Criar uma nova Política Suplementar com o Assistente
Observação
Algumas capacidades do Controlo de Aplicações para Empresas só estão disponíveis em versões específicas do Windows. Saiba mais sobre a disponibilidade das funcionalidades do Controlo de Aplicações.
A partir do Windows 10 versão 1903, o Controlo de Aplicações para Empresas suporta a criação de várias políticas ativas num dispositivo. Uma ou mais políticas suplementares permitem que os clientes expandam uma política base de Controlo de Aplicações para aumentar o círculo de confiança da política. Uma política suplementar só pode expandir uma política base, mas vários suplementos podem expandir a mesma política base. Quando são utilizadas políticas suplementares, as aplicações permitidas pela base ou por qualquer uma das suas políticas suplementares podem ser executadas.
As informações de pré-requisitos sobre o Controlo de Aplicações podem ser acedidas através do guia de conceção do Controlo de Aplicações. Esta página descreve os passos para criar uma política de Controlo de Aplicações suplementar, configurar as opções de política e o signatário e as regras de ficheiro.
Expandir uma Política Base
Assim que o tipo de Política Suplementar for escolhido na página Nova Política, os campos de caixa de diálogo Nome da política e ficheiro podem ser utilizados para atribuir um nome e guardar a política suplementar. O próximo passo requer a seleção de uma política base para expandir. Para expandir uma política base, a base tem de permitir políticas suplementares. O Assistente de Controlo de Aplicações verifica se a política base permite suplementos e mostra a seguinte confirmação.
Se a política de base não estiver configurada para políticas suplementares, o Assistente tenta converter a política numa política que pode ser complementada. Depois de concluído com êxito, o Assistente mostra uma caixa de diálogo a demonstrar que a adição da regra Permitir Política Suplementar foi concluída.
As políticas que não podem ser complementadas, por exemplo, outra política suplementar, são detetadas pelo Assistente e mostram o seguinte erro. Só é possível complementar uma política de base. Pode encontrar mais informações sobre políticas suplementares no nosso artigo Políticas Múltiplas.
Configurar Regras de Política
Após o início da página, as regras de política são ativadas/desativadas automaticamente, consoante a política base escolhida da página anterior. A maioria das regras de política suplementar são herdadas da política base. O Assistente analisa automaticamente a política base e define as regras de política suplementar necessárias para corresponder às regras da política de base. As regras de política herdadas estão desativadas e não são modificáveis na interface de utilizador.
Uma breve descrição da regra é apresentada na parte inferior da página quando o cursor é colocado no título da regra.
Descrição das Regras de Política Suplementar Configuráveis
As políticas suplementares só podem configurar três regras de política. A tabela seguinte descreve cada regra de política, começando pela coluna mais à esquerda. Selecionar a etiqueta + Opções Avançadas mostra outra coluna de regras de política, as regras de política avançadas.
| Opção de regra | Descrição |
|---|---|
| Autorização do Gráfico de Segurança Inteligente | Utilize esta opção para permitir automaticamente aplicações com uma reputação "conhecida como boa", conforme definido pelo Graph de Segurança Inteligente (ISG) da Microsoft. |
| Instalador Gerido | Utilize esta opção para permitir automaticamente aplicações instaladas por uma solução de distribuição de software, como Microsoft Configuration Manager, que tenha sido definida como um instalador gerido. |
| Desativar o Runtime FilePath Rule Protection | Esta opção desativa a marcar de runtime predefinida que só permite regras filePath para caminhos que só são graváveis por um administrador. |
Criar regras de ficheiros personalizadas
As regras de ficheiros numa política de Controlo de Aplicações especificam o nível no qual as aplicações são identificadas e fidedignas. As regras de ficheiro são o mecanismo main para definir a confiança na política de Controlo de Aplicações. Selecionar + Regras Personalizadas abre o painel de condições da regra de ficheiro personalizado para criar e personalizar regras de ficheiros de destino para a sua política. O Assistente suporta quatro tipos de regras de ficheiro:
Regras do Publicador
O tipo de regra de ficheiro do Publisher utiliza propriedades na cadeia de certificados de assinatura de código para as regras de ficheiro base. Depois de selecionar o ficheiro para desativar a regra, denominado ficheiro de referência, utilize o controlo de deslize para indicar a especificidade da regra. A tabela seguinte mostra a relação entre o posicionamento do controlo de deslize, o nível de regra do Controlo de Aplicações para Empresas correspondente e a respetiva descrição. Quanto mais baixa for a colocação na tabela e o controlo de deslize da IU, maior será a especificidade da regra.
| Condição da Regra | Nível de Regra de Controlo de Aplicações | Descrição |
|---|---|---|
| A emitir AC | PCACertificate | O certificado mais elevado disponível é adicionado aos signatários. Normalmente, este certificado é o certificado PCA, um nível abaixo do certificado de raiz. Qualquer ficheiro assinado por este certificado é afetado. |
| Editor | Editor | Esta regra é uma combinação da regra PCACertificate e do nome comum (CN) do certificado de folha. Qualquer ficheiro assinado por uma AC principal, mas com uma folha de uma empresa específica, por exemplo, um fabricante de controladores de dispositivos, é afetado. |
| Versão do ficheiro | SignedVersion | Esta regra é uma combinação da regra PCACertificate e Publisher e um número de versão. Qualquer item do publicador especificado com uma versão em ou acima do especificado é afetado. |
| Nome do arquivo | FilePublisher | Mais específico. Combinação do nome de ficheiro, publicador e certificado PCA e um número de versão mínimo. Os ficheiros do publicador com o nome especificado e maiores ou iguais à versão especificada são afetados. |
Regras de Caminho de Ficheiro
As regras filepath não fornecem as mesmas garantias de segurança que as regras explícitas do signatário, uma vez que se baseiam em permissões de acesso mutáveis. Para criar uma regra de caminho de ficheiro, selecione o ficheiro com o botão Procurar.
Regras de Atributo de Ficheiro
O Assistente suporta a criação de regras de nome de ficheiro com base em atributos de ficheiro autenticados. As regras de nome de ficheiro são úteis quando uma aplicação e as respetivas dependências (por exemplo, DLLs) podem partilhar o mesmo nome de produto, por exemplo. Este nível de regra permite que os utilizadores criem facilmente políticas direcionadas com base no nome do ficheiro Nome do Produto. Para selecionar o atributo de ficheiro para criar a regra, mova o controlo de deslize no Assistente para o atributo pretendido. A tabela seguinte descreve cada um dos atributos de ficheiro suportados para criar uma regra.
| Nível da regra | Descrição |
|---|---|
| Nome de Ficheiro Original | Especifica o nome de ficheiro original, ou o nome com o qual o ficheiro foi criado pela primeira vez, do binário. |
| Descrição do ficheiro | Especifica a descrição do ficheiro fornecida pelo programador do binário. |
| Nome do produto | Especifica o nome do produto com o qual o binário é enviado. |
| Nome interno | Especifica o nome interno do binário. |
Regras de Hash de Ficheiro
Por fim, o Assistente suporta a criação de regras de ficheiro com o hash do ficheiro. Embora este nível seja específico, pode causar custos administrativos adicionais para manter os valores hash das versões atuais do produto. Sempre que um binário é atualizado, o valor de hash muda, logo, exigindo uma atualização de política. Por predefinição, o Assistente utiliza o hash de ficheiro como contingência caso não seja possível criar uma regra de ficheiro com o nível de regra de ficheiro especificado.
Eliminar Regras de Assinatura
A tabela à esquerda da página documenta as regras de permissão e negação no modelo e quaisquer regras personalizadas que criar. As regras podem ser eliminadas da política ao selecionar a regra na tabela de lista de regras. Assim que a regra estiver realçada, prima o botão eliminar por baixo da tabela. Ser-lhe-á novamente pedida outra confirmação. Selecione Yes para remover a regra da política e da tabela de regras.