Gerenciamento de privilégios no conjunto de regras

Nesta seção:

Aplicativos

Para desabilitar um item, destaque-o, clique com o botão direito e selecione Alterar Estado. Isso alterna entre desabilitar e habilitar. Isso pode ser útil quando há necessidade de resolver problemas com o suporte.

  1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
  2. Clique com o botão direito e selecione Aplicativo > Arquivo.
    O diálogo Adicionar Arquivo para Gerenciamento de Privilégios do Usuário é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até o arquivo que deseja adicionar e clique em OK.

    5. Se necessário, você pode selecionar as seguintes opções:

      • Substituir variáveis de ambiente sempre que possível
      • Usar expressão regular
      • Tornar o arquivo um Item Permitido. Se selecionado, você também pode permitir que o arquivo seja executado, mesmo que não pertença a um proprietário confiável.
  5. Insira argumentos opcionais da linha de comando na caixa de texto Argumentos. Insira todos os argumentos conforme aparecem no Explorador de Processos.
  6. Os argumentos da linha de comando estendem os critérios de correspondência para além do que está inserido no campo Arquivo. Se um argumento é adicionado, tanto o arquivo quanto o argumento devem ser satisfeitos para ocorrer a correspondência. Qualquer argumento que apareça na linha de comando de um processo, como sinalizadores, opções, arquivos e Guids, pode ser adicionado.

Arquivo negado

Arquivo permitido

Resultado

shutdown.exe

shutdown.exe

Argumentos: -r -t 30

shutdown.exe é executado somente quando os parâmetros -r -t 30 estiverem na linha de comando – qualquer outra coisa executada por shutdown.exe é negada.

Para configurar corretamente os argumentos de um item permitido ou negado, eles devem aparecer como no Explorador de Processos, por exemplo:

Arquivo: C:\Arquivos de Programas\Microsoft Office\Root\Office16\WINWORD.EXE

Linha de comando: "C:\Arquivos de Programas\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\exemplo.docx

Seria configurado como:

Arquivo: caminho absoluto ou relativo do winword.exe

Argumentos: /n C:\exemplo.docx

  1. Para aplicar uma política, selecione-a na lista suspensa na seção Política.
  2. Você pode selecionar as seguintes opções para a política:
    • Aplicar a processos filho
    • Aplicar a diálogos comuns
    • Instalar como proprietário confiável
  3. Se necessário, insira uma descrição opcional do arquivo para referência futura.
  4. Para adicionar metadados ao arquivo, selecione a guia Metadados.
  5. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

    6. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

    Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

    Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

    Para mais informações, consulte Opções de Verificação.

  6. Clique em Adicionar para adicionar o arquivo ao conjunto de regras.
    O item de arquivo é adicionado à exibição Aplicativos na área de trabalho Gerenciamento de Privilégios.
  1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
  2. Clique com o botão direito e selecione Aplicativo > Pasta.
    O diálogo Adicionar Pasta para Gerenciamento de Privilégios do Usuário é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até a pasta que deseja adicionar e clique em OK.

    5. Se necessário, você pode selecionar as seguintes opções:

    • Substituir variáveis de ambiente sempre que possível
    • Incluir subpastas
    • Usar expressão regular
    • Tornar a pasta um Item Permitido. Se selecionado, você também pode permitir que os arquivos sejam executados, mesmo que não pertençam a um proprietário confiável.
  5. Para aplicar uma política, selecione-a na lista suspensa na seção Política.
  6. Você pode selecionar as seguintes opções para a política:
    • Aplicar a processos filho
    • Aplicar a diálogos comuns
    • Instalar como proprietário confiável
  7. Se necessário, insira uma descrição opcional da pasta para referência futura.
  8. Para adicionar metadados à pasta, selecione a guia Metadados.
  9. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

    10. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

    Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

    Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

    Para mais informações, consulte Opções de Verificação.

  10. Clique em Adicionar para adicionar a pasta ao conjunto de regras.
    O item de pasta é adicionado à exibição Aplicativo na área de trabalho Gerenciamento de Privilégios.

Permite especificar um novo hash de arquivo ao qual a política selecionada será aplicada. Para informações detalhadas sobre como adicionar um hash de arquivo.

  1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
  2. Clique com o botão direito e selecione Aplicativo > Hash de Arquivo.
    O diálogo Adicionar Hash de Arquivo para Gerenciamento de Privilégios do Usuário é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até o hash de arquivo que deseja adicionar e clique em OK.
    • Tornar o hash de arquivo um Item Permitido. Selecione para adicionar o hash de arquivo à lista Itens Permitidos.
  5. Insira argumentos opcionais da linha de comando na caixa de texto Argumentos. Insira todos os argumentos conforme aparecem no Explorador de Processos.
  6. Os argumentos da linha de comando estendem os critérios de correspondência para além do que está inserido no campo Arquivo. Se um argumento é adicionado, tanto o arquivo quanto o argumento devem ser satisfeitos para ocorrer a correspondência. Qualquer argumento que apareça na linha de comando de um processo, como sinalizadores, opções, arquivos e Guids, pode ser adicionado.
  7. Para aplicar uma política, selecione-a na lista suspensa na seção Política.
  8. Você pode selecionar as seguintes opções para a política:
    • Aplicar a processos filho
    • Aplicar a diálogos comuns
    • Instalar como proprietário confiável
  9. Se necessário, insira uma descrição opcional do arquivo de arquivo para referência futura.
  10. O valor do hash de arquivo é exibido; selecione Reanalisar para atualizar o hash de arquivo.
  11. Clique em Adicionar para adicionar o hash de arquivo ao conjunto de regras.
    O item de hash de arquivo é adicionado à exibição Aplicativo na área de trabalho Gerenciamento de Privilégios.
  1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
  2. Clique com o botão direito e selecione Aplicativo > Coleção de Regras.
    A caixa de diálogo Seleção de Coleção de Regras é exibida.
  3. Marque a caixa de seleção Adicionar à Regra nas coleções que deseja adicionar ao conjunto de regras.
  4. Depois de selecionar uma coleção, você pode especificar as seguintes configurações:
    • Tornar permitido - selecione para tornar a coleção de regras um item permitido.
    • Permitir proprietário não confiável - se Tornar permitido estiver selecionado, você poderá selecionar para permitir que os arquivos sejam executados mesmo que não pertençam a um proprietário confiável.
    • Aplicar a processos filho - selecione para aplicar as configurações a todos os processos filho.
    • Aplicar a diálogos comuns - selecione para aplicar as configurações a diálogos comuns.
    • Instalar como proprietário confiável - selecione para instalar como Proprietário Confiável.
  5. Clique em OK para adicionar a coleção à exibição de Aplicativos na área de trabalho Gerenciamento de Privilégios.

Componentes

Adicionar Componente exibe o diálogo Selecionar Componentes.

Filtre a exibição pelos sistemas operacionais suportados e selecione o nome dos componentes do painel de controle e do snap-in de gerenciamento a serem adicionados à regra.

Autoelevação

Habilitar Autoelevação - selecione para habilitar a autoelevação e aplique a configuração desejada:

  • Aplicar autoelevação apenas aos itens da lista abaixo
  • Aplicar autoelevação a todos os itens, exceto aos da lista abaixo

Opções - exibe o diálogo Opções de Autoelevação.

Opções de Autoelevação

Opção Descrição
Tornar item(ns) permitido(s) Tornar os itens de regra permitidos e substituir quaisquer itens permitidos associados.
Permitir que os itens sejam executados mesmo se não pertencerem a um proprietário confiável

  • Esta opção fica disponível quando "Tornar item(ns) permitido(s)" estiver selecionado. Quando selecionada, todos os itens de regra listados são executados, independentemente do proprietário.

    		•
    Aplicar a processos filho Por padrão, a Política de Autoelevação aplicada aos itens de regra não é herdada pelos processos filho. Selecione esta opção para aplicar a política aos filhos diretos do processo pai.
    Aplicar a diálogos comuns Elevar o acesso às opções de menu Abrir Arquivo e Salvar Arquivo do Windows quando um arquivo ou pasta forem elevados. Por padrão, nenhum diálogo comum é elevado.
    Instalar como proprietário confiável Tornar o administrador local o proprietário de todos os arquivos criados pelo aplicativo definido. Esta opção não é aplicada a aplicativos regulares, somente a pacotes de instalação.
    Ocultar a opção "Executar como administrador" do Windows para itens de autoelevação Ocultar a opção "Executar como administrador" no menu de atalho do Windows.
    1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
    2. Clique com o botão direito e selecione Autoelevação > Arquivo.
      O diálogo Adicionar um Arquivo para Autoelevação é exibido.
    3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
    4. Na caixa de diálogo Abrir, navegue até o arquivo que deseja adicionar e clique em OK.

      5. Se necessário, você pode selecionar as seguintes opções:

      • Substituir variáveis de ambiente sempre que possível
      • Usar expressão regular
    5. Se necessário, insira uma descrição opcional da pasta para referência futura.
    6. Selecione a guia Metadados.
    7. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

      8. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

      Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

      Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

      Para mais informações, consulte Opções de Verificação.

    8. Clique em Adicionar para adicionar o arquivo ao conjunto de regras.
      O item de arquivo é adicionado à exibição Autoelevação na área de trabalho Gerenciamento de Privilégios.
    1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
    2. Clique com o botão direito e selecione Autoelevação > Pasta.
      O diálogo Adicionar uma Pasta para Autoelevação é exibido.
    3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
    4. Na caixa de diálogo Abrir, navegue até a pasta que deseja adicionar e clique em OK.

      5. Se necessário, você pode selecionar as seguintes opções:

      • Substituir variáveis de ambiente sempre que possível
      • Usar expressão regular
      • Incluir subpastas
    5. Se necessário, insira uma descrição opcional da pasta para referência futura.
    6. Selecione a guia Metadados.
    7. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

      8. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

      Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

      Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

      Para mais informações, consulte Opções de Verificação.

    8. Clique em Adicionar para adicionar a pasta ao conjunto de regras.
      O item de pasta é adicionado à exibição Autoelevação na área de trabalho Gerenciamento de Privilégios.
    1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
    2. Clique com o botão direito e selecione Autoelevação > Hash de Arquivo.
      O diálogo Adicionar um Hash Arquivo para Autoelevação é exibido.
    3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
    4. Na caixa de diálogo Abrir, navegue até o hash de arquivo que deseja adicionar e clique em OK.
    5. Se necessário, insira uma descrição opcional do arquivo de arquivo para referência futura.
    6. O valor do hash de arquivo é exibido; selecione Reanalisar para atualizar o hash de arquivo.
    7. Clique em Adicionar para adicionar o hash de arquivo ao conjunto de regras.
      O item de hash de arquivo é adicionado à exibição Autoelevação na área de trabalho Gerenciamento de Privilégios.
    1. Selecione o nó Gerenciamento de Privilégios de um grupo de regras.
    2. Clique com o botão direito e selecione Autoelevação > Coleção de Regras.
      O diálogo Seleção de Coleção de Regras é exibido. Todas as coleções de regras de gerenciamento de privilégios são listadas aqui.
    3. Marque a caixa de seleção Adicionar à Regra nas coleções que deseja adicionar ao conjunto de regras.
    4. Clique em OK para adicionar a coleção à exibição de Aplicativos na área de trabalho Gerenciamento de Privilégios.

    Controles do Sistema

    Use os Controles do Sistema para controlar a capacidade de executar qualquer uma das ações a seguir. Os controles podem ser aplicados para elevar ou restringir o acesso ao item especificado.

    • Item de Controle de Desinstalação: use esta opção para permitir ou impedir que aplicativos instalados sejam desinstalados quando as condições da regra forem atendidas. Os itens de controle de desinstalação são configurados definindo-se quais aplicativos são controlados. Outras validações podem ser aplicadas para visar um publicador referido e versões específicas de aplicativos. Para permitir ou restringir todos os aplicativos de um publicador, insira um * no campo Aplicativo, combinado com o nome do publicador.
    • Item de Controle de Serviço: use esta opção para selecionar quais serviços podem ser modificados, interrompidos, iniciados e reiniciados quando as condições da regra forem atendidas.

      • O Serviço do Agente é o único serviço que não pode ser reiniciado depois de interrompido.

      Os itens de controle de serviço são configurados especificando-se o nome de exibição e/ou o nome interno. O nome de exibição do serviço pode diferir entre os diferentes sistemas operacionais localizados, enquanto o nome interno permanecerá o mesmo. Portanto, se essa configuração for usada em diferentes localidades, recomenda-se que apenas o nome interno seja usado.

    • Item de Controle de Log de Eventos: use esta opção para selecionar quais logs de eventos podem ou não ser removidos quando as condições da regra forem atendidas. Os itens de controle de log de eventos são configurados selecionando-se o nome dos logs a serem controlados.
    • Item de Controle de Encerramento de Processo: use esta opção para proteger processos, tais como softwares antivírus, contra o encerramento feito pelos usuários, incluindo administradores. Os usuários ainda podem interromper os processos normalmente (por exemplo, clicando em Fechar na interface do aplicativo), mas não podem encerrá-lo à força (por exemplo, ao finalizar uma tarefa na guia Detalhes do Gerenciador de Tarefas). É possível especificar um arquivo individual ou visar todos os processos em uma determinada pasta.

      • Opcionalmente, acrescente Metadados para incluir critérios adicionais para correspondência de arquivos e pastas.

    Tópicos relacionados

    Gerenciamento de Privilégios

    Gerenciamento de privilégios nas definições de configuração