Partilhar via


Processos e interações do AppLocker

Observação

Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.

Este artigo para profissionais de TI descreve as dependências e interações do processo quando o AppLocker avalia e impõe regras.

Como o AppLocker aplica políticas

As políticas do AppLocker são coleções de regras que podem conter qualquer uma das definições do modo de imposição configuradas. Quando aplicada, cada regra é avaliada na política e a coleção de regras é aplicada de acordo com a definição de imposição e de acordo com a sua estrutura de Política de Grupo.

A política AppLocker é imposta num computador através do serviço de Identidade da Aplicação (appid.sys), que é o motor que avalia as políticas e é executada no kernel do Windows. Se o serviço não estiver em execução, as políticas não serão impostas. O serviço Identidade da Aplicação devolve as informações do binário , mesmo que os nomes de produtos ou binários estejam vazios, para o painel de resultados do snap-in Política de Segurança Local.

As políticas do AppLocker são armazenadas num formato de descritor de segurança de acordo com os requisitos do serviço identidade da aplicação. Utiliza atributos de nome binário completamente qualificado, hash ou caminho de ficheiro para formar ações de permissão ou negação numa regra. Cada regra é armazenada como uma entrada de controlo de acesso (ACE) no descritor de segurança e contém as seguintes informações:

  • Um ACE de permissão ou negação ("XA" ou "XD" no formulário de linguagem de definição de descritor de segurança (SDDL).
  • O identificador de segurança do utilizador (SID) a que esta regra é aplicável. (A predefinição é o SID de utilizador autenticado no SDDL.)
  • A condição de regra que contém os atributos appid .

Por exemplo, um SDDL para uma regra que permite a execução de todos os ficheiros no diretório %windir% utiliza o seguinte formato: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*").

Appid.sys lê e coloca em cache a política appLocker eficaz para DLLs e ficheiros executáveis. Sempre que uma nova política é aplicada, uma tarefa de conversor de política notifica appid.sys. Para outros tipos de ficheiro, a política AppLocker é lida sempre que é efetuada uma chamada SaferIdentifyLevel .

Compreender as regras do AppLocker

Uma regra do AppLocker é um controlo colocado num ficheiro que controla se é ou não executado para um utilizador ou grupo específico. Pode criar regras do AppLocker para cinco tipos diferentes de ficheiros ou coleções:

  • Uma regra executável controla se um utilizador ou grupo pode executar um ficheiro executável. Os ficheiros executáveis têm frequentemente as extensões de nome de ficheiro .exe ou .com e aplicam-se às aplicações.
  • Uma regra de script controla se um utilizador ou grupo pode executar scripts com uma extensão de nome de ficheiro de .ps1, .bat, .cmd, .vbs e .js.
  • Uma regra do Windows Installer controla se um utilizador ou grupo pode executar ficheiros com uma extensão de nome de ficheiro de .msi, .mst e .msp (patch do Windows Installer).
  • Uma regra DLL controla se um utilizador ou grupo pode executar ficheiros com uma extensão de nome de ficheiro de .dll e .ocx.
  • Uma aplicação em pacote e uma regra do instalador de aplicações em pacote controlam se um utilizador ou grupo pode executar ou instalar uma aplicação em pacote. Um instalador de aplicações empacotadas tem a extensão .appx.

Existem três tipos diferentes de condições que podem ser aplicadas às regras:

Compreender as políticas do AppLocker

Uma política do AppLocker é um conjunto de coleções de regras e as respetivas definições de modo de imposição configuradas correspondentes aplicadas a um ou mais computadores.

  • Entender as configurações de imposição do AppLocker

    A imposição de regras é aplicada apenas a coleções de regras e não a regras individuais. O AppLocker divide as regras em quatro coleções: ficheiros executáveis, ficheiros do Windows Installer, scripts e ficheiros DLL. As opções para a imposição de regras não estão configuradas, Impor regras ou Apenas auditoria. Em conjunto, todas as coleções de regras do AppLocker compõem a política de controlo de aplicações ou a política appLocker. Por predefinição, se a imposição não estiver configurada e as regras estiverem presentes numa coleção de regras, essas regras são impostas.

Compreender o AppLocker e o Política de Grupo

Política de Grupo podem ser utilizadas para criar, modificar e distribuir políticas do AppLocker em objetos separados ou em combinação com outras políticas.

  • Entender a herança da configuração de imposição e as regras do AppLocker na Política de Grupo

    Quando Política de Grupo é utilizado para distribuir políticas appLocker, as coleções de regras que contêm uma ou mais regras são impostas, a menos que o modo de imposição esteja definido como Apenas auditoria. Política de Grupo não substitui nem substitui regras que já estão presentes num Objeto de Política de Grupo ligado (GPO) e aplica as regras do AppLocker, além das regras existentes. O AppLocker processa regras de negação explícitas antes de quaisquer regras de permissão e, para a imposição de regras, é aplicada a última escrita no GPO.