Você está offline; aguardando reconexão

Como usar as diretivas de restrição de Software no Windows Server 2003

O suporte para o Windows Server 2003 termina em 14 de julho de 2015.

A Microsoft terminou o suporte para o Windows Server 2003 em 14 de julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Saiba o que isto significa para você e como permanecer protegido.

IMPORTANTE: Este artigo foi traduzido pelo software de tradução automática da Microsoft e eventualmente pode ter sido editado pela Microsoft Community através da tecnologia Community Translation Framework (CTF) ou por um tradutor profissional. A Microsoft oferece artigos traduzidos automaticamente por software, por tradutores profissionais e editados pela comunidade para que você tenha acesso a todos os artigos de nossa Base de Conhecimento em diversos idiomas. No entanto, um artigo traduzido pode conter erros de vocabulário, sintaxe e/ou gramática. A Microsoft não é responsável por qualquer inexatidão, erro ou dano causado por qualquer tradução imprecisa do conteúdo ou por seu uso pelos nossos clientes.

Clique aqui para ver a versão em Inglês deste artigo: 324036
Sumário
Este artigo descreve como usar as diretivas de restrição de Software no Windows Server 2003. Quando você usar as diretivas de restrição de software, você pode identificar e especificar o software que pode ser executado de modo que você pode proteger o ambiente do computador contra código não confiável. Quando você usar as diretivas de restrição de software, você pode definir um nível de segurança padrão de Irrestrito ou não permitido para um objeto de diretiva de grupo (GPO) para que o software seja permitida ou não pode ser executado por padrão. Para criar exceções para esse nível de segurança padrão, você pode criar regras para softwares específicos. Você pode criar os seguintes tipos de regras:
  • Regras de hash
  • Regras de certificado
  • Regras de caminho
  • Regras de zona da Internet
Uma diretiva é composta por nível de segurança padrão e todas as regras aplicadas a um GPO. Esta diretiva pode aplicar a todos os computadores ou usuários individuais. As diretivas de restrição de software fornecem várias maneiras de identificar o software e fornecem uma infra-estrutura baseada em diretiva para impor decisões sobre se o software pode ser executado. Com as diretivas de restrição de software, os usuários devem seguir as diretrizes definidas pelos administradores quando executam programas.

Com as diretivas de restrição de software, você pode executar as seguintes tarefas:
  • Controlar quais programas podem ser executados em seu computador. Por exemplo, você pode aplicar uma diretiva que não permita executado somente em determinados tipos de arquivo na pasta de anexo de email do seu programa de email se você concernedabout os usuários receberem vírus por email.
  • Permita que os usuários executem somente determinados arquivos em vários usercomputers. Por exemplo, se você tiver vários usuários em seus computadores, você canset as diretivas de restrição de software de forma que os usuários fazem não haveaccess a qualquer software, exceto para aqueles específicos de arquivos que eles devem usar o trabalho de fortheir.
  • Decida quem pode adicionar editores confiáveis ao SeuComputador.
  • Controle se as diretivas de restrição de software afetam allusers ou apenas determinados usuários em um computador.
  • Impedir que qualquer arquivo seja executado em seu computador local, unidade de yourorganizational, seu site ou domínio. Por exemplo, se houver um vírus aknown, você pode usar as diretivas de restrição de software para interromper o computerfrom abrir o arquivo que contém o vírus.

    Importante: Recomendamos que você não use software restrictionpolicies como um substituto para um software antivírus.

Como usar as diretivas de restrição de Software com AppLocker

Embora as diretivas de restrição de Software e AppLocker tiverem o mesmo objetivo, o AppLocker é uma revisão completa das diretivas de restrição de software que são introduzidas no Windows 7 e Windows Server 2008 R2. Você não pode usar o AppLocker para gerenciar as configurações de diretiva de restrição de software. Regras do AppLocker são aplicadas apenas em computadores que estão executando o Windows 7 Ultimate e Enterprise editions ou todas as edições do Windows Server 2008 R2, enquanto as regras de diretiva de restrição de software são aplicadas nos seguintes e anteriores versões.

Além disso, se AppLocker e as configurações de diretiva de restrição de software são definidas no mesmo GPO, somente as configurações do AppLocker serão aplicadas nos computadores que estão executando o Windows 7 e Windows Server 2008 R2. Portanto, se você deve usar diretivas de restrição de Software e o AppLocker em sua organização, é a prática recomendada para criar regras de AppLocker para computadores que podem usar a diretiva de AppLocker e regras de diretiva de restrição de software para computadores que estejam executando versões anteriores do Windows.

Para obter mais informações sobre como usar essas duas tecnologias de restrição de software, consulte o tópico AppLocker na biblioteca técnica do Microsoft TechNet:

Como iniciar diretivas de restrição de Software

Somente no computador Local

  1. Clique em Iniciar, aponte para programas, aponte para Ferramentas administrativase, em seguida, clique em Diretiva de segurança Local.
  2. Na árvore de console, expanda Configurações de segurançae, em seguida, expanda Diretivas de restrição de Software.

Para um domínio, um Site ou uma unidade organizacional em um servidor membro ou estação de trabalho que tenha ingressada em um domínio

  1. Abra o Console de gerenciamento Microsoft (MMC). Para fazer isso, clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. No menu arquivo , clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
  3. Clique em Editor de objeto de diretiva de grupoe, em seguida, clique em Adicionar.
  4. Em Selecionar objeto de diretiva de grupo, clique em Procurar.
  5. Em Procurar um objeto de diretiva de grupo, selecione um objeto de diretiva de grupo (GPO) no appropriatedomain, site ou unidade organizacional e, em seguida, clique em Concluir.

    Como alternativa, você pode criar um novo GPO e thenclick Concluir.
  6. Clique em Fechare, em seguida, clique em OK.
  7. Na árvore de console, vá para o seguinte local:
    Objeto de diretiva de grupo Nome_do_computador Configuração de diretiva de computador ou usuário/Configuration/Windows Settings/Security diretivas de restrição de configurações de Software

Para uma unidade organizacional ou um domínio em um controlador de domínio ou estação de trabalho com o pacote de ferramentas administrativas instalado

  1. Clique em Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativase, em seguida, clique em Active Directory Users and Computers.
  2. Na árvore de console, clique com botão direito na unidade de ororganizational de domínio que você deseja definir a diretiva de grupo.
  3. Clique em Propriedadese, em seguida, clique na guia Diretiva de grupo .
  4. Clique em uma entrada em Vínculos de objeto de diretiva de grupo para selecionar um GPO existente e, em seguida, clique em Editar.

    Como alternativa, você pode clique em novo para criar um novo GPO e, em seguida, clique em Editar.
  5. Na árvore de console, vá para o seguinte local:
    Objeto de diretiva de grupo Nome_do_computador Configuração de diretiva de computador ou diretivas de restrição de configurações de Software do usuário Configuration/Windows Settings/Security

Para o Site e em uma estação de trabalho ou em um controlador de domínio que tenha o pacote de ferramentas administrativas instalado

  1. Clique em Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativase, em seguida, clique em serviços e Sites do Active Directory.
  2. Na árvore de console, clique com botão direito no site que você deseja toset de diretiva de grupo para:
    • [Serviços e Sites do diretório ativo Nome_controlador_domínio. Nome_do_domínio]
    • Sites
    • Site

  3. Clique em Propriedadese, em seguida, clique na guia Diretiva de grupo .
  4. Clique em uma entrada em Vínculos de objeto de diretiva de grupo para selecionar um objeto de diretiva de grupo (GPO) existente e, em seguida, clique em Editar.

    Como alternativa, clique em novo para criar um novo GPO e, em seguida, clique em Editar.
  5. Na árvore de console, vá para o seguinte local:
    Objeto de diretiva de grupo Nome_do_computador Configuração de diretiva de computador ou diretivas de restrição de configurações de Software do usuário Configuration/Windows Settings/Security
    Importante: clique em Configuração do usuário para definir diretivas que serão aplicadas aos usuários, independentemente do thecomputer em que eles fizerem logon. Clique em Configuração do computador para definir diretivas que serão aplicadas a computadores, independentemente dos usuários que efetuam logon a eles.

    Você também pode aplicar políticas de softwarerestriction a usuários específicos quando fizerem logon no computador específico finalatravés uma configuração avançada de diretiva de grupo chamada loopback.

Como evitar que diretivas de restrição de Software sejam aplicadas a administradores locais

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. No painel de detalhes, clique duas vezes em imposição.
  4. Em Aplicar diretivas de restrição de software aos usuários asseguintes, clique em todos os usuários, exceto para localadministrators.
Notas:
  • Você terá que criar um novo regrade de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Normalmente, os usuários são membros do administratorgroup local em seus computadores na sua organização. Portanto, não convém toturn essa configuração. Não se aplicam a qualquer userswho diretivas de restrição de software são membros do seu grupo de administrador local.
  • Se você estiver definindo as configurações de diretiva de restrição de software em seu computador local, use este procedimento para evitar administratorsfrom local com as diretivas de restrição de software aplicadas a eles. Se você define as configurações de diretiva de restrição de software para a sua rede, filtre policysettings de usuário com base na participação em grupos de segurança usando diretiva de grupo.

Como criar uma regra de certificado

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. Na árvore de console ou no painel de detalhes, clique emRegras adicionaise, em seguida, clique em Nova regra de certificado.
  4. Clique em Procurare, em seguida, selecione um certificado.
  5. Selecione um nível de segurança.
  6. Na caixa Descrição , digite uma descrição para a regra e, em seguida, clique em OK.
Notas:
  • Para obter informações sobre como iniciar o software restrictionpolicies no MMC, consulte "Iniciar diretivas de restrição" em tópicos relacionados no arquivo de Ajuda do Windows Server 2003.
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Por padrão, as regras de certificado não estão ativadas. Para ativar as regras de oncertificate:
    1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
    2. Localize e clique na seguinte chave do registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. No painel de detalhes, clique duas vezes em AuthenticodeEnablede, em seguida, altere o dado do valor de 0 para 1.
  • Os únicos tipos de arquivo que são afetados por certificado rulesare estão listados em tipos de arquivo designados. Há uma lista de tipos de arquivo designados que é compartilhada por allrules.
  • Para diretivas de restrição de software sejam efetivadas, usersmust atualizar as configurações de diretiva fazendo logoff e fazer logon em theircomputers.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de Hash

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. Na árvore de console ou no painel de detalhes, clique emRegras adicionaise, em seguida, clique em Nova regra de Hash.
  4. Clique em Procurar para localizar um arquivo ou cole um hash pré-calculados na caixa hash do arquivo .
  5. Na caixa nível de segurança , clique em não permitido ou Irrestrito.
  6. Na caixa Descrição , digite uma descrição para a regra e, em seguida, clique em OK.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Você pode criar uma regra de hash para um vírus ou um cavalo de Tróia toprevent o software mal-intencionado seja executado.
  • Se desejar que outros usuários usem uma regra de hash para que um viruscannot é executado, calcule o hash do vírus usando o software restrictionpolicies e, em seguida, o valor de hash para outros usuários de email. Nunca enviar por email a virusitself.
  • Se um vírus tiver sido enviado por email, você pode alsocreate uma regra de caminho para impedir que os usuários executem anexos de email.
  • Um arquivo renomeado ou movido para outra stillresults de pasta o mesmo hash.
  • Qualquer alteração de um arquivo resulta em um differenthash.
  • Os únicos tipos de arquivo que são afetados pelo hash arethose de regras que são listados em tipos de arquivo designados. Há uma lista de tipos de arquivo designados que é compartilhada por allrules.
  • Para diretivas de restrição de software sejam efetivadas, usersmust atualizar as configurações de diretiva fazendo logoff e fazer logon em theircomputers.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de zona da Internet

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. Na árvore de console, clique em Diretivas de restrição de Software.
  4. Na árvore de console ou no painel de detalhes, clique emRegras adicionaise, em seguida, clique em Nova regra de zona da Internet.
  5. Na zona da Internet, clique em uma zona da Internet.
  6. Na caixa Nível de segurança , clique em não permitido ou Irrestritoe, em seguida, clique em OK.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Regras de zona se aplicam a packagesonly do Windows Installer.
  • Os únicos tipos de arquivo que são afetados por zona arethose de regras que são listados em tipos de arquivo designados. Há uma lista de tipos de arquivo designados que é compartilhada por allrules.
  • Para diretivas de restrição de software sejam efetivadas, usersmust atualizar as configurações de diretiva fazendo logoff e fazer logon em theircomputers.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de caminho

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. Na árvore de console ou no painel de detalhes, clique emRegras adicionaise, em seguida, clique em Nova regra de caminho.
  4. Na caixa caminho , digite um caminho ou clique em Procurar para localizar um arquivo ou pasta.
  5. Na caixa nível de segurança , clique em não permitido ou Irrestrito.
  6. Na caixa Descrição , digite uma descrição para a regra e, em seguida, clique em OK.

    Importante: em determinadas pastas, como a pasta Windows, definir o nível de thesecurity como não permitido pode afetar a operação do seu sistema operacional. Salve você não permitir um componente crucial do orone sistema operacional de seus programas dependentes.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Se você criar uma regra de caminho para um programa com um securitylevel não permitido, um usuário ainda pode executar o software copiando-o para anotherlocation.
  • Os caracteres curinga que são suportados pelo ruleare caminho, o asterisco (*) e ponto de interrogação (?).
  • Você pode usar variáveis de ambiente, como % programfiles % ou % systemroot %, na regra de caminho.
  • Para criar uma regra de caminho para o software ao fazer não knowwhere que são armazenados em um computador, mas você tem a chave de registro, você pode criar uma regra de caminho do registro.
  • Para impedir que os usuários executem anexos de email, cancreate um caminho de regra para a pasta de anexos do programa de email que preventsusers executem anexos de email.
  • Somente tipos de arquivo que são afetados por arethose de regras de caminho são listados em tipos de arquivo designados. Há uma lista de tipos de arquivo designados que é compartilhada por allrules.
  • Para diretivas de restrição de software sejam efetivadas, usersmust atualizar as configurações de diretiva fazendo logoff e fazer logon em theircomputers.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de caminho do registro

  1. Clique em Iniciar, clique em Executar, digite regedit e, em seguida, clique em OK.
  2. Na árvore de console, clique com botão direito no registro chave que youwant para criar uma regra para e, em seguida, clique em Copiar nome da chave.
  3. Observe o nome do valor no painel de detalhes.
  4. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  5. Abrir as diretivas de restrição de Software.
  6. Na árvore de console ou no painel de detalhes, clique emRegras adicionaise, em seguida, clique em Nova regra de caminho.
  7. No caminho, cole o nome da chave do registro e o nome do valor.
  8. Coloque o caminho do registro entre sinais de porcentagem (%), por exemplo:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Na caixa nível de segurança , clique em não permitido ou Irrestrito.
  10. Na caixa Descrição , digite uma descrição para a regra e, em seguida, clique em OK.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Você deve ser um membro do grupo Administradores para o procedimento performthis.
  • Formate o caminho do registro da seguinte forma:
    % Seção do registro\ Nome da chave do registro\ Nome do valor%
  • Você deve escrever o nome da seção do registro; youcannot use abreviações. Por exemplo, você não é substituída HKCU para HKEY_CURRENT_USER.
  • A regra de caminho do registro pode conter um sufixo após o sinal de porcentagem de theclosing (%). Não use uma barra invertida (\) no sufixo. Por exemplo, você pode usar a regra de caminho do registro a seguir:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Somente tipos de arquivo que são afetados por arethose de regras de caminho são listados em tipos de arquivo designados. Há uma lista de tipos de arquivo designados que é compartilhada por allrules.
  • Para diretivas de restrição de software sejam efetivadas, usersmust atualizar as configurações de diretiva fazendo logoff e fazer logon em theircomputers.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como adicionar ou excluir um tipo de arquivo designado

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. No painel de detalhes, clique duas vezes em Tipos de arquivo designados.
  4. Execute uma das seguintes etapas conforme apropriado:
    • Para adicionar um tipo de arquivo, digite a extensão de nome de arquivo na caixa File extension e, em seguida, clique em Adicionar.
    • Para excluir um tipo de arquivo, clique no tipo de arquivo na caixa de tipos de arquivo designados e, em seguida, clique em Remover.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Lista de tipos de arquivo designados é compartilhada por todas as configurações de foreach de regras. Lista de tipos de arquivo designados para settingsis de diretiva de computador diferentes na lista de tipos de arquivo designados para policysettings do usuário.

Como alterar o padrão de segurança nível de diretivas de restrição de Software

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. No painel de detalhes, clique duas vezes em Níveis de segurança.
  4. O nível de segurança que você deseja definir como thedefault de atalho e, em seguida, clique em Definir como padrão.

    Cuidado: em determinadas pastas, se você definir o nível de segurança padrão como não permitido, você pode afetar seu sistema operacional.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • No painel de detalhes, o isindicated de nível de segurança atual do padrão por um círculo preto com uma marca de seleção. Se você clica o nível de segurança padrão atual, o comando Definir como padrão não aparecerá no menu.
  • As regras são criadas para especificar exceções para o nível de defaultsecurity. Quando o nível de segurança padrão é definido como Irrestrito, regras especificam o software que não tem permissão para executar. Quando o nível de segurança de thedefault está definido como não permitido, as regras especificam o software que pode ser executado.
  • Se você alterar o nível padrão, você afeta todos os arquivos nos computadores que possuem tothem de aplicadas as diretivas de restrição de software.
  • Durante a instalação, o nível de segurança padrão das diretivas de softwarerestriction em todos os arquivos no seu computador está definido como Irrestrito.

Como definir opções de editores confiáveis

  1. Clique em Iniciar, clique em Executar, digite mmce, em seguida, clique em OK.
  2. Abrir as diretivas de restrição de Software.
  3. Clique duas vezes em editores confiáveis.
  4. Clique nos usuários que quiser decidir qual certificateswill é confiável e, em seguida, clique em OK.
Notas:
  • Você terá que criar novas policysettings de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Você pode selecionar quem pode adicionar editores confiáveis, usuários, administradores ou administradores de empresas. Por exemplo, você pode usar thistool para impedir que usuários façam decisões de confiança sobre editores de ActiveXControls.
  • Administradores de computadores locais têm o direito de editores de specifytrusted no computador local, mas havethe de administradores de empresa direito de especificar editores confiáveis no nível da unidade organizacional.
kbmgmtsvc

Aviso: este artigo foi traduzido automaticamente

Propriedades

ID do Artigo: 324036 - Última Revisão: 07/04/2015 00:45:00 - Revisão: 7.0

Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86)

  • kbmgmtservices kbhowto kbhowtomaster kbmt KB324036 KbMtpt
Comentários
d"; document.getElementsByTagName("head")[0].appendChild(m); >