Sintomas
Considere o seguinte cenário:
-
Implementar uma política de AppLocker juntamente com uma regra predefinida no Windows 7 Service Pack 1 (SP1)-computador baseado no Windows Server 2008 R2 SP1 ou com base.
-
Os utilizadores administrativos ou utilizadores de outros alta privilegiada do grupo podem executar ficheiros executáveis que estão numa lista branca definido na política de AppLocker sem receber um pedido de controlo de conta de utilizador (UAC) no computador.
-
Criar um utilizador chamado "AdminUser" como membro do grupo Administradores ou de outro grupo com privilégios elevado.
-
Utilize "AdminUser" para executar um ficheiro executável que está na lista branca.
Neste cenário, ainda tem de utilizar a opção Executar como administrador para executar o ficheiro. Caso contrário, a operação falha e recebe a seguinte mensagem de erro:
O administrador do sistema bloqueou este programa.
Nota Para mais informações sobre grupos com privilégios elevados, vá para a secção referências .
Causa
Este problema ocorre porque o identificador de segurança de administradores no token de acesso do utilizador está desactivado pelo UAC.
Resolução
Informações sobre correção
Existe uma correção suportada pela Microsoft. No entanto, esta correção destina-se apenas a corrigir o problema descrito neste artigo. Aplique esta correcção apenas em sistemas que tenham este problema específico.
Se a correção está disponível para transferência, existe uma secção de "Transferência de Correção Disponível" na parte superior deste artigo da Base de Dados de Conhecimento. Se esta secção não for apresentado, submeta um pedido de suporte e serviço de cliente Microsoft para obter a correcção.
Nota Caso ocorram problemas adicionais ou se for necessária a resolução de problemas, poderá ter de criar um pedido de assistência separado. Os custos de normais do suporte serão aplicados a questões de suporte adicional e problemas incluídos nesta correção específica. Para uma lista completa dos números de telefone de suporte e serviço de cliente da Microsoft ou para criar um pedido de assistência separado, visite o seguinte Web site da Microsoft:
Nota O formulário "Transferência de correcção disponível" apresenta os idiomas nos quais a correcção está disponível. Se não visualizar o seu idioma, é porque uma correcção não está disponível para esse idioma.
Pré-requisitos
Para aplicar esta correcção, tem de estar a executar o Windows 7 SP1 ou Windows Server 2008 R2 SP1. Para obter mais informações sobre como obter um Windows 7 ou Windows Server 2008 R2 service pack, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
obter informações sobre o Service Pack 1 para Windows 7 e Windows Server 2008 R2
Informações de registo
Para utilizar a atualização neste pacote, não é necessário efetuar alterações ao registo.
Requisito de reinício
Não é necessário reiniciar o computador depois de aplicar esta atualização.
Atualizar informações de substituição
Esta atualização não substitui uma atualização anteriormente lançada.
A versão global desta atualização instala ficheiros que têm os atributos listados nas tabelas seguintes. As datas e horas destes ficheiros são listadas na Hora Universal Coordenada (UTC). As datas e horas destes ficheiros no computador local são apresentadas na hora local em conjunto com a compensação de hora de Verão (DST) atual. Além disso, as datas e horas podem ser alteradas quando são executadas determinadas operações nos ficheiros
Notas informativas sobre os ficheiros do Windows 7 e Windows Server 2008 R2
Importante Correcções do Windows 7 e Windows Server 2008 R2 correcções são incluídas nos pacotes mesmos. No entanto, as correcções na página de pedido de correcção estão listadas em ambos os sistemas operativos. Para pedir o pacote de correcções que se aplica a um ou ambos os sistemas operativos, seleccione a correcção listada em "Windows 7/Windows Server 2008 R2" na página. Consulte a secção "Aplica-se a" nos artigos para determinar o sistema operativo real que cada correcção aplica-se para sempre.
-
Os ficheiros aplicáveis a um determinado produto, marco (RTM, SPn) e ramo de serviço (LDR, GDR) podem ser identificados examinando os números de versão do ficheiro, conforme mostrado na seguinte tabela:
-
Ramos de serviço GDR contêm apenas as correções amplamente distribuídas para resolver problemas críticos generalizados. Os ramos de serviço LDR contêm outras correcções além das correcções amplamente distribuídas.
-
Os ficheiros MANIFEST (. manifest) e MUM (. mum) instalados em cada ambiente é listados em separado na secção "Informações para o Windows 7 e Windows Server 2008 R2 ficheiros adicionais". MUM e ficheiros de MANIFESTO e os ficheiros de catálogo (. cat) de segurança associados, são essenciais para manter o estado do componente actualizado. Os ficheiros de catálogo de segurança, para os quais os atributos não são listados são assinados com uma assinatura digital da Microsoft.
Estado
A Microsoft confirmou que este é um problema nos produtos da Microsoft listados na secção "Aplica-se a".
Mais informações
Para mais informações sobre a terminologia de atualização de software, clique no seguinte número de artigo para visualizar o artigo na Base de Dados de Conhecimento Microsoft:
descrição da terminologia padrão utilizada para descrever actualizações de software da MicrosoftPara mais informações sobre este problema, clique no número de artigo seguinte para visualizar o artigo na Microsoft Knowledge Base:
o computador de cliente de A DHCP que tenha várias placas de rede e que esteja a executar o Windows 7 ou Windows Server 2008 R2 não é possível renovar uma concessão de DHCP quando o computador é reactivado
Informações sobre ficheiros adicionais
Ficheiros adicionais para todas as versões baseadas em x86 do Windows 7 SP1 e Windows Server 2008 R2 SP1
Referências
Para mais informações sobre como utilizar o AppLocker, vá para o seguinte Web site da TechNet:
Os grupos seguintes são considerados como grupos com privilégios elevados:
-
Administradores incorporados
-
Utilizadores avançados
-
Operadores de contas
-
Operadores de servidor
-
Operadores de impressão
-
Operadores de cópia de segurança
-
Grupo de servidores de RAS
-
Grupo de compatibilidade de aplicações do Windows NT 4.0
-
Operadores de configuração de rede
-
Administradores de domínio
-
Controladores de domínio
-
Editores de certificados
-
Administradores de esquema
-
Administradores da empresa
-
Administradores de política de grupo