Usar um dispositivo de referência para criar e manter políticas do AppLocker
Este artigo para profissionais de TI descreve os passos para criar e manter as políticas do AppLocker através de um computador de referência.
Background and prerequisites (Background and prerequisites)
Um dispositivo de referência do AppLocker é um dispositivo de linha de base que pode utilizar para configurar políticas e, em seguida, pode ser utilizado para manter as políticas do AppLocker. Para obter o procedimento para configurar um dispositivo de referência, veja Configurar o dispositivo de referência do AppLocker.
Um dispositivo de referência appLocker que é utilizado para criar e manter políticas appLocker deve conter as aplicações correspondentes para cada unidade organizacional (UO) para imitar o seu ambiente de produção.
Pode efetuar testes de política do AppLocker no dispositivo de referência através da definição Modo de imposição apenas de auditoria ou Windows PowerShell cmdlets.
Passo 1: gerar automaticamente regras no dispositivo de referência
Com o AppLocker, pode gerar automaticamente regras para todos os ficheiros numa pasta. O AppLocker analisa a pasta especificada e cria os tipos de condição que escolher para cada ficheiro nessa pasta. Para obter informações sobre como gerar regras automaticamente, consulte o assistente Executar Automaticamente Gerar Regras.
Observação
Se executar este assistente para criar as suas primeiras regras para um Objeto de Política de Grupo (GPO), ser-lhe-á pedido para criar as regras predefinidas que permitem a execução de ficheiros de sistema críticos. Pode editar as regras predefinidas em qualquer altura. Se a sua organização utilizar regras personalizadas para permitir a execução dos ficheiros do sistema Windows, certifique-se de que elimina as regras predefinidas depois de criar as suas regras personalizadas.
Passo 2: criar as regras predefinidas no dispositivo de referência
O AppLocker inclui regras predefinidas para cada coleção de regras. Estas regras destinam-se a ajudar a garantir que os ficheiros necessários para que o Windows funcione corretamente são permitidos numa coleção de regras do AppLocker. Tem de executar as regras predefinidas para cada coleção de regras. Para obter informações sobre as regras predefinidas e as considerações para as utilizar, consulte Compreender as regras predefinidas do AppLocker. Para o procedimento para criar regras predefinidas, veja Criar regras predefinidas do AppLocker.
Importante
Pode utilizar as regras predefinidas como modelo quando cria as suas próprias regras. Isto permite a execução de ficheiros no diretório do Windows. No entanto, estas regras destinam-se apenas a funcionar como uma política de arranque quando estiver a testar pela primeira vez as regras do AppLocker.
Passo 3: Modificar regras e a coleção de regras no dispositivo de referência
Se as políticas do AppLocker estiverem atualmente em execução no seu ambiente de produção, exporte as políticas dos GPOs correspondentes e guarde-as no dispositivo de referência. Para obter informações sobre como exportar e guardar as políticas, veja Exportar uma política appLocker a partir de um GPO. Se não forem implementadas políticas do AppLocker, crie as regras e desenvolva as políticas com os seguintes procedimentos:
- Criar uma regra que usa uma condição de fornecedor
- Criar uma regra que usa uma condição de hash de arquivo
- Criar uma regra que usa uma condição de caminho
- Editar regras do AppLocker
- Adicionar exceções a uma regra do AppLocker
- Excluir uma regra do AppLocker
- Habilitar a coleção de regras de DLL
- Impor regras do AppLocker
Passo 4: Testar e atualizar a política do AppLocker no dispositivo de referência
Deve testar cada conjunto de regras para garantir que funcionam como pretendido. O cmdlet Test-AppLockerPolicy Windows PowerShell pode ser utilizado para determinar se as aplicações no seu dispositivo de referência estão bloqueadas pelas regras nas coleções de regras. Execute os passos em cada dispositivo de referência que utilizou para definir a política appLocker. Certifique-se de que o dispositivo de referência está associado ao domínio e de que está a receber a política appLocker do GPO adequado. Uma vez que as regras do AppLocker são herdadas de GPOs ligados, deve implementar todas as regras para testar simultaneamente todos os GPOs de teste. Utilize os seguintes procedimentos para concluir este passo:
Aviso
Se tiver definido a definição do modo de imposição na coleção de regras como Impor regras ou Não configurado, a política será imposta após concluir o passo seguinte. Defina a definição do modo de imposição na coleção de regras como Auditar apenas se não estiver pronto para bloquear a execução de quaisquer ficheiros.
Passo 5: Exportar e importar a política para produção
Depois de testar a política do AppLocker, pode importá-la para o GPO (ou importada para computadores individuais não geridos por Política de Grupo) e verificar a eficácia pretendida. Para realizar estas tarefas, execute os seguintes procedimentos:
- Exportar uma política do AppLocker para um arquivo XML
- Importar uma política appLocker para um GPO ou
- Descobrir o Efeito de uma Política appLocker
Se a definição de imposição de política do AppLocker for Apenas auditoria e estiver satisfeito por a política estar a cumprir a sua intenção, pode alterá-la para Impor regras. Para obter informações sobre como alterar a definição de imposição, consulte Configurar uma política appLocker para impor regras.
Passo 6: Monitorizar o efeito da política na produção
Se forem necessários mais refinamentos ou atualizações após a implementação de uma política, utilize os seguintes procedimentos adequados para monitorizar e atualizar a política:
- Monitorar o uso de aplicativos com o AppLocker
- Editar uma política do AppLocker
- Atualizar uma política do AppLocker