Bloqueando a instalação de softwares com o AppLocker

Neste artigo, ensino como usar o AppLocker para fazer o bloqueio de softwares indesejados em seu domínio.

Várias são as razões para criarmos políticas de restrições de instalações de softwares em um domínio: Licenciamento, vírus, manutenção, padronizações das estações e entre outras. Imagina um usuário que não é do suporte instalar um software, em que o mesmo precisava de licença, e sua empresa ser multada por isso! Dor de cabeça, no mínimo.

É para isto que apresento uma forma de minimizar a dor de cabeça: AppLocker. Com o uso do mesmo, podemos restringir a instalação de softwares em várias extensões (.exe, .msi ou script), como também por fabricante, versão, caminho de diretório e outras possibilidades.

Solução

Antes de aplicar a diretiva, iremos tentar instalar alguns softwares com um usuário do domínio em uma estação do domínio. Abaixo, temos uma usuária no AD chamada diana.lima em que a mesma não é membra de nenhum grupo de administradores, conforme a figura abaixo.

2318.Permissões do usuário Diana.png-550x0

Logada na estação cliente, iremos tentar instalar três softwares: Adobe Reader, Google Chrome e WinRar.

O primeiro programa que iremos tentar é o Google Chrome:

4606.Erro a instalar Google Chrome.png-550x0Observamos que o mesmo retornou um erro de instalação, afirmando que é necessário privilégio de administrador para a instalação. Agora tentaremos os dois outros programas: Adobe e WinRar.

Instalando o Adobe Acrobat Reader

4657.Adobe Instalando na máquina.png-550x0

Instalando o WinRar

4336.WinRar - Instalando parte 3.png-550x0

Podemos observar que ambos foram instalados com um USUÁRIO DO DOMÍNIO, conforme a figura abaixo.

0246.WinRar e Adobe - Instalados na máquina.png-550x0

Agora imagine: se com um teste de apenas três softwares, dois foram instalados com um USUÁRIO DO DOMÍNIO, quantos outros não seriam instalados?! Para tentarmos minimizar este problema, usaremos o AppLocker.

O AppLocker foi inserido no Windows Server 2008 e uma das funções dele é promover a restrição de instalação de softwares.

Criando diretiva para bloqueio

1. Para testar a diretiva, criamos uma OU chamada OU-Teste e nela criamos uma GPO chamada GPO_TesteAPPLock, conforme a figura abaixo.

1488.Criando GPO_TesteAPPLock.png-550x0

Observação: A diretiva será aplicada somente nos computadores em que estiverem dentro da OU-TESTE. Então, depois de criá-la, mova algum computador de teste para essa OU e depois teste a diretiva. 

2. Com a diretiva criada, iremos configurá-la. Com o botão direito do mouse, clique em Editar.

5327.Entrando nas configurações da GPO_TesteAPPLock.png-550x0

Depois de ter clicado em Editar, vá em: Configuração do Computador > Configuração do Windows > Configuração de Segurança > Política de Controle de Aplicativo.

Agora iremos criar uma regra para bloquear a instalação de programas executáveis (formato .exe). Selecione Regras Executáveis, clique com o botão direito do mouse em Criar Regras padrão.

2577.Criando regra padrão APPLocker.png-550x0

Após ter clicado em Criar Regras Padrão, as regras serão criadas conforme abaixo:

8053.Criado regrão Padrão para Executáveis.png-550x0

Observação importante: As regras padrões são criadas para garantir que os usuários possam executar os programas que estão já instalados na estação e que os administradores possam instalar programas na estação. Se acessarmos as propriedades de cada um, veremos o que cada regra faz. Não esqueça de criar as regras padrões, pois, sem elas, podemos bloquear a execução de todos os executáveis na estação!

3. Com as regras padrões criadas, iremos fazer mais algumas configurações. Com o botão direito do mouse, clique em AppLocker e selecione Propriedades.

5722.Acessando as Propriedades do AppLocke.png-550x0

Será aberta uma interface que pedirá para especificar as regras que serão impostas. No caso, clique em Configurado na parte Regras Executáveis. Você poderá escolher duas opções: Impor regras ou somente auditoria. Escolheremos Impor regras. Clique em Aplicar e depois Ok.

5657.Impondo Regras do AppLocked.png-550x0

Observação: Escolheríamos somente auditoria se quiséssemos apenas auditar os programas que poderiam ser bloqueados, caso estivesse no modo Impor Regras. Ou seja, ao invés de bloquear de imediato a instalação do programa, iria criar um log em que diria os programas que poderiam ter sido bloqueados.

4. Nossa diretiva está quase toda configurada, falta só iniciar o serviço de sistema chamado Identidade do Aplicativo. Temos que habilitá-lo para que a diretiva funcione. Clique em Serviços do Sistema e procure pelo serviço Identidade do Aplicativo. 

8233.Achando Identidade do Aplicativo.png-550x0

Ao achar o serviço, acesse as propriedades com o botão direito. Selecione Definir esta configuração de política e escolha o modo automático. Clique em Aplicar e Ok. Pronto! Tudo está configurado na nossa diretiva.

5. Agora iremos no nosso AD e verificaremos quais computadores estão recebendo essa diretiva na OU-Teste (onde foi criada a diretiva). Conforme a figura abaixo, somente a estação TI01 receberá.

6114.Verificando os PCs que está na OU-Teste.png-550x06. Agora iremos abrir o CMD, e daremos o comando gpupdate /force para aplicar as diretivas de imediato na estação. 

0486.Dando uma gpupdateforce.png-550x0

6. Com a diretiva feita, gpupdate /force feito ou computador reiniciado, iremos logar na estação com a usuária diana.lima e testaremos se a mesma ainda consegue instalar os programas.

Tentando instalar o Adobe Reader após ter feito as configurações
4401.Tentando instalar ADOBE após ter aplicar a diretiva.png-550x0

Tentando instalar o WinRar após ter feito as configurações.

6403.Tentando instalar o WinRar após ter aplicado a diretiva.png-550x0
Tentando instalar o Google Chrome após ter feito as configurações.
1106.Erro a instalar Google Chrome.png-550x0

Diretiva funcionou perfeitamente!

Algumas observações importantes, caso não funcione: 

  • Verifique se o serviço Identidade do Aplicativo está ativo na estação em que está recebendo a diretiva. (Para verificar, clique em CMD e depois coloque services.msc e olhe se subiu o serviço).
  • Verifique se a estação que está recebendo a diretiva está realmente na OU em que está sendo aplicada a configuração.

Outras observações importantes:

  • Não esquecer de habilitar as regras padrões para não bloquear a execução de programas instalados.
  • Criar uma OU-Teste e testar a diretiva para só depois ir para produção.

Conclusão

Aprendemos que com o uso do AppLocker podemos bloquear a instalação de programas nas estações do domínio, garantido a padronização das estações de trabalho, diminuição na manutenção das máquinas -causadas por softwares instalados sem conhecimento da equipe de suporte e evitando possíveis multas por uso de softwares piratas instalados por usuários.

O AppLocker é um recurso riquíssimo de funcionalidades em que deve ser visto, estudado e certamente aplicado. 

Este artigo também pode ser visto no Technet Microsoft

Diego Gouveia

Mais artigos deste autor »

Nascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor), escreve para diversas comunidades técnicas e é autor dos livros: Tudo sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell. Atualmente é Analista de TI e busca sempre aprender mais para o seu crescimento profissional.


12 Comentários

Márcio
1

mas porque usar o AppLocker, não é mais fácil deixar o usuário sem o direito administrativo?

caio
2

Marcio pode ser feito, mas isso vai ter de ser feito um a um, com o dominio já assim todo novo usuario terá de seguir tais regras, muito mais prático

Diego Lima
3

Márcio, foi mostrado no artigo que um usuário comum do domínio, mesmo sem ter nenhum direito elevado, podem fazer algumas instalações no domínio. Ou seja, existem exceções de programas que podem ser instalados por usuários comuns. É aí que o AppLocker entra, fazendo o bloqueio nessa exceções.

Rodrigo
5

Li novamente e entendi agora o que você quis dizer. Desconsidere o comentário anterior rs

Leonardo Dorea
6

Olá,
Fiz o passo a passo desse artigo, e usuário com privilégios ADM da máquina consegue instalar, fiz o check do serviço e a regra está aplicada, tem algo a mais a se fazer?
abraços

Luis Fernando
7

Uso o 2012 server sem applocker, usuários sem direito adm e bloqueia bem… O problema são os pacotes MSI, os usuários conseguem instalar tranquilamente! Há como bloquear este tipo de pacote com AppLocker ou outra configuração no AD?

Diego Gouveia
8

Luis Fernando,
ele também bloqueia a instalação de programas no formato MSI. No passo 2, crio uma regra para executáveis. No caso, ao invés de criar uma regra padrão para executáveis, iria criar uma regra para .msi clicando com com o botão direito em “Regras do Windows Installer”. Depois de criado as regras padrões nesse campo, os programas .msi serão bloqueados.

Diego Gouveia
9

Leonardo Dorea,
no artigo escrevo que as regras padrões que foram criadas são para garantir que os usuários não consigam executar programas .exe fora das pastas: C:\Arquivos de Programas, etc e que os usuários que são administradores da estação consigam executar .exe de qualquer local da máquina(seja da área de trabalho, meus documentos, etc). Então até aí, ele está fazendo o que está propondo. E é por isso que você ainda consegue executar programas .exe, pois há uma regra que foi criada possibilitando a execução por usuários que sejam administradores da estação.
Em relação, de como fazer o bloqueio também dos usuários administradores da estação, deve ser removida a rega padrão dos usuários administradores. Vá na terceira regra: “BULTINS\Administradores”.. e a remova. Após isso, lembre-se: que tanto os usuários do domínio como usuário administradores não conseguiram instalar programas.

Alexandre
10

Boa tarde. Fiz o que está no tutorial, porém ao tentar instalar o windows bloqueia, ok, mas não me dá a opção de colocar a senha do administrador ou não, simplesmente diz que está bloqueada por uma diretiva. Existe algo para que o sistema possa me dar uma opção de colocar o usuário e a senha do dominio para prosseguir com a instalação?

Luiz
11

Então, eu quero permitir que usuário instale software homologados como IRPF, GCAP entre outros. É possível dar essas permissões através do Applocker?

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!