Processos e interações do AppLocker
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
Este artigo para profissionais de TI descreve as dependências e interações do processo quando o AppLocker avalia e impõe regras.
Como o AppLocker aplica políticas
As políticas do AppLocker são coleções de regras que podem conter qualquer uma das definições do modo de imposição configuradas. Quando aplicada, cada regra é avaliada na política e a coleção de regras é aplicada de acordo com a definição de imposição e de acordo com a sua estrutura de Política de Grupo.
A política AppLocker é imposta num computador através do serviço de Identidade da Aplicação (appid.sys), que é o motor que avalia as políticas e é executada no kernel do Windows. Se o serviço não estiver em execução, as políticas não serão impostas. O serviço Identidade da Aplicação devolve as informações do binário , mesmo que os nomes de produtos ou binários estejam vazios, para o painel de resultados do snap-in Política de Segurança Local.
As políticas do AppLocker são armazenadas num formato de descritor de segurança de acordo com os requisitos do serviço identidade da aplicação. Utiliza atributos de nome binário completamente qualificado, hash ou caminho de ficheiro para formar ações de permissão ou negação numa regra. Cada regra é armazenada como uma entrada de controlo de acesso (ACE) no descritor de segurança e contém as seguintes informações:
- Um ACE de permissão ou negação ("XA" ou "XD" no formulário de linguagem de definição de descritor de segurança (SDDL).
- O identificador de segurança do utilizador (SID) a que esta regra é aplicável. (A predefinição é o SID de utilizador autenticado no SDDL.)
- A condição de regra que contém os atributos appid .
Por exemplo, um SDDL para uma regra que permite a execução de todos os ficheiros no diretório %windir% utiliza o seguinte formato: XA;;FX;;;AU;(APPID://PATH == "%windir%\\\*")
.
Appid.sys lê e coloca em cache a política appLocker eficaz para DLLs e ficheiros executáveis. Sempre que uma nova política é aplicada, uma tarefa de conversor de política notifica appid.sys. Para outros tipos de ficheiro, a política AppLocker é lida sempre que é efetuada uma chamada SaferIdentifyLevel .
Compreender as regras do AppLocker
Uma regra do AppLocker é um controlo colocado num ficheiro que controla se é ou não executado para um utilizador ou grupo específico. Pode criar regras do AppLocker para cinco tipos diferentes de ficheiros ou coleções:
- Uma regra executável controla se um utilizador ou grupo pode executar um ficheiro executável. Os ficheiros executáveis têm frequentemente as extensões de nome de ficheiro .exe ou .com e aplicam-se às aplicações.
- Uma regra de script controla se um utilizador ou grupo pode executar scripts com uma extensão de nome de ficheiro de .ps1, .bat, .cmd, .vbs e .js.
- Uma regra do Windows Installer controla se um utilizador ou grupo pode executar ficheiros com uma extensão de nome de ficheiro de .msi, .mst e .msp (patch do Windows Installer).
- Uma regra DLL controla se um utilizador ou grupo pode executar ficheiros com uma extensão de nome de ficheiro de .dll e .ocx.
- Uma aplicação em pacote e uma regra do instalador de aplicações em pacote controlam se um utilizador ou grupo pode executar ou instalar uma aplicação em pacote. Um instalador de aplicações empacotadas tem a extensão .appx.
Existem três tipos diferentes de condições que podem ser aplicadas às regras:
Uma condição de publicador numa regra controla se um utilizador ou grupo pode executar ficheiros a partir de um fabricante de software específico. O ficheiro tem de estar assinado.
Uma condição de caminho numa regra controla se um utilizador ou grupo pode executar ficheiros a partir de um diretório específico ou dos respetivos subdiretórios.
Uma condição hash de ficheiro numa regra controla se um utilizador ou grupo pode executar ficheiros com hashes encriptados correspondentes.
Noções básicas sobre coleções de regras do AppLocker
Uma coleção de regras do AppLocker é um conjunto de regras que se aplicam a um dos seguintes tipos: ficheiros executáveis, ficheiros do Windows Installer, scripts, DLLs e aplicações em pacote.
Noções básicas sobre tipos de condição de regras do AppLocker
As condições da regra são critérios nos quais a regra appLocker se baseia. São necessárias condições primárias para criar uma regra do AppLocker. As três condições principais da regra são o fabricante, o caminho e o hash de ficheiro.
Noções básicas sobre as regras padrão do AppLocker
O AppLocker inclui regras predefinidas para cada coleção de regras. Estas regras destinam-se a ajudar a garantir que os ficheiros necessários para que o Windows funcione corretamente são permitidos numa coleção de regras do AppLocker.
Noções básicas sobre exceções de regras do AppLocker
Pode aplicar regras do AppLocker a utilizadores individuais ou a um grupo de utilizadores. Se aplicar uma regra a um grupo de utilizadores, a regra afetará todos os utilizadores nesse grupo. Se precisar de permitir que apenas um subconjunto de um grupo de utilizadores utilize uma aplicação, pode criar uma regra especial para esse subconjunto.
Compreender o comportamento das regras do AppLocker e Compreender as ações de permissão e negação do AppLocker nas Regras
Cada coleção de regras do AppLocker funciona como uma lista permitida de ficheiros.
Compreender as políticas do AppLocker
Uma política do AppLocker é um conjunto de coleções de regras e as respetivas definições de modo de imposição configuradas correspondentes aplicadas a um ou mais computadores.
Entender as configurações de imposição do AppLocker
A imposição de regras é aplicada apenas a coleções de regras e não a regras individuais. O AppLocker divide as regras em quatro coleções: ficheiros executáveis, ficheiros do Windows Installer, scripts e ficheiros DLL. As opções para a imposição de regras não estão configuradas, Impor regras ou Apenas auditoria. Em conjunto, todas as coleções de regras do AppLocker compõem a política de controlo de aplicações ou a política appLocker. Por predefinição, se a imposição não estiver configurada e as regras estiverem presentes numa coleção de regras, essas regras são impostas.
Compreender o AppLocker e o Política de Grupo
Política de Grupo podem ser utilizadas para criar, modificar e distribuir políticas do AppLocker em objetos separados ou em combinação com outras políticas.
Entender a herança da configuração de imposição e as regras do AppLocker na Política de Grupo
Quando Política de Grupo é utilizado para distribuir políticas appLocker, as coleções de regras que contêm uma ou mais regras são impostas, a menos que o modo de imposição esteja definido como Apenas auditoria. Política de Grupo não substitui nem substitui regras que já estão presentes num Objeto de Política de Grupo ligado (GPO) e aplica as regras do AppLocker, além das regras existentes. O AppLocker processa regras de negação explícitas antes de quaisquer regras de permissão e, para a imposição de regras, é aplicada a última escrita no GPO.