Planejar o gerenciamento de políticas do AppLocker
Este artigo descreve as decisões que precisa de tomar para estabelecer os processos de gestão e manutenção das políticas do AppLocker.
Gerenciamento de políticas
Antes de iniciar o processo de implementação, considere gerir as regras do AppLocker ao longo do tempo. Desenvolver um processo para gerir regras do AppLocker ajuda a garantir que o AppLocker continua a controlar eficazmente a forma como as aplicações são autorizadas a ser executadas na sua organização.
Política de suporte de aplicações e utilizadores
Desenvolver um processo para gerir regras do AppLocker ajuda a garantir que o AppLocker continua a controlar eficazmente a forma como as aplicações são autorizadas a ser executadas na sua organização. As considerações incluem:
- Que tipo de suporte do utilizador final é fornecido para aplicações bloqueadas?
- Como são adicionadas novas regras à política?
- Como é que as regras existentes são atualizadas?
- Os eventos são reencaminhados para revisão?
Suporte técnico
Se a sua organização tiver um departamento de suporte técnico estabelecido, considere os seguintes pontos ao implementar políticas do AppLocker:
- Que documentação é que o seu departamento de suporte necessita para novas implementações de políticas?
- Quais são os processos críticos em cada grupo empresarial afetados pelas políticas de controlo de aplicações e como podem afetar a carga de trabalho do departamento de suporte?
- Quem são os contactos no departamento de suporte?
- Como é que os problemas de controlo de aplicações são resolvidos para o utilizador final?
Suporte para utilizadores finais
Uma vez que o AppLocker bloqueia a execução de aplicações não aprovadas, é importante que a sua organização planeie cuidadosamente como fornecer suporte ao utilizador final. As considerações incluem:
- Pretende utilizar um site de intranet como uma linha de frente do suporte para os utilizadores que se deparam com aplicações bloqueadas?
- Como pretende suportar exceções à política?
Utilizar um site de intranet
O AppLocker pode ser configurado para apresentar a mensagem de bloqueio predefinida, mas com um URL personalizado. Pode utilizar este URL para redirecionar os utilizadores para um site de suporte que contém informações sobre o motivo pelo qual o utilizador recebeu o erro e quais as aplicações permitidas. Se não apresentar um URL personalizado para a mensagem quando uma aplicação está bloqueada, é utilizado o URL predefinido.
A imagem seguinte mostra um exemplo da mensagem de erro de uma aplicação bloqueada. Pode utilizar a definição Definir uma política de ligação Web de suporte para personalizar a ligação Mais informações .
Para obter os passos para apresentar um URL personalizado para a mensagem, veja Apresentar uma mensagem de URL personalizada quando os utilizadores tentam executar uma aplicação bloqueada.
Gestão de eventos do AppLocker
Sempre que um processo tenta ser executado, o AppLocker cria um evento no registo de eventos do AppLocker. O evento inclui informações sobre o ficheiro que tentou executar, o utilizador que o iniciou e o GUID da regra do AppLocker que bloqueou ou permitiu o ficheiro. O registo de eventos do AppLocker está localizado no seguinte caminho: Registos de Aplicações e Serviços\Microsoft\Windows\AppLocker. O registo do AppLocker inclui três registos:
- EXE e DLL. Contém eventos para todos os ficheiros afetados pelas coleções de regras DLL e executáveis (.exe, .com, .dll e .ocx).
- MSI e Script. Contém eventos para todos os ficheiros afetados pelo Windows Installer e coleções de regras de script (.msi, .msp, .ps1, .bat, .cmd, .vbs e .js).
- Implementação de aplicações em pacote ou Execução de aplicações em pacote contém eventos para todas as aplicações Universais do Windows afetadas pela aplicação em pacote e coleção de regras do instalador de aplicações em pacote (.appx).
Recolher estes eventos numa localização central pode ajudá-lo a manter a política do AppLocker e a resolver problemas de configuração de regras.
Manutenção de políticas
À medida que as aplicações são implementadas, atualizadas ou descontinuadas, tem de manter as regras de política atualizadas.
Pode editar uma política do AppLocker ao adicionar, alterar ou remover regras. No entanto, não pode especificar uma versão para a política ao importar mais regras. Para garantir o controlo de versões ao modificar uma política do AppLocker, utilize Política de Grupo software de gestão que lhe permite criar versões de Objetos de Política de Grupo (GPOs). Um exemplo deste tipo de software é a funcionalidade Gestão avançada de Política de Grupo do Microsoft Desktop Optimization Pack. Para obter mais informações, veja Advanced Política de Grupo Management Overview (Descrição Geral da Gestão de Política de Grupo Avançadas).
Importante
Não deve editar uma coleção de regras do AppLocker enquanto esta estiver a ser imposta no Política de Grupo. Uma vez que o AppLocker controla os ficheiros que podem ser executados, fazer alterações a uma política em direto pode criar um comportamento inesperado.
Nova versão de uma aplicação suportada
Quando uma nova versão de uma aplicação é implementada na organização, tem de determinar se pretende continuar a suportar a versão anterior dessa aplicação. Para adicionar a nova versão, só poderá ter de criar uma nova regra para cada ficheiro associado à aplicação. Se estiver a utilizar condições de publicador e a versão não for especificada, a regra ou regras existentes poderão ser suficientes para permitir a execução do ficheiro atualizado. No entanto, tem de marcar para nomes de ficheiros que mudam ou novos ficheiros adicionados. Nesse caso, tem de modificar as regras existentes ou criar novas regras. Poderá ter de atualizar as regras baseadas no publicador para ficheiros cuja assinatura digital é alterada.
Para determinar se um ficheiro foi alterado durante uma atualização da aplicação, reveja os detalhes de versão do publicador fornecidos com o pacote de atualização. Também pode rever a página Web do publicador para obter estas informações. Cada ficheiro também pode ser inspecionado para determinar a versão.
Para ficheiros permitidos ou negados com condições de hash de ficheiro, tem de obter o novo hash de ficheiro e garantir que as regras incluem esse novo hash.
Para ficheiros com condições de caminho, deve verificar se o caminho de instalação é o mesmo. Se o caminho tiver sido alterado, terá de adicionar uma regra para o novo caminho antes de instalar a nova versão da aplicação.
Aplicação implementada recentemente
Para suportar uma nova aplicação, tem de adicionar uma ou mais regras à política appLocker existente.
A aplicação já não é suportada
Se a sua organização já não suportar uma aplicação que tenha regras do AppLocker associadas, pode eliminar as regras para bloquear a aplicação.
A aplicação está bloqueada, mas deve ser permitida
Um ficheiro pode ser bloqueado por três motivos:
- A razão mais comum é que não existe nenhuma regra para permitir a execução da aplicação.
- Pode existir uma regra que foi criada para o ficheiro que é demasiado restritiva.
- Uma regra de negação, que não pode ser substituída, está a bloquear explicitamente o ficheiro.
Antes de editar a coleção de regras, determine primeiro que regra está a impedir a execução do ficheiro. Pode resolver o problema com o cmdlet Test-AppLockerPolicy Windows PowerShell. Para obter mais informações sobre a resolução de problemas de uma política do AppLocker, veja Testing and Updating an AppLocker Policy (Testar e Atualizar uma Política appLocker).
Registar as suas descobertas
Para concluir este documento de planeamento do AppLocker, deve primeiro concluir os seguintes passos:
- Determinar seus objetivos de controle do aplicativo
- Criar uma lista de aplicativos implantados para cada grupo comercial
- Selecionar os tipos de regras que serão criados
- Determinar a estrutura da Política de Grupo e a imposição de regras
- Planejar o gerenciamento de políticas do AppLocker
As três áreas principais a determinar para a gestão de políticas do AppLocker são:
Política de suporte
Documente o processo de processamento de chamadas de utilizadores que tentaram executar uma aplicação bloqueada e certifique-se de que o pessoal de suporte conhece os passos de resolução de problemas recomendados e os pontos de escalamento da sua política.
Processamento de eventos
Documente onde os eventos são recolhidos, com que frequência são arquivados e como os eventos são processados para análise.
Manutenção de políticas
Detalhe os planos de manutenção e ciclo de vida da sua política.
A tabela seguinte contém os dados de exemplo adicionados que foram recolhidos ao determinar como manter e gerir políticas do AppLocker.
| Grupo empresarial | Unidade organizacional | Implementar o AppLocker? | Apps | Caminho de instalação | Utilizar a regra predefinida ou definir a nova condição de regra | Permitir ou negar | Nome do GPO | Política de suporte |
|---|---|---|---|---|---|---|---|---|
| Caixas Bancárias | Teller-East e Teller-West | Sim | Teller Software | C:\Program Files\Woodgrove\Teller.exe | O ficheiro está assinado; criar uma condição de publicador | Permitido | Tellers-AppLockerTellerRules | Ajuda Da Web |
| Ficheiros do Windows | C:\Windows | Criar uma exceção de caminho para a regra predefinida para excluir \Windows\Temp | Permitido | Suporte técnico | ||||
| Recursos Humanos | HR-All | Sim | Verificar Pagamento | C:\Program Files\Woodgrove\HR\Checkcut.exe | O ficheiro está assinado; criar uma condição de publicador | Permitido | HR-AppLockerHRRules | Ajuda Da Web |
| Organizador da Folha de Horas | C:\Program Files\Woodgrove\HR\Timesheet.exe | O ficheiro não está assinado; criar uma condição hash de ficheiro | Permitido | Ajuda Da Web | ||||
| Internet Explorer 7 | C:\Program Files\Internet Explorer | O ficheiro está assinado; criar uma condição de publicador | Negado | Ajuda Da Web | ||||
| Ficheiros do Windows | C:\Windows | Utilizar a regra predefinida para o caminho do Windows | Permitido | Suporte técnico |
As duas tabelas seguintes ilustram exemplos de considerações de documentação para manter e gerir as políticas do AppLocker.
Política de processamento de eventos
Um método de deteção para a utilização da aplicação é definir o modo de imposição do AppLocker como Apenas auditoria. Este modo de imposição escreve eventos nos registos do AppLocker, que podem ser geridos e analisados como outros registos do Windows. Depois de as aplicações serem identificadas, pode começar a desenvolver políticas relativas ao processamento e ao acesso aos eventos do AppLocker.
A tabela seguinte é um exemplo do que deve considerar e registar.
| Grupo empresarial | Localização da coleção de eventos do AppLocker | Política de arquivo | Analisado? | Política de segurança |
|---|---|---|---|---|
| Caixas Bancárias | Reencaminhado para: Repositório de Eventos do AppLocker em srvBT093 | Standard | Nenhum | Standard |
| Recursos Humanos | NÃO REENCAMINHAR. srvHR004 | 60 meses | Sim, relatórios de resumo mensais para gestores | Standard |
Política de manutenção de políticas
Comece a documentar como pretende atualizar as políticas de controlo de aplicações.
A tabela seguinte é um exemplo do que deve considerar e registar.
| Grupo empresarial | Política de atualização de regras | Política de desativação de aplicações | Política de versão da aplicação | Política de implementação de aplicações |
|---|---|---|---|---|
| Caixas Bancárias | Planeado: mensalmente através da triagem de escritórios empresariais Emergência: Pedir através do suporte técnico |
Através da triagem de escritórios empresariais Aviso de 30 dias obrigatório |
Política geral: Manter versões anteriores durante 12 meses Listar políticas para cada aplicação |
Coordenado através do escritório de negócios Aviso de 30 dias obrigatório |
| Recursos Humanos | Planeado: mensalmente através da triagem de RH Emergência: Pedir através do suporte técnico |
Através da triagem de RH Aviso de 30 dias obrigatório |
Política geral: Manter versões anteriores durante 60 meses Listar políticas para cada aplicação |
Coordenado através de RH Aviso de 30 dias obrigatório |