Como utilizar políticas de restrição de Software no Windows Server 2003

Sumário

Este artigo descreve como utilizar políticas de restrição de Software no Windows Server 2003. Quando utilizar as políticas de restrição de software, pode identificar e especificar o software que é permitido a execução de modo a que pode proteger o ambiente do computador de código não fidedigno. Quando utilizar as políticas de restrição de software, pode definir um nível de segurança sem restrições ou não permitido para um objecto de política de grupo (GPO) para que o software tenha ou não permissão para ser executado por predefinição. Para criar excepções para este nível de segurança predefinido, pode criar regras de software específico. Pode criar os seguintes tipos de regras:
  • Regras hash
  • Regras de certificados
  • Regras de caminho
  • Regras de zona da Internet
Uma política é constituída por nível de segurança predefinido e todas as regras aplicadas a um GPO. Esta política pode aplicar a todos os computadores ou utilizadores individuais. As políticas de restrição de software fornecem várias formas de identificar software e fornecem uma infra-estrutura baseada em políticas para aplicar decisões sobre se o software pode ser executado. Com as políticas de restrição de software, os utilizadores devem seguir as directrizes configuradas pelos administradores quando executam programas.

Com as políticas de restrição de software, pode efectuar as seguintes tarefas:
  • Controlo que podem executar programas no seu computador. Por exemplo, pode aplicar uma política que não permite a determinados tipos de ficheiro ser executado na pasta de anexo de correio electrónico do programa de correio electrónico se estiver preocupado com os utilizadores receberem vírus por correio electrónico.
  • Permita que os utilizadores executem apenas ficheiros específicos em vários computadores. Por exemplo, se tiver vários utilizadores em computadores, pode definir configurar políticas de restrição de software de tal forma que os utilizadores não têm acesso a qualquer software, excepto para os ficheiros específicos que têm de utilizar para o seu trabalho.
  • Decida quem pode adicionar fabricantes fidedignos no computador.
  • Controla se as políticas de restrição de software afectam todos os utilizadores ou apenas determinados utilizadores num computador.
  • Impedir que todos os ficheiros em execução no computador local, a unidade organizacional, o site ou domínio. Por exemplo, se existir um vírus conhecido, pode utilizar políticas de restrição de software para parar o computador de abrir o ficheiro que contenha o vírus.

    Importante: Recomendamos que não utilize políticas de restrição de software como substituto de software antivírus.
voltar ao índice

Como utilizar políticas de restrição de Software com AppLocker

Apesar das políticas de restrição de Software e o AppLocker tem o mesmo objectivo, o AppLocker é uma revisão completa das políticas de restrição de software que são introduzidas no Windows 7 e Windows Server 2008 R2. Não é possível utilizar o AppLocker para gerir as definições de política de restrição de software. Regras do AppLocker só são aplicadas a computadores que executem edições do Windows 7 Ultimate e Enterprise ou todas as edições do Windows Server 2008 R2, Considerando que as regras de política de restrição de software são aplicadas nestas e anteriores versões.

Além disso, se o AppLocker e as definições de política de restrição de software estão configuradas no mesmo GPO, apenas as definições de AppLocker serão impostas em computadores que executem o Windows 7 e Windows Server 2008 R2. Por conseguinte, se tiver de utilizar as políticas de restrição de Software e o AppLocker na sua organização, é a prática recomendada para criar regras de AppLocker para computadores que podem utilizar a política de AppLocker e regras de política de restrição de software para computadores que executem versões anteriores do Windows.

Para mais informações sobre como utilizar estas duas tecnologias de restrição de software, consulte o tópico de AppLocker na biblioteca técnica Microsoft TechNet:voltar ao índice

Como iniciar as políticas de restrição de Software

Apenas no computador Local

  1. Clique em Iniciar, aponte para programas, aponte para Ferramentas administrativase, em seguida, clique em Política de segurança Local.
  2. Na árvore da consola, expanda As definições de segurançae, em seguida, expanda As políticas de restrição de Software.
voltar ao índice

Para um domínio, um Site ou uma unidade organizacional num servidor membro ou estação de trabalho que está associada a um domínio

  1. Abra a consola de gestão da Microsoft (MMC). Para tal, clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. No menu ficheiro , clique em Adicionar/Remover Snap-ine, em seguida, clique em Adicionar.
  3. Clique em Editor de objecto de política de grupoe, em seguida, clique em Adicionar.
  4. Seleccionar objecto de política de grupo, clique em Procurar.
  5. Em Procurar um objecto de política de grupo, seleccione um objecto de política de grupo (GPO) no domínio apropriado, local ou unidade organizacional e, em seguida, clique em Concluir.

    Em alternativa, pode criar um novo GPO e, em seguida, clique em Concluir.
  6. Clique em Fechare, em seguida, clique em OK.
  7. Na árvore da consola, vá para a seguinte localização:
    Política de grupo objecto configuração de política/computador de nome_computador ou políticas de restrição de Settings/Software definições de utilizador/configuração/Windows/segurança
voltar ao índice

Para uma unidade organizacional ou domínio um controlador de domínio ou estação de trabalho com o pacote de ferramentas de administração instalado

  1. Clique em Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativase, em seguida, clique em computadores e utilizadores do Active Directory.
  2. Na árvore da consola, faça duplo clique no domínio ou unidade organizacional que pretende definir a política de grupo.
  3. Clique em Propriedadese, em seguida, clique no separador de Política de grupo .
  4. Clique numa entrada de Ligações de objecto de política de grupo para seleccionar um GPO existente e, em seguida, clique em Editar.

    Em alternativa, pode clique em Novo para criar um novo GPO e, em seguida, clique em Editar.
  5. Na árvore da consola, vá para a seguinte localização:
    Política de grupo objecto configuração de política/computador de nome_computador ou políticas de restrição de definições/Software de segurança/definições de configuração/Windows utilizador
voltar ao índice

Para o seu Site e, no controlador de domínio ou numa estação de trabalho que tenha o pacote de ferramentas de administração instalado

  1. Clique em Iniciar, aponte para Todos os programas, aponte para Ferramentas administrativase, em seguida, clique em Serviços e locais do Active Directory.
  2. Na árvore da consola, com o botão direito do site que pretende definir a política de grupo para:
    • [Serviços e locais do directório activo
      Domain_Controller_Name.
      Domain_Name]
    • Sites
    • Site

  3. Clique em Propriedadese, em seguida, clique no separador de Política de grupo .
  4. Clique numa entrada de Ligações de objecto de política de grupo para seleccionar um objecto de política de grupo (GPO) existente e, em seguida, clique em Editar.

    Em alternativa, clique em Novo para criar um novo GPO e, em seguida, clique em Editar.
  5. Na árvore da consola, vá para a seguinte localização:
    Política de grupo objecto configuração de política/computador de nome_computador ou políticas de restrição de definições/Software de segurança/definições de configuração/Windows utilizador
    Importante: clique em Configuração do utilizador para definir políticas que serão aplicadas a utilizadores, independentemente do computador onde iniciam sessão. Clique em Configuração do computador para definir políticas que serão aplicadas a computadores, independentemente dos utilizadores que iniciem sessão-los.

    Também pode aplicar políticas de restrição de software para utilizadores específicos quando iniciam sessão no computador específico utilizando uma definição de política de grupo avançada com o nome loopback.
voltar ao índice

Como impedir que as políticas de restrição de Software aplicadas a administradores locais

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. No painel de detalhes, faça duplo clique em execução.
  4. Em Aplicar políticas de restrição de software aos seguintes utilizadores, clique em todos os utilizadores excepto os administradores locais.
Notas:
  • Poderá ter de criar uma nova definição de política de restrição de software para este GPO se ainda não o tiver feito.
  • Normalmente, os utilizadores são membros do grupo administrador local nos respectivos computadores na organização; Por conseguinte, não poderá activar esta definição. Políticas de restrição de software não se aplicam a todos os utilizadores que são membros do seu grupo de administradores locais.
  • Se estiver a definir as definições de política de restrição de software para o computador local, utilize este procedimento para impedir que os administradores locais com as políticas de restrição de software aplicadas. Se estiver a definir as definições de política de restrição de software para a rede, filtre as definições de política de utilizador com base na associação a grupos de segurança utilizando a política de grupo.
voltar ao índice

Como criar uma regra de certificados

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. Na árvore da consola ou no painel de detalhes, faça duplo clique
    Regras adicionaise, em seguida, clique em Nova regra de certificados.
  4. Clique em Procurare, em seguida, seleccione um certificado.
  5. Seleccione um nível de segurança.
  6. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK.
Notas:
  • Para obter informações sobre como iniciar as políticas de restrição de software na MMC, consulte "Iniciar software políticas de restrição" nos tópicos relacionados no ficheiro de ajuda do Windows Server 2003.
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • Por predefinição, as regras de certificado não são activadas. Para activar regras de certificados:
    1. Clique em Iniciar, clique em Executar, escreva regedite, em seguida, clique em OK.
    2. Localize e, em seguida, clique na seguinte chave de registo:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. No painel de detalhes, faça duplo clique em AuthenticodeEnablede, em seguida, altere os dados do valor de 0 a 1.
  • Os únicos tipos de ficheiro que são afectados por regras de certificados são os que estão listados em tipos de ficheiro designados. Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para políticas de restrição de software entrem em vigor, os utilizadores tem de actualizar as definições de política terminar sessão e, em seguida, iniciando sessão nos respectivos computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.
voltar ao índice

Como criar uma regra Hash

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. Na árvore da consola ou no painel de detalhes, faça duplo clique
    Regras adicionaise, em seguida, clique em Nova regra Hash.
  4. Clique em Procurar para localizar um ficheiro ou cole um hash calculado previamente na caixa de hash de ficheiro .
  5. Na caixa nível de segurança , clique em não permitido ou sem restrições.
  6. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • Pode criar uma regra hash para um vírus ou um cavalo de Tróia para impedir a execução de software malicioso.
  • Se pretender que outros utilizadores utilizem uma regra hash para que não é possível executar um vírus, calcular o hash do vírus utilizando políticas de restrição de software e, em seguida, o valor de hash para outros utilizadores de correio electrónico. Nunca enviar por correio electrónico próprio vírus.
  • Se um vírus tiver sido enviado por correio electrónico, também pode criar uma regra de caminho para impedir que os utilizadores executem anexos de correio.
  • Um ficheiro que é mudado ou movido para outra pasta ainda resulta no mesmo hash.
  • Qualquer alteração para um ficheiro resulta num hash diferente.
  • Os únicos tipos de ficheiro que são afectados por regras hash são os que estão listados em tipos de ficheiro designados. Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para políticas de restrição de software entrem em vigor, os utilizadores tem de actualizar as definições de política terminar sessão e, em seguida, iniciando sessão nos respectivos computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.
voltar ao índice

Como criar uma regra de zona da Internet

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. Na árvore da consola, faça clique sobre As políticas de restrição de Software.
  4. Na árvore da consola ou no painel de detalhes, faça duplo clique
    Regras adicionaise, em seguida, clique em Nova regra de zona da Internet.
  5. Na zona da Internet, clique numa zona da Internet.
  6. Na caixa Nível de segurança , clique em não permitido ou sem restriçõese, em seguida, clique em OK.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • Aplicam regras de zona a apenas a pacotes do Windows Installer.
  • Os únicos tipos de ficheiro que são afectados por regras de zona são os que estão listados em tipos de ficheiro designados. Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para políticas de restrição de software entrem em vigor, os utilizadores tem de actualizar as definições de política terminar sessão e, em seguida, iniciando sessão nos respectivos computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.
voltar ao índice

Como criar uma regra de caminho

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. Na árvore da consola ou no painel de detalhes, faça duplo clique
    Regras adicionaise, em seguida, clique em Nova regra de caminho.
  4. Na caixa caminho , escreva um caminho ou clique em Procurar para localizar um ficheiro ou pasta.
  5. Na caixa nível de segurança , clique em não permitido ou sem restrições.
  6. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK.

    Importante: em algumas pastas, tal como a pasta Windows, definir o nível de segurança não permitido pode prejudicar o funcionamento do sistema operativo. Certifique-se de que não impedir um componente crucial do sistema operativo ou um dos respectivos programas dependentes.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • Se criar uma regra de caminho para um programa com um nível de segurança de não permitido, um utilizador ainda pode executar o software, copiando-o para outra localização.
  • Os caracteres universais que são suportados pela regra de caminho são o asterisco (*) e o ponto de interrogação (?).
  • Pode utilizar variáveis de ambiente, por exemplo, % programfiles % ou % systemroot %, na regra de caminho.
  • Para criar uma regra de caminho para software quando não souber onde está armazenado num computador, mas tiver a respectiva chave de registo, pode criar uma regra de caminho de registo.
  • Para impedir os utilizadores executem anexos de correio electrónico, pode criar uma regra de caminho de pasta de anexo do programa de correio que impede que os utilizadores executem anexos de correio electrónico.
  • Os únicos tipos de ficheiro que são afectados por regras de caminho são os que estão listados em tipos de ficheiro designados. Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para políticas de restrição de software entrem em vigor, os utilizadores tem de actualizar as definições de política terminar sessão e, em seguida, iniciando sessão nos respectivos computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.
voltar ao índice

Como criar uma regra de caminho de registo

  1. Clique em Iniciar, clique em Executar, escreva regedite, em seguida, clique em OK.
  2. Na árvore da consola, faça duplo clique na chave de registo que pretende criar uma regra para e, em seguida, clique em Copiar nome de chave.
  3. Anote o nome de valor no painel de detalhes.
  4. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  5. Abrir políticas de restrição de Software.
  6. Na árvore da consola ou no painel de detalhes, faça duplo clique
    Regras adicionaise, em seguida, clique em Nova regra de caminho.
  7. No caminho, cole o nome da chave de registo e o nome do valor.
  8. Escreva o caminho de registo entre símbolos de percentagem (%), por exemplo:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Na caixa nível de segurança , clique em não permitido ou sem restrições.
  10. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • Tem de ser membro do grupo Administradores para executar este procedimento.
  • Formate o caminho do registo da seguinte forma:
    % De ramo de registo\ nome de chave de registo\ nome de valor%
  • Tem de escrever, o nome do ramo de registo; Não é possível utilizar abreviaturas. Por exemplo, não é substituído HKCU para HKEY_CURRENT_USER.
  • A regra de caminho de registo pode conter um sufixo após o fecho sinal de percentagem (%). Não utilize uma barra invertida (\) no sufixo. Por exemplo, pode utilizar a seguinte regra de caminho de registo:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Os únicos tipos de ficheiro que são afectados por regras de caminho são os que estão listados em tipos de ficheiro designados. Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para políticas de restrição de software entrem em vigor, os utilizadores tem de actualizar as definições de política terminar sessão e, em seguida, iniciando sessão nos respectivos computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.
voltar ao índice

Como adicionar ou eliminar um tipo de ficheiro designado

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. No painel de detalhes, faça duplo clique em Tipos de ficheiros designados.
  4. Efectue um dos seguintes passos, conforme adequado:
    • Para adicionar um tipo de ficheiro, escreva a extensão de nome de ficheiro do
      Extensão de ficheiro caixa e, em seguida, clique em Adicionar.
    • Para eliminar um tipo de ficheiro, clique no tipo de ficheiro na caixa tipos de ficheiros designados e, em seguida, clique em Remover.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • A lista de tipos de ficheiro designados é partilhada por todas as regras para cada configuração. A lista de tipos de ficheiro designado para definições de política de computador é diferente da lista de tipos de ficheiro designados para definições de política de utilizador.
voltar ao índice

Como alterar a nível de segurança de Software Restriction Policies predefinida

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. No painel de detalhes, faça duplo clique em Níveis de segurança.
  4. Com o botão direito o nível de segurança que pretende predefinir e, em seguida, clique em Predefinir.

    Atenção: em determinadas pastas, se definir o nível de segurança predefinido para não permitido, pode prejudicar o sistema operativo.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • No painel de detalhes, o nível de segurança predefinido actual é indicado por um círculo preto com uma marca de verificação. Se o botão direito do rato no nível de segurança predefinido actual, o comando Set como predefinição não aparece no menu de lista.
  • As regras são criadas para especificar excepções ao nível de segurança predefinido. Quando o nível de segurança estiver definido como sem restrições, as regras especificar software que não é permitida a execução. Quando o nível de segurança estiver definido como não permitido, as regras especificar software que é permitida a execução.
  • Se alterar o nível predefinido, está a afectar todos os ficheiros nos computadores que tenham aplicadas a eles políticas de restrição de software.
  • Durante a instalação, o nível de segurança de políticas de restrição de software em todos os ficheiros no seu computador está definido como sem restrições.
voltar ao índice

Como definir opções de fabricantes fidedignos

  1. Clique em Iniciar, clique em Executar, escreva mmce, em seguida, clique em OK.
  2. Abrir políticas de restrição de Software.
  3. Clique duas vezes de fabricantes fidedignos.
  4. Clique nos utilizadores a quem pretende decidir quais os certificados serão considerados fidedignos e, em seguida, clique em OK.
Notas:
  • Poderá ter de criar a nova restrição de software a definições de política para este GPO se ainda não o tiver feito.
  • Pode seleccionar a quem pode adicionar fabricantes fidedignos, os utilizadores, administradores ou administradores da empresa. Por exemplo, pode utilizar esta ferramenta para impedir os utilizadores de decisões de fidedignidade sobre fabricantes de controlos ActiveX.
  • Os administradores do computador local têm o direito de especificar fabricantes fidedignos no computador local, mas os administradores da empresa têm o direito de especificar fabricantes fidedignos no nível de unidade organizacional.
voltar ao índice
Propriedades

ID do Artigo: 324036 - Última Revisão: 21/02/2017 - Revisão: 1

Comentários