitada.

Baixar e instalar o Visual Studio Code 2019

  1. Baixar e instalar a edição Visual Studio 2019 Community na página Downloads do Visual Studio. Esta edição é gratuita.
  2. Quando for solicitado a executar ou salvar o arquivo .EXE do Visual Studio, selecione Executar.
  3. Durante a instalação, aceite todos os padrões. Selecione Continuar e Instalar quando for solicitado durante a configuração. Você não precisa instalar nenhum componente adicional para este exercício.
  4. Abra o Visual Studio para garantir que ele possa ser executado. Por padrão, não há um atalho na área de trabalho ou na barra de tarefas. Você pode encontrar o Visual Studio no menu Iniciar, em Recentemente adicionado.
  5. Fechar o Visual Studio.

Habilitar o AppLocker

  1. Em Gerenciador do Servidor, selecione Ferramentas e, em seguida, selecione Política de Segurança Local.

  2. Em Configuração de Segurança, selecione Políticas de Controle de Aplicativo.

  3. Expanda Políticas de Controle de Aplicativo e, em seguida, selecione AppLocker. A interface do AppLocker é exibida.

  4. Selecione Configurar a aplicação da regra. A interface Propriedades do AppLocker é disponibilizada.

  5. Na guia Imposição, essas regras padrão não estão habilitadas. Marque a caixa de seleção Regras executáveis: Configuradas para habilitar as regras executáveis.

    Observação

    Certifique-se de que a definição está definida como Impor regras e nãoApenas auditoria. A configuração Somente auditoria não bloqueará nenhum aplicativo e você poderá não experimentar o exercício como escrito se esta configuração for selecionada.

  6. Repita a etapa anterior para Regras do Windows Installer, Regras de script e Regras para aplicativos empacotados.

  7. Selecione OK.

Habilitar as regras padrão do AppLocker

  1. No console Política de Segurança Local, em Configuração de Segurança>Políticas de Controle do Aplicativo>AppLocker, clique com o botão direito do mouse em Regras para aplicativos empacotados. Em seguida, selecione Criar Regras Padrão.

    (Regra Padrão) Todos os aplicativos empacotados assinados devem ser exibidos no painel direito.

  2. Repita a etapa anterior para Regras Executáveis. Você deverá ver as regras padrão que foram criadas.

  3. No painel esquerdo, clique com o botão direito do mouse em Regras executáveis e, em seguida, selecione Criar Nova Regra.

  4. O painel Criar Regras Executáveis será exibido. Selecione Avançar.

  5. Em Ações, selecione Negar.

  6. Clique em Selecionar.

  7. O painel Selecionar Usuário ou Grupo será exibido. Na caixa Inserir o nome do objeto que será selecionado, digite o nome de usuário padrão que você criou anteriormente.

  8. Selecione Verificar Nomes. Deverá ver myVM\"o nome de início de sessão dos utilizadores padrão".

  9. Selecione o botão OK.

  10. Selecione Avanças, selecione Caminho e selecione Avanças.

  11. Selecione Pesquisar Pastas. O explorador de arquivos Procurar Pasta será exibido.

  12. Selecione Arquivos de Programas (x86)>Microsoft Visual Studio>2019. Em seguida, selecione OK.

  13. O caminho agora é %PROGRAMFILES%\Microsoft Visual Studio\2019. Selecione Avançar.

  14. Selecione Avançar no painel Exceções.

  15. Selecione Criar no painel Nome e Descrição.

    Agora você deverá ver uma nova regra Negar no painel Regras Executáveis.

  16. Feche a janela Política de Segurança Local.

Teste a configuração do AppLocker em uma VM do Windows Server 2016

  1. Saia da VM implantada do Windows Server que você configurou e, em seguida, entre usando a conta de usuário padrão que você criou anteriormente.

    A sessão da Área de Trabalho Remota é fechada ao sair. Você terá que iniciar outra sessão da Área de Trabalho Remota e entrar novamente através do cliente de Área de trabalho remota, como descrito anteriormente.

  2. No menu Iniciar, selecione Visual Studio 2019.

    Você deve ver a mensagem Este aplicativo foi bloqueado pelo administrador do seu sistema.

Quando as regras do AppLocker são aplicadas no ambiente de produção, quaisquer aplicativos que não estejam incluídos nas regras permitidas têm sua execução bloqueada.

Limpe os recursos

Você pode utilizar o seguinte comando para remover o grupo de recursos, VM, e todos os recursos relacionados quando você não precisar mais deles. Substitua o nome do grupo de recursos pelo nome do grupo de recursos que você criou em seu próprio ambiente (myResourceGroup). Se você optar por não excluir esses recursos, poderá incorrer em custos associados a eles.

az group delete --name myResourceGroup

Esse processo leva de 2 a 3 minutos.

Demonstração: Use o AppLocker em um ambiente da Área de Trabalho Virtual do Azure

O vídeo a seguir mostra como usar o AppLocker para ajudar a proteger sua implementação da Área de Trabalho Virtual do Azure.