Trabalhando com Diretivas de Controle de Aplicativos no AppLocker

Olá Pessoal!

Em todos os artigos que escrevo, costumo criar cenários para enriquecer as minhas explicações e neste não será diferente.

No artigo anterior, criei um cenário baseado em Windows 7 Professional para demonstrar como trabalhar com as diretivas de restrição de software pelo GPO (Group Policy).

Já neste artigo, usarei um cenário baseado no Windows 8 Enterprise, para demostrar como restringir softwares usando o recurso AppLocker.

Este recurso foi lançado inicialmente com o Windows 7, porém, estando presente apenas nas edições Ultimate e Enterprise.

Apesar da forma de configurar o AppLocker ser parecida com as Diretivas de Restrição de Software, ele possui algumas vantagens como, por exemplo, a restrição ser aplicada a grupos de usuários como também em contas individuais. Outra vantagem interessante, é poder configurar a restrição para ser aplicada a versões futuras do aplicativo, diferente das Diretivas de Restrição de Software que sempre que for atualizado o software, terá que refazer a configuração de restrição.

Bom, vamos aos procedimentos de configuração do AppLocker.

O primeiro passo a fazer antes de configurar o AppLocker, é alterar o serviço da Identidade do Aplicativo como automático.

Para isso, clicando com o botão direito do mouse no canto inferior da tela do Windows (pode ser tanto no desktop como também na tela que possuem os Tiles (blocos), aparecerá um menu de gerenciamento do Windows. Clicaremos em Run (Executar).

applocker1

Na janela que se abrirá referente ao Run, digitaremos services.msc e depois clicaremos em OK.

services1

Na janela que abrirá referente a serviços, iremos localizar a opção Application Identity (Identidade da Aplicação) e então daremos um duplo clique em cima dele (ou clicar com o botão direito do mouse em cima dele e depois na opção Proprierties (Propiedades)). Na janela de Application Indentity Proprierties (Propriedades da Identidade da Aplicação), na opção Startup type (tipo de inicialização) deixaremos como Automatic (Automático) e no status do serviço, clicaremos em Start (Iniciar), caso não esteja iniciado e em seguida clicaremos em OK.

services2

Após o procedimento anterior, poderemos fechar a janela de Serviços que ficou aberta. Então iremos repetir o procedimento para abrir a janela Run (Executar) e iremos digitar gpedit.msc e clicar em OK para abrir a janela de edição do GPO (Group Policy).

applocker2

Na janela Local Group Policy Editor (Editor de Política de Grupo Local), iremos selecionar o seguinte caminho: Computer Configuration Configuração do Computador) > Windows Settings (Configurações do Windows) > Security Settings (Configurações de Segurança) > Application Control Policies (Política de Controle de Aplicativos) > AppLocker  e em seguida iremos clicar na opção Executable Rules (Regras Executáveis).

applocker4

Após selecionar a opção de regras executáveis, poderemos clicar em cima dela com o botão direito do mouse (ou na coluna da direita em qualquer espaço em branco) e clicaremos em Create New Rule (Criar Nova Regra).

applocker5

Abrirá a janela para auxiliar na criação da nova regra e então clicaremos em Next (Avançar).

applocker6

Na janela seguinte, que se refere a permissões, iremos selecionar se queremos permitir (Allow) ou negar (Deny) acesso a determinado diretório, bibliotecas DLL, scripts ou executáveis. No nosso caso clicaremos em Deny (Negar) e logo abaixo poderemos selecionar o grupo de usuários ou contas específicas que queremos negar a execução de determinado aplicativo, então deixarei selecionado Everyone (Todos) e depois clicar em Next (Avançar).

applocker7

Após termos definido as permissões, é hora de definirmos as condições. Aqui você pode selecionar que quer definir a restrição do software através do Publisher (Fornecedor), do Path (Caminho) ou do Hash.

Estas opções de condições são parecidas com a de Diretivas de Restrição de Software, lembrando que a condição por caminho é a menos eficiente e a de hash e fornecedor estariam no mesmo nível de mais eficiente.  A condição de caminho, se copiarmos o diretório do aplicativos para outro local, ele irá funcionar neste novo caminho. A referente ao hash, é como uma impressão digital, deverá ser aplicado a toda nova versão do aplicativo.

Aqui iremos utilizar a Publisher (Fornecedor) para definir a restrição de execução do aplicativo. Na condição Publisher, só conseguimos aplicar com eficiência àqueles aplicativos assinados digitalmente pelo fornecedor.

applocker8

Após termos definido as condições e clicarmos em Next (Avançar), aparecerá a janela abaixo. Nesta janela referente ao fornecedor, iremos selecionar o arquivo executável da aplicação que queremos restringir. Para isso clicaremos em Browse (Navegar).

applocker9

Abrirá a tela para localizar o executável da aplicação. Como exemplo aqui, vou restringir o uso do Internet Explorer. Em C:\Arquivos de Programas > Internet Explorer, irei selecionar o arquivo iexplore, que é o executável que inicia o Internet Explorer, e em seguida clicarei em Open (Abrir).

applocker10

Reparem que aparecerá todas as informações referente à versão que está sendo utilizada no computador, o fornecedor, o nome do aplicativo e o nome do executável. Aqui deixarei que restrinja sua execução à todas as versões que surgirem incluindo a versão 10 que já está instalada no computador. Caso queiramos customizar que versões devem ficar restringidas, marcaremos a opção Use custom values (Usar valores customizados), então irá habilitar a o campo da versão para selecionarmos a partir de que versão gostaríamos de aplicar esta condição.

Selecionado e configurada as versões do software, clicaremos em Create (Criar). Clicaríamos em Next (Avançar) se fossemos definir alguma exceção à estas condições.

applocker11

Ao ter clicado em Create (Criar) e sendo a primeira regra criada pelo AppLocker, aparecerá uma tela para criar as regras padrões que é a coleção de regras básicas. Como são necessárias para a funcionalidade do AppLocker, clicaremos em Yes (Sim).

applocker13

Iremos reparar na janela do editor de políticas do grupo local, que foram criadas as regras padrões e também a regra que definimos para a execução do Internet Explorer.

applocker14

Referente ao AppLocker, será necessário que reinicie o Windows para que a regra seja validada.

applocker15

Bom, o básico para o AppLocker seria isso.

Espero que tenha ajudado os profissionais que estão inciando e também àqueles que precisam de ajuda.

Leia também: Trabalhando com as diretivas de restrição de softwares

Luciano Gusso

Mais artigos deste autor »

Formado em Analise e Desenvolvimento de Sistemas, com MBA em Gestão de Projetos.
Trabalhando há mais de 20 anos na área de TI, prestando suporte técnico e consultoria à empresas e usuários finais.


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!