Compartilhar via


Noções básicas sobre a condição de regra de caminho no AppLocker

Este artigo explica como aplicar a condição da regra de caminho do AppLocker e as vantagens e desvantagens.

A condição de caminho identifica uma aplicação pela respetiva localização no sistema de ficheiros do computador ou na rede.

As regras de caminho que utilizam a ação de negação são menos eficazes do que outros tipos de regras, porque um utilizador (ou software maligno que aja como um utilizador) pode copiar facilmente o ficheiro para uma localização diferente para o executar. Uma vez que as regras de caminho especificam localizações no sistema de ficheiros, deve certificar-se de que não existem subdiretórios graváveis por não administradores. Por exemplo, se criar uma regra de caminho com a ação permitir para C:\, qualquer ficheiro nessa localização pode ser executado, incluindo o ficheiro nos perfis dos utilizadores. A tabela seguinte descreve as vantagens e desvantagens da condição de caminho.

Vantagens da condição de caminho Desvantagens da condição de caminho
  • Pode controlar facilmente muitas pastas ou um único ficheiro.
  • Pode utilizar o asterisco (*) como caráter universal dentro das regras de caminho.
  • Poderá ser menos seguro se uma regra configurada para utilizar um caminho de pasta contiver subpastas graváveis por não administradores.
  • Tem de especificar o caminho completo para um ficheiro ou pasta ao criar regras de caminho para que a regra seja aplicada corretamente.
  • O AppLocker não impõe regras que especifiquem caminhos com nomes curtos. Deve sempre especificar o caminho completo para um ficheiro ou pasta ao criar regras de caminho para que a regra seja aplicada corretamente.

    O caráter universal asterisco (*) pode ser utilizado no campo Caminho . O caráter asterisco (*) utilizado por si só representa qualquer caminho. Quando combinada com qualquer valor de cadeia, a regra está limitada ao caminho do ficheiro e a todos os ficheiros nesse caminho. Por exemplo, %ProgramFiles%\Internet Explorer\* indica que a regra afeta todos os ficheiros e subpastas na pasta Explorer Internet.

    O AppLocker utiliza variáveis de caminho para diretórios conhecidos no Windows. As variáveis de caminho não são variáveis de ambiente. O motor AppLocker só pode interpretar variáveis de caminho do AppLocker. A tabela seguinte detalha estas variáveis de caminho.

    Diretório ou unidade do Windows Variável de caminho do AppLocker Variável de ambiente do Windows
    Windows %WINDIR% %SystemRoot%
    System32 e sysWOW64 %SYSTEM32% %SystemDirectory%
    Diretório de instalação do Windows %OSDRIVE% %SystemDrive%
    Ficheiros de Programa %PROGRAMFILES% %ProgramFiles% e %ProgramFiles(x86)%
    Suporte de dados amovível (por exemplo, CD ou DVD) %AMOVÍVEL%
    Dispositivo de armazenamento amovível (por exemplo, pen USB) %HOT%

    Para obter uma descrição geral dos três tipos de condições de regra do AppLocker e as vantagens e desvantagens de cada um, veja Compreender os tipos de condição de regra do AppLocker.