Itens negados

Nesta seção:

Sobre os itens negados

Adicione itens negados aos conjuntos de regras para restringir o acesso a itens específicos. Os itens negados são exibidos na lista Itens Negados do conjunto de regras selecionado.

Se estiver usando a opção padrão, que confia em todos os aplicativos do Proprietário Confiável instalados localmente, você só precisará adicionar os aplicativos específicos que os usuários não poderão executar. Por exemplo, você pode adicionar ferramentas administrativas, tais como ferramentas de gerenciamento e de edição de registros.

Você não precisa usar essa lista para negar aplicativos não pertencentes ao administrador, visto que eles são bloqueados pela verificação de propriedade confiável.

Controle de Aplicativos tem um recurso de arrastar e soltar que pode ser usado para adicionar arquivos, pastas, unidades e itens de assinatura a partir do Windows Explorer ou copiar/mover itens entre os nós Itens Permitidos e Itens Negados em cada um dos principais nós de configuração.

Arquivo

Se apenas o nome do arquivo é especificado, por exemplo, meuapp.exe, todas as instâncias dele são negadas, independentemente do local do aplicativo. Se o arquivo é especificado com o caminho completo, por exemplo, \\nomeservidor\nomecompartilhamento\meuapp.exe, somente essa instância do aplicativo é negada.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Negado > Arquivo.
    O diálogo Adicionar um Arquivo é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até o arquivo que deseja adicionar e clique em OK.
    Se necessário, você pode selecionar as seguintes opções:
    • Substituir variáveis de ambiente sempre que possível
    • Usar expressão regular
  5. Insira argumentos opcionais da linha de comando na caixa de texto Argumentos. Insira todos os argumentos conforme aparecem no Explorador de Processos.
    Os argumentos da linha de comando estendem os critérios de correspondência para além do que está inserido no campo Arquivo. Se um argumento é adicionado, tanto o arquivo quanto o argumento devem ser satisfeitos para ocorrer a correspondência. Qualquer argumento que apareça na linha de comando de um processo, como sinalizadores, opções, arquivos e Guids, pode ser adicionado.

Arquivo negado

Arquivo permitido

Resultado

shutdown.exe

shutdown.exe

Argumentos: -r -t 30

shutdown.exe é executado somente quando os parâmetros -r -t 30 estiverem na linha de comando – qualquer outra coisa executada por shutdown.exe é negada.

Para configurar corretamente os argumentos de um item permitido ou negado, eles devem aparecer como no Explorador de Processos, por exemplo:

Arquivo: C:\Arquivos de Programas\Microsoft Office\Root\Office16\WINWORD.EXE

Linha de comando: "C:\Arquivos de Programas\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\exemplo.docx

Seria configurado como:

Arquivo: caminho absoluto ou relativo do winword.exe

Argumentos: /n C:\exemplo.docx

  1. Se necessário, insira uma descrição opcional do arquivo para referência futura.
  2. Selecione Não mostrar mensagem de acesso negado quando negado para bloquear silenciosamente o arquivo, sem que o usuário seja informado.
  3. Selecione Ignorar Filtragem de Eventos para promover todos os eventos, independentemente do que foi definido em Seleção de eventos.
  4. Para adicionar metadados ao arquivo, selecione a guia Metadados.
  5. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

    6. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

    Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

    Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

    Para mais informações, consulte Opções de Verificação.

  6. Clique em Adicionar para acrescentar o arquivo aos executáveis negados do conjunto de regras.
    O arquivo é adicionado à área de trabalho dos Itens Negados.

Pasta

É possível especificar uma pasta completa (por exemplo, \\nomeservidor\compartilhamentoservidor\minhapasta) para que todos os aplicativos e subpastas dentro dela sejam negados. Nenhuma verificação é feita nos arquivos dentro da pasta e, consequentemente, qualquer arquivo copiado para dentro dela será negado.

Se você adicionar um arquivo de rede ou caminho de pasta, deve usar o nome UNC, pois o agente do Controle de Aplicativos ignora qualquer caminho configurado em que a letra da unidade não seja um disco fixo local. O usuário pode acessar o aplicativo de rede através de uma letra de unidade mapeada da rede, pois o caminho é convertido em formato UNC antes de ser validado em relação às configurações. O suporte a caracteres curinga fornece um nível adicional de controle para especificar caminhos de arquivos genéricos.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Negado > Pasta.
    O diálogo Adicionar uma Pasta é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até a pasta que deseja adicionar e clique em OK.
    Se necessário, você pode selecionar as seguintes opções:
    • Substituir variáveis de ambiente sempre que possível
    • Usar expressão regular
    • Incluir subpastas
  5. Se necessário, insira uma descrição opcional da pasta para referência futura.
  6. Selecione Não mostrar mensagem de acesso negado quando negado para bloquear silenciosamente a pasta, sem que o usuário seja informado.
  7. Selecione Ignorar Filtragem de Eventos para promover todos os eventos, independentemente do que foi definido em Seleção de eventos.
  8. Para adicionar metadados à pasta, selecione a guia Metadados.
  9. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

    10. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

    Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

    Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

    Para mais informações, consulte Opções de Verificação.

  10. Clique em Adicionar para acrescentar a pasta às pastas executáveis negadas do conjunto de regras.
    A pasta é adicionada à área de trabalho Negados.

Unidade

Você pode especificar uma unidade inteira (por exemplo: W), e todos os aplicativos nela, inclusive as subpastas, serão negados. Nenhuma verificação é feita nos arquivos dentro da unidade e, portanto, qualquer arquivo copiado para qualquer pasta dentro dela será negado.

Permite especificar unidades executáveis negadas.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Negado > Unidade.
    O diálogo Adicionar uma Unidade é exibido.
  3. Insira a letra da unidade a ser negada e uma descrição.
  4. Selecione Não mostrar mensagem de acesso negado quando negado para bloquear silenciosamente a unidade, sem que o usuário seja informado.
  5. Clique em Adicionar para acrescentar a unidade à lista de executáveis negados.

Hash de arquivo

É possível adicionar um arquivo juntamente com seu respectivo hash digital. Isso garante que apenas esse arquivo específico possa ser negado, mas de qualquer local.

Permite adicionar itens executáveis negados por meio de um hash de arquivo.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Negado > Hash de Arquivo.
    O diálogo Adicionar um Hash de Arquivo é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até o hash de arquivo que deseja adicionar e clique em OK.
  5. Insira argumentos opcionais da linha de comando na caixa de texto Argumentos. Insira todos os argumentos conforme aparecem no Explorador de Processos.
    Os argumentos da linha de comando estendem os critérios de correspondência para além do que está inserido no campo Arquivo. Se um argumento é adicionado, tanto o arquivo quanto o argumento devem ser satisfeitos para ocorrer a correspondência. Qualquer argumento que apareça na linha de comando de um processo, como sinalizadores, opções, arquivos e Guids, pode ser adicionado.
  6. Se necessário, insira uma descrição opcional do arquivo de arquivo para referência futura.
  7. O valor do hash de arquivo é exibido; selecione Reanalisar para atualizar o hash de arquivo.
  8. Selecione Não mostrar mensagem de acesso negado quando negado para bloquear silenciosamente o arquivo, sem que o usuário seja informado.
  9. Selecione Ignorar Filtragem de Eventos para promover todos os eventos, independentemente do que foi definido em Seleção de eventos.
  10. Clique em Adicionar para acrescentar o hash de arquivo aos itens de hash de arquivo negados no conjunto de regras.
    O hash de arquivo é adicionado à área de trabalho Negados.

Coleção de regras

As coleções de regras podem conter qualquer número e combinação de itens, por exemplo, Arquivo, Pasta, Unidade, Assinatura e Rede para um aplicativo específico. Todos os arquivos são negados.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Negado > Coleção de Regras.
    A caixa de diálogo Seleção de Coleção de Regras é exibida.
  3. Marque a caixa de seleção Adicionar à Regra nas coleções que deseja adicionar ao conjunto de regras.
  4. Após ter escolhido uma coleção, você pode selecionar:
    • Negar em silêncio - bloqueia os itens sem exibir qualquer mensagem.
    • Ignorar filtragem de eventos – promove todos os eventos, independentemente do que foi definido em Seleção de eventos.
  5. Clique em OK para adicionar as coleções às Coleções de Regras Negadas do conjunto de regras.
    A coleção de regras é adicionada à área de trabalho Negados.

Tópicos relacionados

Itens permitidos