Trabalhando com as diretivas de restrição de softwares

AGRADEÇA AO AUTOR COMPARTILHE!

Neste artigo, vou demonstrar como trabalhar com diretivas de restrição de softwares.

Quando você trabalha em um ambiente corporativo, o administrador da rede muitas vezes precisa restringir os usuários a instalarem e executarem softwares e scripts, acessarem determinados diretórios e até restringirem acessos a bibliotecas DLL.

Para poder fazer isso, o administrador pode contar com duas tecnologias: Diretivas de Restrição de Software (Group Policy Editor) e o Applocker.

Imagem via Shutterstock

Imagem via Shutterstock

As diretivas de restrição de software estão presentes desde o Windows XP. Já o Applocker, que será tratado no próximo artigo, é mais recente, surgindo a partir do Windows 7, porém, só está disponível nas versões Ultimate e Enterprise. No Windows 8 o Applocker está presente somente na versão Enterprise.

Para acessarmos a restrição de software, vamos no menu iniciar do Windows 7 e no campo referente a consulta digitaremos gpedit.msc e depois clicaremos em <enter>.

gpo1

Abrirá a janela do Editor de Diretiva de Grupo Local.

gpo2

Agora iremos expandir (+) a opção Configuração do Computador situado na coluna da esquerda. Depois expandiremos com o sinal de (+) a opção Configurações do Windows, depois expandiremos a opção Diretivas de restrição de software e então clicaremos em Regras adicionais. Resumindo o caminho ficará assim: Configuração do computador > Configurações do Windows > Diretivas de restrição de software > Regras Adicionais.

Dentro de Regras adicionais, na coluna à direita, iremos clicar com o botão direito do mouse. Reparem que aparecerá no menu quatro opções de regras. Por ordem de mais específica (eficaz) para a mais genérica (menos eficaz) ficaria assim:

Regra de Hash: identificará o aplicativo através de seu código binário. Segundo o site da Microsoft seria como identificação por impressão digital. Não importando onde está localizado dentro do computador, irá restringir ou permitir a execução deste aplicativo.

Regra de Certificado: identifca o splicativo através do certificado do fornecedor sendo assim tão segura como a Regra de Hash. É bom tomar cuidade com esta regra pois se você utiliza outros softwares assinados digitalmente pelo mesmo fornecedor, irá aplicar esta regra a todos os seus softwares. Caso possua outros softwares, use outra regra.

Regra de Zona de Rede: se refere apenas a execução de aplicativos com extensão .msi do Windows installer. Não é aplicada para outras extensões.

Regra de Caminho: esta regra é a menos específica. Você pode aplicar esta regra a um executável ou diretório para restringir acesso. No entanto, supondo que eu altere o caminho deste executável ou diretório, o software será executado sem restrições, pois estou executando o aplicativo que copiei para outro diretório.

Em nosso exemplo aqui, iremos utilizar a Regra de Hash para restringir acesso a um determinado software.

gpo4

Clicando em Regra de Hash aparecerá a janela a seguir. Como exemplo, iremos restringir a execução do navegador Google Chrome. Para isso iremos clicar em Procurar.

gpo5

Iremos entrar no diretório referente ao executável do Google Chrome e selecionaremos o seu executável, que no caso aqui é o chrome.exe, e então clicaremos em Abrir. Não aparece a extensão aqui devido as configurações de exibição das pastas.

gpo6

Reparem na imagem a seguir que aparecerão todas as informações referente ao aplicativo. A única desvantagem que percebo nesta regra é que ela se aplica somente a versão do software que está instalada no momento. Se o software sofrer uma atualização, deverá refazer esta regra novamente.

gpo7

Na opção de Nível de Segurança, poderemos deixar sem restrição, execução apenas como Usuário básico ou não permitindo a sua execução que é o que iremos utilizar aqui e depois clicaremos em OK.

gpo8

A nova regra criada aparecerá entre as demais, mostrando também que tipo de regra está aplicada e qual o seu nível de segurança.

gpo9

Para as novas regras funcionarem, será necessário reiniciar o Windows ou fazer o logoff do usuário e logá-lo novamente.

Ao executar o software, aparecerá a imagem abaixo identificando que o software está bloqueado para a sua execução. Como estamos usando a Regra de Hash, poderemos estar copiando o diretório para outro local que mesmo assim estará loqueada.

Lembrando que se usarmos a Regra de Caminho, ao copiar o diretório para outro local e entrar neste diretório e executar o software, ele funcionará sem problemas.

gpo10

Como mencionado anteriormente, o próximo artigo será a respeito da restrição de software através do Applocker.

Espero ter ajudado a quem necessite e até a próxima.

AGRADEÇA AO AUTOR COMPARTILHE!

Luciano Gusso

Mais artigos deste autor »

Analista de Sistemas. Há mais de 15 anos trabalhando em consultoria a usuários finais e à empresas.


6 Comentários

Vandrey Trindade
1

Luciano,

Em se tratando de GPO, não é necessário reiniciar o Windows ou fazer logoff após alguma alteração.
Apenas abra um prompt de comando e digite: gpupdate /force

Claudio José Estácio
3

Gostaria de saber se tem como usar esta regra para dar permissão de Administrador a execução de um software específico. Tem alguns aplicativos que só executam em modo administrador, e um usuário comum não consegue executá-lo. Alguém tem alguma dica?

Luciano GussoLuciano Gusso Autor do Post
6

Obrigado pelos comentários.
Então Eduardo. Se você bloquear o gdrive acredito que não será executado na inicialização. Caso continue aparecendo no tray terá que alterar a configuração no próprio aplicativo do gdrive.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!

Você pode usar estas tags e atributos de HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">