Noções básicas sobre ações de permissão e negação nas regras do AppLocker
Este artigo explica as diferenças entre ações de permissão e negação nas regras do AppLocker.
Permitir ação versus ação de negação em regras
Cada coleção de regras do AppLocker funciona como uma lista de permissões explícita de ficheiros. Só pode executar ficheiros abrangidos por uma ou mais regras de permissão na coleção de regras. Também pode criar regras que negam explicitamente a execução de alguns ficheiros. Todos os outros ficheiros não abrangidos por uma regra explícita Permitir ou Negar estão implicitamente bloqueados de execução. Compreender este bloco por predefinição, permitir por comportamento de exceção é fundamental ao analisar a forma como a política afeta os utilizadores na sua organização.
Quando o AppLocker aplica regras, verifica primeiro se as ações de negação explícitas são especificadas na lista de regras. Se negar a execução de um ficheiro numa coleção de regras, a ação de negação tem precedência sobre qualquer ação de permissão e não pode ser substituída. Em seguida, o AppLocker verifica se existem ações de permissão explícitas para o ficheiro. Uma vez que o AppLocker funciona como uma lista de permissões por predefinição, se nenhuma regra permitir ou negar explicitamente a execução de um ficheiro, a ação de negação predefinida do AppLocker bloqueia o ficheiro.
Utilizar o AppLocker para implementar uma lista de bloqueios
Embora possa utilizar o AppLocker para criar uma política de lista de bloqueio explícita, esta abordagem não se dimensiona bem para a maioria das organizações e não é recomendada como uma estratégia prática de controlo de aplicações. No entanto, se optar por fazê-lo, certifique-se de que inclui uma regra "permitir *" na coleção de regras para que todos os outros ficheiros sejam executados.
Importante
Se não incluir regras de permissão para todas as aplicações necessárias, incluindo ficheiros de sistema do Windows, numa coleção de regras, causará resultados inesperados porque a sua política irá negar implicitamente a execução de todos os outros ficheiros no computador.