Entender as decisões de design de política do AppLocker
Este artigo descreve perguntas de design do AppLocker, possíveis respostas e outras considerações quando planeia uma implementação de políticas de controlo de aplicações com o AppLocker.
Quando iniciar o processo de conceção e planeamento, deve considerar o efeito das suas escolhas de estrutura. As decisões resultantes afetam o esquema de implementação de políticas e a manutenção subsequente da política de controlo de aplicações.
Deve considerar a utilização do AppLocker como parte das políticas de controlo de aplicações da sua organização se todas as seguintes opções forem verdadeiras:
- Está a executar versões suportadas do Windows na sua organização. Para requisitos de versão do sistema operativo específicos, veja Requisitos para Utilizar o AppLocker.
- Precisa de um controlo melhorado sobre o acesso às aplicações da sua organização.
- O número de aplicações na sua organização é conhecido e gerível.
- Tem recursos para testar políticas em relação aos requisitos da organização.
- Tem recursos para envolver o Suporte Técnico ou criar um processo de ajuda autónoma para problemas de acesso à aplicação do utilizador final.
Seguem-se algumas perguntas que deve considerar quando implementar políticas de controlo de aplicações (conforme adequado para o seu ambiente de destino).
Que aplicações precisa de controlar na sua organização?
Poderá ter de controlar um número limitado de aplicações porque acedem a dados confidenciais ou apenas quer permitir aplicações aprovadas para fins empresariais. Podem existir determinados grupos empresariais que requerem um controlo rigoroso e outros que promovem a utilização independente de aplicações.
| Respostas possíveis | Considerações de design |
|---|---|
| Controlar todas as aplicações | As políticas do AppLocker controlam as aplicações ao criar uma lista permitida de aplicações por tipo de ficheiro. As exceções também são possíveis. As políticas appLocker só podem ser aplicadas a aplicações instaladas em computadores com uma das versões suportadas do Windows. |
| Controlar aplicações específicas | Quando cria regras do AppLocker, é criada uma lista de aplicações permitidas. Todas as aplicações nessa lista têm permissão para serem executadas (exceto as aplicações na lista de exceções). As aplicações que não estão na lista estão impedidas de ser executadas. As políticas do AppLocker só podem ser aplicadas a aplicações instaladas em computadores com qualquer uma das versões suportadas do Windows. |
| Controlar apenas aplicações Clássicas do Windows, apenas aplicações em pacote ou ambas | As políticas do AppLocker controlam as aplicações ao criar uma lista permitida de aplicações por tipo de ficheiro. Uma vez que as Aplicações em pacote são categorizadas sob a condição de Publicador, as aplicações Clássicas do Windows e as Aplicações em pacote podem ser controladas em conjunto. As regras que tem atualmente para aplicações Clássicas do Windows podem permanecer e pode criar novas para Aplicações em pacote. Para obter uma comparação entre aplicações Clássicas do Windows e Aplicações em pacote, veja Comparar aplicações Clássicas do Windows e Aplicações em pacote para decisões de conceção de políticas do AppLocker neste artigo. |
| Controlar aplicações por grupo empresarial e utilizador | As políticas appLocker podem ser aplicadas através de um Objeto de Política de Grupo (GPO) a objetos de computador numa unidade organizacional (UO). As regras individuais do AppLocker podem ser aplicadas a utilizadores individuais ou a grupos de utilizadores. |
| Controlar aplicações por computador, não utilizador | O AppLocker é uma implementação de política baseada em computador. Se a estrutura organizacional do seu domínio ou site não se basear numa estrutura de utilizador lógica, como uma UO, poderá querer configurar essa estrutura antes de começar o planeamento do AppLocker. Caso contrário, tem de identificar os utilizadores, os respetivos computadores e os respetivos requisitos de acesso à aplicação. |
| Compreender a utilização da aplicação, mas ainda não é necessário controlar as aplicações | As políticas do AppLocker podem ser definidas para auditar a utilização de aplicações para o ajudar a controlar que aplicações são utilizadas na sua organização. Em seguida, pode utilizar o registo de eventos do AppLocker para criar políticas appLocker. |
Observação
As regras do AppLocker permitem ou bloqueiam a iniciação de uma aplicação ou binário. O AppLocker não controla o comportamento das aplicações depois de serem iniciadas. Para obter mais informações, consulte Considerações de segurança para o AppLocker.
Comparar aplicações Clássicas do Windows e Aplicações em pacote para decisões de conceção de políticas do AppLocker
As políticas do AppLocker para Aplicações em pacote só podem ser aplicadas a aplicações instaladas em computadores com sistemas operativos Windows que suportem aplicações da Microsoft Store. No entanto, as aplicações Clássicas do Windows podem ser controladas no Windows Server 2008 R2 e Windows 7, além dos computadores que suportam Aplicações em pacote. As regras para aplicações Clássicas do Windows e Aplicações em pacote podem ser aplicadas em conjunto. As diferenças que deve considerar para aplicações em pacote são:
- Standard utilizadores podem instalar Aplicações em pacote, enquanto muitas aplicações Clássicas do Windows necessitam de credenciais administrativas para instalar. Assim, num ambiente em que a maioria dos utilizadores são utilizadores padrão, poderá não precisar de várias regras exe, mas poderá querer políticas mais explícitas para aplicações em pacote.
- As aplicações Clássicas do Windows podem ser escritas para alterar o estado do sistema se forem executadas com credenciais administrativas. A maioria das Aplicações em pacote não pode alterar o estado do sistema porque são executadas com permissões limitadas. Quando cria as políticas do AppLocker, é importante compreender se uma aplicação que está a permitir pode fazer alterações ao nível do sistema.
- As aplicações em pacote podem ser adquiridas através da Loja ou podem ser carregadas de lado com Windows PowerShell cmdlets. Se utilizar Windows PowerShell cmdlets, é necessária uma licença Enterprise especial para adquirir Aplicações em pacote. As aplicações Clássicas do Windows podem ser adquiridas através de meios tradicionais, como, por exemplo, através de fornecedores de software ou distribuição a retalho.
O AppLocker controla aplicações em pacote e aplicações Clássicas do Windows através de coleções de regras diferentes. Pode optar por controlar aplicações em pacote, aplicações Clássicas do Windows ou ambas.
Para obter mais informações, consulte Aplicações em pacote e regras do instalador de aplicações em pacote no AppLocker.
Utilizar o AppLocker para controlar scripts
A imposição de scripts do AppLocker envolve um handshake entre um anfitrião de scripts otimizado, como o PowerShell e o AppLocker. No entanto, o anfitrião do script processa o comportamento de imposição real. A maioria dos anfitriões de scripts pergunta primeiro ao AppLocker se um script deve ser autorizado a ser executado com base nas políticas appLocker atualmente ativas. Em seguida, o anfitrião do script bloqueia, permite ou altera a forma como o script é executado para proteger melhor o utilizador e o dispositivo.
O AppLocker utiliza o registo de eventos AppLocker – MSI e Script para todos os eventos de imposição de scripts. Sempre que um anfitrião de scripts pergunta ao AppLocker se um script deve ser permitido, é registado um evento com a resposta que o AppLocker devolveu ao anfitrião do script.
Observação
Quando um script é executado que não é permitido pela política, o AppLocker gera um evento que indica que o script foi "bloqueado". No entanto, o comportamento real de imposição do script é processado pelo anfitrião do script e pode não bloquear completamente a execução do ficheiro.
A imposição de scripts do AppLocker só pode controlar ficheiros VBScript, JScript .bat, .cmd ficheiros e scripts Windows PowerShell. Não controla todos os códigos interpretados que são executados num processo de anfitrião, por exemplo scripts e macros perl. O código interpretado é uma forma de código executável que é executado num processo de anfitrião. Por exemplo, os ficheiros em lote do Windows (*.bat) são executados no contexto do Anfitrião de Comandos do Windows (cmd.exe). Para utilizar o AppLocker para controlar o código interpretado, o processo do anfitrião tem de chamar o AppLocker antes de executar o código interpretado e, em seguida, impor a decisão do AppLocker. Nem todos os processos de anfitrião são chamados para o AppLocker. Por conseguinte, o AppLocker não consegue controlar todos os tipos de código interpretado, por exemplo, macros do Microsoft Office.
Importante
Deve configurar as definições de segurança adequadas destes processos de anfitrião se tiver de permitir que sejam executados. Por exemplo, configure as definições de segurança no Microsoft Office para garantir que apenas as macros assinadas e fidedignas são carregadas.
Como pode controlar a utilização de aplicações na sua organização?
A maioria das organizações desenvolve as políticas e métodos de controlo de aplicações ao longo do tempo. O AppLocker é o melhor em organizações com processos de implementação e aprovação de aplicações bem geridos.
| Respostas possíveis | Considerações de design |
|---|---|
| Políticas de segurança (definidas localmente ou através de Política de Grupo) | A utilização do AppLocker requer um maior esforço no planeamento para criar políticas corretas, mas esta criação de política resulta num método de distribuição mais simples. |
| Software de controlo de aplicações não Microsoft | A utilização do AppLocker requer uma avaliação e implementação completas da política de controlo de aplicações. |
| Utilização gerida por grupo ou UO | A utilização do AppLocker requer uma avaliação e implementação completas da política de controlo de aplicações. |
| Gestor de Autorizações ou outras tecnologias de acesso baseado em funções | A utilização do AppLocker requer uma avaliação e implementação completas da política de controlo de aplicações. |
| Other | A utilização do AppLocker requer uma avaliação e implementação completas da política de controlo de aplicações. |
Existem grupos específicos na sua organização que precisam de políticas de controlo de aplicações personalizadas?
A maioria dos grupos empresariais ou departamentos tem requisitos de segurança específicos relativos ao acesso aos dados e às aplicações utilizadas para aceder a esses dados. Deve considerar o âmbito do projeto para cada grupo e as prioridades do grupo antes de implementar políticas de controlo de aplicações para toda a organização.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | Para cada grupo, tem de criar uma lista que inclua os respetivos requisitos de controlo de aplicações. Embora esta consideração possa aumentar o tempo de planeamento, muitas vezes resulta numa implementação mais eficaz. Se a sua estrutura de GPO não corresponder a grupos organizacionais, pode aplicar regras do AppLocker a grupos de utilizadores específicos. |
| Não | As políticas do AppLocker podem ser aplicadas globalmente às aplicações instaladas. Dependendo do número de aplicações que precisa de controlar, gerir todas as regras e exceções pode ser um desafio. |
O seu departamento de TI tem recursos para analisar a utilização de aplicações e para estruturar e gerir as políticas?
O tempo e os recursos que estão disponíveis para realizar a pesquisa e a análise podem afetar os detalhes do seu plano e processos para continuar a gestão e manutenção de políticas.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | Invista o tempo necessário para analisar os requisitos de controlo de aplicações da sua organização e planeie uma implementação completa que utilize regras que sejam construídas o mais possível. |
| Não | Considere uma implementação focada e faseada para grupos específicos com algumas regras. À medida que aplica controlos a aplicações num grupo específico, aprenda com essa implementação para planear a sua próxima implementação. |
A sua organização tem suporte para o Suporte Técnico?
Quando impede que os seus utilizadores acedam a aplicações, isso causa um aumento no suporte do utilizador final, pelo menos inicialmente. É necessário resolver os vários problemas de suporte na sua organização para que as políticas de segurança sejam seguidas e o fluxo de trabalho empresarial não seja dificultado.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | Envolva o departamento de suporte no início da fase de planeamento porque os seus utilizadores podem ser impedidos de utilizar as respetivas aplicações ou podem procurar exceções para utilizar aplicações específicas. |
| Não | Invista tempo no desenvolvimento de processos de suporte online e documentação antes da implementação. |
Sabe que aplicações requerem políticas restritivas?
Qualquer implementação bem-sucedida da política de controlo de aplicações baseia-se no seu conhecimento e compreensão da utilização de aplicações na organização ou grupo empresarial. Além disso, a estrutura do controlo de aplicações depende dos requisitos de segurança dos dados e das aplicações que acedem a esses dados.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | Deve determinar as prioridades de controlo de aplicações para um grupo empresarial e, em seguida, tentar conceber o esquema mais simples para as políticas de controlo de aplicações. |
| Não | Tem de efetuar uma auditoria e requisitos de recolha de projetos para detetar a utilização da aplicação. O AppLocker fornece os meios para implementar políticas no modo Apenas auditoria e ferramentas para ver os registos de eventos. |
Como implementar ou aprovar aplicações (atualizadas ou novas) na sua organização?
A implementação de uma política de controlo de aplicações com êxito baseia-se no seu conhecimento e compreensão da utilização de aplicações na organização ou grupo empresarial. Além disso, a conceção do controlo de aplicações depende dos requisitos de segurança dos dados e das aplicações que acedem a esses dados. Compreender a política de atualização e implementação ajuda a moldar a construção das políticas de controlo de aplicações.
| Respostas possíveis | Considerações de design |
|---|---|
| Não planeado | Tem de reunir os requisitos de cada grupo. Alguns grupos podem querer acesso ou instalação sem restrições, enquanto outros grupos podem querer controlos rigorosos. |
| Política ou diretrizes escritas estritas a seguir | Tem de desenvolver regras do AppLocker que refletem essas políticas e, em seguida, testar e manter as regras. |
| Nenhum processo em vigor | Tem de determinar se tem os recursos para desenvolver uma política de controlo de aplicações e para que grupos. |
Quais são as prioridades da sua organização ao implementar políticas de controlo de aplicações?
Algumas organizações beneficiam de políticas de controlo de aplicações, conforme mostrado por um aumento de produtividade ou conformidade, enquanto outras são prejudicadas no desempenho das suas funções. Atribua prioridades a estes aspetos para cada grupo para lhe permitir avaliar a eficácia do AppLocker.
| Respostas possíveis | Considerações de design |
|---|---|
| Produtividade: a organização assegura que as ferramentas funcionam e as aplicações necessárias podem ser instaladas. | Para cumprir os objetivos de inovação e produtividade, alguns grupos exigem a capacidade de instalar e executar vários softwares a partir de diferentes origens, incluindo software que desenvolveram. Por conseguinte, se a inovação e a produtividade forem uma prioridade elevada, a gestão de políticas de controlo de aplicações através de uma lista permitida pode ser morosa e um impedimento ao progresso. |
| Gestão: a organização tem conhecimento e controla as aplicações que suporta. | Em alguns grupos empresariais, a utilização de aplicações pode ser gerida a partir de um ponto central de controlo. As políticas do AppLocker podem ser incorporadas num GPO para esse fim. |
| Segurança: a organização tem de proteger os dados em parte ao garantir que apenas as aplicações aprovadas são utilizadas. | O AppLocker pode ajudar a proteger os dados ao permitir que um conjunto definido de utilizadores aceda às aplicações que acedem aos dados. Se a segurança for a prioridade máxima, as políticas de controlo de aplicações podem ser mais restritivas. |
Como é que as aplicações são acedidas atualmente na sua organização?
O AppLocker é eficaz para organizações com gestão de aplicações bem gerida com objetivos de política de controlo de aplicações simples. Por exemplo, o AppLocker pode beneficiar um ambiente em que nenhum utilizador tem acesso a computadores ligados à rede organizacional, como uma escola ou biblioteca.
| Respostas possíveis | Considerações de design |
|---|---|
| Os utilizadores são executados sem direitos administrativos. | As aplicações são instaladas através de uma tecnologia de implementação de instalação. |
| O AppLocker pode ajudar a reduzir o custo total de propriedade dos grupos empresariais que normalmente utilizam um conjunto finito de aplicações, como recursos humanos e departamentos financeiros. Ao mesmo tempo, estes departamentos acedem a informações altamente confidenciais, muitas das quais contêm informações confidenciais e proprietárias. Ao utilizar o AppLocker para criar regras para aplicações específicas com permissão para execução, pode ajudar a limitar o acesso a estas informações por parte de aplicações não autorizadas. Nota: O AppLocker também pode ser eficaz para ajudar a criar ambientes de trabalho padronizados em organizações onde os utilizadores são executados como administradores. No entanto, é importante ter em atenção que os utilizadores com credenciais administrativas podem adicionar novas regras à política appLocker local. |
Os utilizadores têm de conseguir instalar aplicações conforme necessário. |
| Os utilizadores têm atualmente acesso de administrador e seria difícil alterar este privilégio. | A imposição de regras do AppLocker não é adequada para grupos empresariais que têm de conseguir instalar aplicações conforme necessário e sem a aprovação do departamento de TI. Se uma ou mais UOs na sua organização tiverem este requisito, pode optar por não impor regras de aplicação nessas UOs com o AppLocker ou implementar a definição de imposição Apenas auditoria através do AppLocker. |
A estrutura no Active Directory Domain Services baseia-se na hierarquia da organização?
Conceber políticas de controlo de aplicações com base numa estrutura organizacional que já está incorporada no Active Directory Domain Services (AD DS) é mais fácil do que converter a estrutura existente numa estrutura organizacional. Uma vez que a eficácia das políticas de controlo de aplicações depende da capacidade de atualizar políticas, considere o trabalho organizacional que tem de ser realizado antes do início da implementação.
| Respostas possíveis | Considerações de design |
|---|---|
| Sim | As regras do AppLocker podem ser desenvolvidas e implementadas através de Política de Grupo, com base na sua estrutura do AD DS. |
| Não | O departamento de TI tem de criar um esquema para identificar como as políticas de controlo de aplicações podem ser aplicadas ao utilizador ou computador correto. |
Registar as suas descobertas
O próximo passo do processo é registar e analisar as suas respostas às perguntas anteriores. Se o AppLocker for a solução certa para os seus objetivos, pode definir os objetivos da política de controlo de aplicações e planear as regras do AppLocker. Este processo culmina na criação do seu documento de planeamento.