Partilhar via

Manter as políticas do AppLocker

Este artigo descreve como manter regras nas políticas do AppLocker.

Os cenários comuns de manutenção do AppLocker incluem:

  • É implementada uma nova aplicação e tem de atualizar uma política appLocker.
  • É implementada uma nova versão de uma aplicação e tem de atualizar uma política do AppLocker ou criar uma nova regra para atualizar a política.
  • Uma aplicação já não é suportada pela sua organização, pelo que tem de a impedir de ser utilizada.
  • Uma aplicação parece estar bloqueada, mas deve ser permitida.
  • Uma aplicação parece ser permitida, mas deve ser bloqueada.
  • Um único utilizador ou pequeno subconjunto de utilizadores tem de utilizar uma aplicação específica que esteja bloqueada.

Existem três métodos que pode utilizar para manter as políticas do AppLocker:

Manter as políticas do AppLocker com o Mobile Gerenciamento de Dispositivos (MDM)

Ao utilizar o fornecedor de serviços de configuração do AppLocker, pode selecionar as aplicações que são permitidas ou impedidas de serem executadas. Com o CSP, pode configurar restrições de aplicações com base no agrupamento (como EXE, MSI, DLL, aplicações da Loja e muito mais) e, em seguida, escolher como impor diferentes políticas para diferentes aplicações.

Para obter mais informações, consulte o CSP do AppLocker.

Manter as políticas do AppLocker com Política de Grupo

Para cada cenário, os passos para manter uma política appLocker distribuída por Política de Grupo incluem as seguintes tarefas.

À medida que as novas aplicações são implementadas e as aplicações existentes são atualizadas ou descontinuadas, poderá ter de atualizar as regras no Objeto Política de Grupo (GPO) para manter a política atualizada.

Pode editar uma política do AppLocker ao adicionar, alterar ou remover regras. No entanto, não pode especificar uma versão para a política do AppLocker ao importar mais regras. Para garantir o controlo de versões ao modificar uma política appLocker, utilize Política de Grupo software de gestão que lhe permite criar versões de GPOs.

Importante

Deve evitar editar uma coleção de regras do AppLocker enquanto esta está a ser imposta no Política de Grupo. Uma vez que o AppLocker controla que ficheiros podem ser executados, fazer alterações a uma política em direto pode causar comportamentos inesperados.

Passo 1: Compreender o comportamento atual da política do GPO

Antes de modificar uma política, avalie a forma como a política está atualmente implementada. Por exemplo, se for implementada uma nova versão da aplicação, pode utilizar Test-AppLockerPolicy para verificar a eficácia da sua política atual para essa aplicação.

Passo 2: Exportar a política appLocker do GPO

Atualizar uma política do AppLocker atualmente imposta no seu ambiente de produção pode ter resultados inesperados. Por conseguinte, exporte a política do GPO e atualize a regra ou regras com o AppLocker no seu computador de referência ou teste AppLocker. Para preparar uma política appLocker para modificação, veja Exportar uma política appLocker a partir de um GPO.

Passo 3: atualizar a política do AppLocker ao editar a regra do AppLocker adequada

Depois de exportar a política appLocker do GPO para o computador de referência ou de teste do AppLocker ou aceder à política no computador local, as regras podem ser modificadas conforme necessário.

Para modificar as regras do AppLocker, veja os seguintes artigos:

Passo 4: Testar a política do AppLocker

Deve testar cada coleção de regras para garantir que as regras têm o desempenho pretendido. (Uma vez que as regras do AppLocker são herdadas de GPOs ligados, deve implementar todas as regras para testes simultâneos em todos os GPOs de teste.) Para obter os passos para efetuar este teste, veja Testar e atualizar uma política do AppLocker.

Passo 5: importar a política appLocker para o GPO

Após o teste, importe a política appLocker novamente para o GPO para implementação. Para atualizar o GPO com uma política appLocker modificada, veja Importar uma política appLocker para um GPO.

Passo 6: Monitorizar o comportamento da política resultante

Depois de implementar uma política, avalie a eficácia da política.

Manter as políticas do AppLocker com o snap-in Política de Segurança Local

Para cada cenário, os passos para manter uma política do AppLocker através da Política de Grupo Editor Local ou do snap-in Política de Segurança Local incluem as seguintes tarefas.

Passo 1: Compreender o comportamento atual da política

Antes de modificar uma política, avalie a forma como a política está atualmente implementada.

Passo 2: Atualizar a política do AppLocker ao modificar a regra do AppLocker adequada

As regras são agrupadas numa coleção, que pode ter a definição de imposição de política aplicada à mesma. Por predefinição, as regras do AppLocker não permitem que os utilizadores abram ou executem ficheiros que não sejam permitidos.

Para modificar as regras do AppLocker, veja o artigo adequado listado em Administrar AppLocker.

Passo 3: Testar a política do AppLocker

Deve testar cada coleção de regras para garantir que as regras têm o desempenho pretendido. Para obter os passos para efetuar este teste, veja Testar e atualizar uma política do AppLocker.

Passo 4: implementar a política com a regra modificada

Pode exportar e, em seguida, importar políticas do AppLocker para implementar a política noutros computadores com Windows 8 ou posterior. Para efetuar esta tarefa, veja Exportar uma política appLocker para um ficheiro XML e Importar uma política appLocker de outro computador.

Passo 5: Monitorizar o comportamento da política resultante

Depois de implementar uma política, avalie a eficácia da política.

Outros recursos