Itens permitidos

Nesta seção:

Sobre os itens permitidos

Adicione itens permitidos a conjuntos de regras para conceder aos usuários acesso a itens específicos sem lhes dar privilégios administrativos completos. Os itens permitidos são exibidos na lista Itens Permitidos do conjunto de regras selecionado:

Arquivo

Se apenas o nome do arquivo é especificado, por exemplo, meuapp.exe, todas as instâncias dele são permitidas, independentemente do local do aplicativo. Se o arquivo é especificado com o caminho completo, por exemplo, \\nomeservidor\nomecompartilhamento\meuapp.exe, somente essa instância do aplicativo é permitida. As outras instâncias desse aplicativo precisam satisfazer a outras regras do Controle de Aplicativos para terem a execução concedida.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Permitido > Arquivo.
    O diálogo Adicionar um Arquivo é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até o arquivo que deseja adicionar e clique em OK.

    5. Se necessário, você pode selecionar as seguintes opções:

    • Substituir variáveis de ambiente sempre que possível
    • Usar expressão regular
  5. Insira argumentos opcionais da linha de comando na caixa de texto Argumentos. Insira todos os argumentos conforme aparecem no Explorador de Processos.
    Os argumentos da linha de comando estendem os critérios de correspondência para além do que está inserido no campo Arquivo. Se um argumento é adicionado, tanto o arquivo quanto o argumento devem ser satisfeitos para ocorrer a correspondência. Qualquer argumento que apareça na linha de comando de um processo, como sinalizadores, opções, arquivos e Guids, pode ser adicionado.

Arquivo negado

Arquivo permitido

Resultado

shutdown.exe

shutdown.exe

Argumentos: -r -t 30

shutdown.exe é executado somente quando os parâmetros -r -t 30 estiverem na linha de comando – qualquer outra coisa executada por shutdown.exe é negada.

Para configurar corretamente os argumentos de um item permitido ou negado, eles devem aparecer como no Explorador de Processos, por exemplo:

Arquivo: C:\Arquivos de Programas\Microsoft Office\Root\Office16\WINWORD.EXE

Linha de comando: "C:\Arquivos de Programas\Microsoft Office\Root\Office16\WINWORD.EXE" /n C:\exemplo.docx

Seria configurado como:

Arquivo: caminho absoluto ou relativo do winword.exe

Argumentos: /n C:\exemplo.docx

  1. Se necessário, insira uma descrição opcional do arquivo para referência futura.
  2. Selecione Permitir que o arquivo seja executado mesmo se não pertencer a um proprietário confiável para fornecer a alguém que não seja proprietário confiável o acesso ao arquivo.

    3. Por padrão, a verificação de propriedade confiável fica ligada e, portanto, o aplicativo sempre deve ser aprovado nela, mesmo que seja um item permitido. Este parâmetro permite ignorá-la. Embora a verificação de propriedade confiável possa ser desativada completamente, isso não é recomendável.

  3. Selecione Ignorar Filtragem de Eventos para promover todos os eventos, independentemente do que foi definido em Seleção de eventos.
  4. Para adicionar metadados ao arquivo, selecione a guia Metadados.
  5. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

    6. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

    Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

    Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

    Para mais informações, consulte Opções de Verificação.

  6. Para adicionar horários de acesso, selecione a guia Horários de Acesso.
  7. Os períodos de acesso só podem ser atribuídos se você marcar Permitir execução de arquivos apenas em determinados horários.
  8. Para aplicar horários de acesso, selecione o período na coluna do dia desejado. Dá para destacar várias faixas de horário.
  9. Clique com o botão direito e selecione Novo Período Permitido; o período fica sombreado para indicar que está permitido.
  10. Repita as etapas 12 a 13 para quantos horários e dias forem necessários.

    11. Você pode configurar qual ação executar quando os horários de acesso forem excedidos em Definições de Configuração > Controle de Executável > Horários de acesso

  11. Para adicionar limites de aplicativo, selecione a guia Limites de Aplicativo.
  12. Selecione Habilitar limites de aplicativo
  13. Insira o número de instâncias do aplicativo que podem ser executadas pelo usuário durante uma sessão. Por exemplo, se o limite for 1, e o usuário tiver 1 instância em execução e tentar executar uma segunda, não terá permissão de executá-la. Observação: está limitação é válida por usuário, não por máquina.
  14. Clique em Adicionar para acrescentar o arquivo aos executáveis permitidos do conjunto de regras.
    O arquivo é adicionado à área de trabalho dos Itens Permitidos.

Pasta

É possível especificar uma pasta completa (por exemplo, \\nomeservidor\compartilhamentoservidor\minhapasta) para que todos os aplicativos dentro dela (e todas as subpastas, se necessário) tenham permissão de ser executados. Nenhuma verificação é feita nos arquivos dentro da pasta e, consequentemente, qualquer arquivo copiado para dentro dela poderá ser executado. Selecione "Incluir subpastas" para incluir todos os diretórios abaixo do diretório especificado. Se você adicionar um arquivo de rede ou caminho de pasta, deve usar o nome UNC, pois o agente do Controle de Aplicativos ignora qualquer caminho configurado em que a letra da unidade não seja um disco fixo local. O usuário pode acessar o aplicativo de rede através de uma letra de unidade mapeada da rede, pois o caminho é convertido em formato UNC antes de ser validado em relação às configurações. Para aplicar variáveis de ambiente automaticamente, selecione "Substituir variáveis de ambiente sempre que possível" nos diálogos "Adicionar um arquivo" ou 'Adicionar uma pasta". Isso torna os caminhos mais genéricos para aplicação em máquinas diferentes. O suporte a caracteres curinga fornece um nível adicional de controle para especificar caminhos de arquivos genéricos.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Permitido > Pasta.
    O diálogo Adicionar uma Pasta é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até a pasta que deseja adicionar e clique em OK.

    5. Se necessário, você pode selecionar as seguintes opções:

    • Substituir variáveis de ambiente sempre que possível
    • Usar expressão regular
    • Incluir subpastas
  5. Se necessário, insira uma descrição opcional da pasta para referência futura.
  6. Selecione Permitir que o arquivo seja executado mesmo se não pertencer a um proprietário confiável para fornecer a alguém que não seja proprietário confiável o acesso aos arquivos.

    7. Por padrão, a verificação de propriedade confiável fica ligada e, portanto, o aplicativo sempre deve ser aprovado nela, mesmo que seja um item permitido. Este parâmetro permite ignorá-la. Embora a verificação de propriedade confiável possa ser desativada completamente, isso não é recomendável.

  7. Selecione Ignorar Filtragem de Eventos para promover todos os eventos, independentemente do que foi definido em Seleção de eventos.
  8. Para adicionar metadados à pasta, selecione a guia Metadados.
  9. Para preencher automaticamente os campos, selecione Preencher metadados a partir de arquivo.

    10. Os seguintes campos podem ser preenchidos: nome do produto, fornecedor, nome da empresa, descrição do arquivo, versão do arquivo e versão do produto.

    Você pode refinar qualquer dado; marque a caixa de seleção desejada e edite os campos.

    Se o metadado Vendedor estiver habilitado, uma opção adicional será disponibilizada – Verificar certificado em tempo de execução. Quando essa opção está habilitada, o agente verifica o certificado enquanto faz a correspondência do arquivo. Clique em Opções de Verificação para acessar um conjunto adicional de critérios usados durante a correspondência de arquivos.

    Para mais informações, consulte Opções de Verificação.

  10. Para adicionar horários de acesso, selecione a guia Horários de Acesso.
  11. Os períodos de acesso só podem ser atribuídos se você marcar Permitir execução de arquivos apenas em determinados horários.
  12. Para aplicar horários de acesso, selecione o período na coluna do dia desejado. Dá para destacar várias faixas de horário.
  13. Clique com o botão direito e selecione Novo Período Permitido; o período fica sombreado para indicar que está permitido.
  14. Repita as etapas 12 a 13 para quantos horários e dias forem necessários.

    15. Você pode configurar qual ação executar quando os horários de acesso forem excedidos em Definições de Configuração > Controle de Executável > Horários de acesso

  15. Clique em Adicionar para acrescentar a pasta às pastas executáveis permitidas do conjunto de regras.
    A pasta é adicionada à área de trabalho Permitidos.

Unidade

Você pode especificar uma unidade inteira (por exemplo: W), e todos os aplicativos nela terão permissão de execução, inclusive as subpastas. Nenhuma verificação é feita nos arquivos dentro da unidade e, portanto, qualquer arquivo copiado para qualquer pasta dentro dela poderá ser executado.

Permite especificar unidades executáveis permitidas.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Permitido > Unidade.
    O diálogo Adicionar uma Unidade é exibido.
  3. Insira a letra da unidade a ser permitida e uma descrição.
  4. Clique em Adicionar para acrescentar a unidade à lista de executáveis permitidos.

Hash de arquivo

É possível adicionar um arquivo juntamente com seu respectivo hash digital. Isso garante que apenas esse arquivo específico possa ser executado, mas de qualquer local.

Permite adicionar itens executáveis permitidos por meio de um hash de arquivo.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Permitido > Hash de Arquivo.
    O diálogo Adicionar um Hash de Arquivo é exibido.
  3. Na guia Propriedades, clique nas reticências (...) na caixa de texto:
  4. Na caixa de diálogo Abrir, navegue até o hash de arquivo que deseja adicionar e clique em OK.
  5. Insira argumentos opcionais da linha de comando na caixa de texto Argumentos. Insira todos os argumentos conforme aparecem no Explorador de Processos.
    Os argumentos da linha de comando estendem os critérios de correspondência para além do que está inserido no campo Arquivo. Se um argumento é adicionado, tanto o arquivo quanto o argumento devem ser satisfeitos para ocorrer a correspondência. Qualquer argumento que apareça na linha de comando de um processo, como sinalizadores, opções, arquivos e Guids, pode ser adicionado.
  6. Se necessário, insira uma descrição opcional do arquivo de arquivo para referência futura.
  7. O valor do hash de arquivo é exibido; selecione Reanalisar para atualizar o hash de arquivo.
  8. Selecione Ignorar Filtragem de Eventos para promover todos os eventos, independentemente do que foi definido em Seleção de eventos.
  9. Para adicionar horários de acesso, selecione a guia Horários de Acesso.
  10. Os períodos de acesso só podem ser atribuídos se você marcar Permitir execução de arquivos apenas em determinados horários.
  11. Para aplicar horários de acesso, selecione o período na coluna do dia desejado. Dá para destacar várias faixas de horário.
  12. Clique com o botão direito e selecione Novo Período Permitido; o período fica sombreado para indicar que está permitido.
  13. Repita as etapas 12 a 13 para quantos horários e dias forem necessários.

    14. Você pode configurar qual ação executar quando os horários de acesso forem excedidos em Definições de Configuração > Controle de Executável > Horários de acesso

  14. Clique em Adicionar para acrescentar o hash de arquivo aos itens de hash de arquivo permitidos no conjunto de regras.
    O hash de arquivo é adicionado à área de trabalho Permitidos.

Coleção de regras

Você pode adicionar uma coleção de regras aos itens permitidos de qualquer conjunto de regras.

  1. Selecione o nó Controle de Executável em um grupo de regras.
  2. Clique com o botão direito e selecione Permitido > Coleção de Regras.
    A caixa de diálogo Seleção de Coleção de Regras é exibida.
  3. Marque a caixa de seleção Adicionar à Regra nas coleções que deseja adicionar ao conjunto de regras.
  4. Após ter escolhido uma coleção, você pode selecionar:
    • Permitir proprietário não confiável – permite que os arquivos sejam executados mesmo se não pertencerem a um proprietário confiável.
    • Ignorar filtragem de eventos – promove todos os eventos, independentemente do que foi definido em Seleção de eventos.
  5. Clique em OK para adicionar as coleções às Coleções de Regras Permitidas do conjunto de regras.
    A coleção de regras é adicionada à área Permitidos.

Tópicos relacionados

Itens negados