Controle de executável nas definições de configuração
O nó Controle de Executável em Definições de Configuração contém cinco guias: Proprietários Confiáveis, Opções, Validação, Encerramento de Aplicativo e Limites de Acesso.
Nesta seção:
Proprietários Confiáveis
Navegue até Definições de Configuração > Controle de Executável > aba Proprietários confiáveis.
- Habilitar verificação de Propriedade Confiável - selecione para habilitar a verificação de Propriedade Confiável. Selecionado por padrão.
- Alterar a propriedade de um arquivo quando ele for substituído ou renomeado - selecione para alterar a propriedade de qualquer arquivo confiável permitido que seja substituído por um usuário não confiável, que não esteja na lista Proprietários Confiáveis.
Quando um arquivo negado é renomeado por um usuário não confiável, na tentativa de contornar uma regra de itens negados, a propriedade passa a ser do usuário não confiável. Após a propriedade ser alterada, a verificação de Propriedade Confiável impede que o arquivo seja executado.
Cuidado: não remova todos os Proprietários Confiáveis. Isso faria com que nenhum aplicativo no sistema fosse confiável, deixando os usuários padrão incapazes de executar coisa alguma.
Quando a opção Alterar a propriedade de um arquivo quando ele for substituído ou renomeado está selecionada, o Controle de Aplicativos muda seletivamente a propriedade do arquivo NTFS dos arquivos executáveis quando eles são substituídos ou renomeados.
Quando um usuário que não é Proprietário Confiável tenta substituir um arquivo permitido por Propriedade Confiável ou por uma regra de Item Permitido, isso pode constituir uma ameaça à segurança se o conteúdo do arquivo for alterado. Controle de Aplicativos passa a propriedade do arquivo substituído para o usuário que executa a ação, tornando o arquivo não confiável e garantindo que o sistema fique seguro.
Da mesma forma, as tentativas de mudar o nome de um arquivo negado para o nome de um item permitido também podem representar uma ameaça à segurança. Controle de Aplicativos também passa a propriedade desses arquivos para o usuário que executa a renomeação e assegura que eles permaneçam não confiáveis.
As ações de substituir e renomear são auditadas.
Adicionar um proprietário confiável
- Na guia Definições de Configuração > Controle de Executável > Proprietários Confiáveis, clique com o botão direito na área de trabalho e selecione Adicionar.
- O diálogo Adicionar Proprietários Confiáveis é exibido.
- Insira ou procure o nome de usuário a ser adicionado.
- Clique em Adicionar. O usuário agora está adicionado à lista, junto com o SID exclusivo.
Testar a propriedade confiável
Um teste rápido mostra a Propriedade Confiável funcionando:
- Introduza um ou mais aplicativos usando uma conta de teste.
- Copie um ou mais aplicativos para a unidade inicial do usuário ou outro local adequado, como calc.exe da pasta System32, ou copie um arquivo de um CD.
- Tente executar um arquivo copiado. O aplicativo é negado porque os arquivos são propriedade do usuário de teste, e não de um membro da lista Proprietários Confiáveis.
Você pode verificar a propriedade de um arquivo exibindo as Propriedades por meio do Windows Explorer.
Opções
A tabela abaixo apresenta todas as opções possíveis e uma descrição do que cada uma faz:
Opção |
Descrição |
---|---|
Tornar unidades locais permitidas por padrão |
Selecione esta opção para tornar a configuração do Controle de Aplicativos uma lista de negação. Tudo na unidade local é permitido, exceto se especificado na lista Itens Negados ou se houver falha de propriedade confiável. Desmarque esta opção para tornar a configuração uma lista de permissões. Tudo na unidade local fica bloqueado, exceto se especificado na lista Itens Permitidos. Configurar como lista de permissões é o mais seguro. Contudo, esse tipo de configuração consome tempo para ser criada e pode afetar a estabilidade do cliente, pois todos os aplicativos não especificados são bloqueados. |
Permitir cmd.exe para arquivos em lote |
Espera-se que os administradores proíbam explicitamente o cmd.exe nas configurações do Controle de Aplicativos. Quando cmd.exe estiver negado e "Permitir cmd.exe para arquivos em lote" estiver desabilitado, os arquivos em lote serão avaliados e bloqueados se descumprirem a política do Controle de Aplicativos. Se a opção não está selecionada e cmd.exe está explicitamente negado, todos os arquivos em lote são bloqueados, eles nem sequer são avaliados. Se esta opção estiver selecionada e cmd estiver explicitamente negado, cmd.exe ainda não poderá ser executado sozinho, mas os arquivos em lote serão avaliados em relação às regras do Controle de Aplicativos. Se cmd.exe não estiver explicitamente negado, todos os arquivos em lote serão executados, independentemente de esta opção estar ou não marcada. |
Ignorar restrições durante o logon |
Durante o logon, o computador pode executar vários aplicativos essenciais. Bloqueá-los pode fazer com que o computador funcione incorretamente ou pare completamente de funcionar. Portanto, esta opção fica selecionada por padrão. |
Extrair arquivos ZIP autoextraíveis |
Um arquivo autoextraível é um executável que contém um arquivo ZIP e um pequeno programa para extraí-lo. Esses arquivos às vezes são usados por um arquivo MSI como alternativa para instalar um aplicativo. Vários administradores preferem que os aplicativos sejam instalados apenas por um arquivo MSI. Somente EXEs autoextraíveis formatados com uso da especificação ZIP são suportados. Para informações adicionais, consulte Especificações ZIP A opção Extrair arquivos ZIP autoextraíveis permite a um executável negado, que seja um arquivo ZIP autoextraível, ser extraído pelo Extrator de ZIP. Se esta opção estiver desmarcada (a configuração padrão), o arquivo ficará sujeito ao processamento normal de regras, como se fosse um arquivo executável. Após a extração do conteúdo, qualquer conteúdo executável contido neste ainda estará sujeito às verificações normais de Propriedade Confiável e será impedido de ser executado se o usuário não for um Proprietário Confiável. Isso é útil para cenários em que o arquivo ZIP autoextraível possa conter conteúdo não executável, como um documento exigido pelo usuário. Por padrão, essa opção fica desmarcada, e o arquivo ZIP autoextraível é tratado como um executável padrão, podendo ficar impedido de ser executado (e, portanto, de extrair seu conteúdo) e sujeito ao processamento normal da regra. |
Ignorar restrições durante Active Setup |
Por padrão, todos os aplicativos executados durante o Active Setup estão sujeitos às regras do Controle de Aplicativos. Selecione essa opção para tornar esses aplicativos isentos de verificações de regras durante a fase de Active Setup. |
Negar arquivos em mídia removível |
Desmarque essa opção para remover as restrições em mídias removíveis. Mídia removível é toda aquela que a chamada a GetDriveType determinar que seja. Devido à natureza da mídia removível, a letra da unidade pode mudar dependendo de como o ponto de extremidade está configurado. Por exemplo: em um computador, a unidade de mídia removível pode ser identificada como "E:", e em outro, como "F:". |
Negar arquivos em compartilhamentos de rede |
A configuração padrão para compartilhamentos de rede é uma lista de permissões, o que significa que tudo no compartilhamento de rede é negado, a menos que seja especificado na lista Itens Permitidos. Desmarque essa opção para tornar a configuração uma lista de negação, de modo que tudo no compartilhamento de rede seja permitido, a menos que falhe na verificação de propriedade confiável ou esteja especificado em uma lista de Itens Negados. |
Validação
A tabela abaixo lista todas as opções de validação, juntamente com uma descrição.
Opção |
Descrição |
---|---|
Validar processos do sistema |
Selecione esta opção para validar todos os arquivos executados pelo usuário system. Observe que não é recomendado selecionar essa opção, pois ela aumenta a quantidade de validação ocorrendo no computador do ponto de extremidade, podendo impedir que aplicativos cruciais sejam executados. Selecionar esta opção significa que todos os executáveis iniciados pelo sistema estão sujeitos à validação de regras. |
Validar scripts do WSH (Windows Script Host) |
Selecionar esta opção especifica que o conteúdo da linha de comando dos scripts executados com wscript ou cscript fica sujeito à validação de regras. Os scripts podem introduzir vírus e códigos maliciosos. Recomenda-se validar scripts do WSH. |
Validar pacotes MSI (Windows Installer) |
Arquivos MSI são o método padrão de instalar aplicativos do Windows. Recomenda-se que o usuário não tenha permissão para instalar livremente aplicativos MSI. Selecionar esta opção significa que todos os MSIs ficam sujeitos à validação de regras. Desmarcar esta opção significa que apenas o próprio Windows Installer (msiexec.exe) é validado pelo processamento de regras do Controle de Aplicativos, e não o arquivo MSI que ele está tentando executar. |
Validar arquivos do registro |
Selecione esta opção para habilitar a validação de regras para regedit.exe e regini.exe. Desmarcar esta opção significa que regedit.exe e regini.exe não estão mais bloqueados por padrão. Além disso, o script .reg, o regedit.exe e o regini.exe em tentativa de execução não serão mais validados pelo processamento de regras do Controle de Aplicativos. Não é recomendado permitir que os usuários acessem o registro ou arquivos dele. |
Validar scripts do PowerShell |
Quando habilitada, essa configuração nega powershell.exe e powershell_ise.exe. Porém, se um script do PowerShell (arquivo PS1) for encontrado na linha de comando, será submetido a uma verificação completa de regras para analisar se ele está configurado para elevação, permitido ou negado. |
Validar arquivos Java |
Quando habilitada, essa configuração nega java.exe e javaw.exe. Porém, se um arquivo Java (arquivo JAR) for encontrado na linha de comando, será submetido a uma verificação completa de regras para analisar se está permitido ou negado. |
Encerramento de Aplicativo
O Encerramento de Aplicativo permite controlar gatilhos e comportamentos para encerrar aplicativos em pontos de extremidade gerenciados. Você pode encerrar os aplicativos normalmente, permitindo que o usuário salve o trabalho antes de fechar, ou forçar o encerramento.
O Encerramento de Aplicativo fica desabilitado por padrão. Para habilitar o recurso, selecione Habilitar Encerramento de Aplicativo em Definições de Configuração > Controle de Executável > guia Encerramento de Aplicativo.
Os gatilhos para encerrar um aplicativo incluem:
- Aplicação de uma nova configuração
- Mudança no endereço IP do computador
- Mudança no dispositivo de conexão
Quando um gatilho é disparado, os processos são avaliados em relação às regras para determinar se o aplicativo requer encerramento. Regras com níveis de segurança Autoautorização e Apenas Auditoria não são avaliadas, pois as regras de Autoautorização permitem arbítrio do usuário no controle do aplicativo, e as regras Apenas Auditoria não aplicam o controle do Controle de Aplicativos.
Configurar gatilhos para encerramento de aplicativos
Opção |
Descrição |
---|---|
Configuração aplicada |
Selecione para encerrar um aplicativo conforme a configuração aplicada |
Endereço IP do computador alterado |
Selecione para encerrar um aplicativo quando o endereço IP do computador mudar, por exemplo, alternar entre ambientes seguros e inseguros. Ver exemplo. |
Dispositivo de conexão alterado |
Selecione para encerrar um aplicativo quando o dispositivo de conexão for alterado, por exemplo, mudar de desktop para laptop na mesma sessão. |
Exemplo: endereço IP do computador alterado
Use o Encerramento de Aplicativo para finalizar um aplicativo quando o endereço IP for alterado. Por exemplo, quando o endereço IP estiver fora do intervalo de IPs da empresa.
- Habilite Encerramnto de Aplicativo em Definições de Configuração > Controle de Executável > guia Encerramento de Aplicativo.
- Marque a opção Endereço IP do computador alterado.
- Defina quais das seguintes ações serão realizadas no encerramento:
- Exibir uma mensagem de aviso inicial
- Fechar aplicativo
- Encerrar aplicativo
Você pode selecionar todas as três opções e definir o tempo de espera, em segundos, entre cada ação, até o máximo de 120 segundos.
Esta etapa vai configurar o intervalo de endereços IP permitido no escritório de trabalho.
- Selecione o nó Conjuntos de Regras no painel de navegação.
- Selecione Dispositivo e clique com o botão direito para exibir o menu de atalho.
- Selecione Adicionar Conjunto de Regras de Dispositivo.
Um nó filho é criado abaixo do nó Dispositivo. - Clique no novo nó para renomear; ou destaque, clique com o botão direito > Renomear.
- Insira um nome intuitivo, por exemplo, No escritório.
- Clique com o botão direito na área de trabalho para adicionar um dispositivo ao conjunto de regras. Selecione Nome do Host ou Endereço IP.
- O diálogo Adicionar umDispositivo Cliente é exibido.
- Insira um intervalo de endereços IP que seja permitido e clique em Adicionar.
Esta etapa vai configurar o intervalo de endereços IP não permitidos, por exemplo, ao usar a VPN de outro local.
- Siga os passos para criar um novo Conjunto de Regras de Dispositivo, tal como fez na Etapa 2.
- Insira um nome intuitivo, por exemplo, Fora do escritório.
- Clique com o botão direito na área de trabalho e selecione Adicionar Dispositivo Cliente.
- O diálogo Adicionar um Dispositivo Cliente é exibido.
Realize um destes procedimentos:
- Insira o intervalo de endereços IP não permitido.
- Insira *.*.*.* para implicar todos os outros endereços IP.
- Clique em Adicionar.
Clique em Salvar para salvar a configuração.
Configurar as ações executadas no encerramento do aplicativo
Opção |
Descrição |
---|---|
Exibir uma mensagem de aviso inicial |
Exibe uma mensagem de aviso inicial para informar ao usuário que o aplicativo negado será fechado e que ele deve salvar seus trabalhos. O tempo para fechar pode ser especificado na opção Segundos a aguardar... . Use em conjunto com as opções Fechar aplicativo e Encerrar aplicativo. Se este parâmetro não for usado junto com essas opções, a mensagem será exibida e o aplicativo negado não será fechado. |
Fechar o aplicativo |
Fecha o aplicativo após a mensagem de aviso inicial, dando ao usuário tempo para salvar o trabalho. |
Encerrar o aplicativo |
Encerra o aplicativo negado sem apresentar ao usuário uma mensagem de aviso. |
Segundos a aguardar entre cada ação |
Especifica o período de tempo, em segundos, entre as ações, bem como o tempo entre o fechamento e o encerramento. O período máximo é de 120 segundos. |
Horários de acesso
Se um aplicativo tiver excedido os horários de acesso permitidos, você pode especificar qual ação executar. Por exemplo, você pode especificar se o usuário pode salvar o trabalho antes de fechar o aplicativo; ou apenas fechar o aplicativo após o aviso:
Exibir uma mensagem de aviso inicial - selecione para exibir uma mensagem de aviso inicial ao usuário quando um aplicativo tiver excedido os limites de horário. Normalmente, isso dá ao usuário tempo para salvar o trabalho e fechar o aplicativo. Use em conjunto com as opções Fechar aplicativo e Encerrar aplicativo. Se você não usar este parâmetro junto com essas opções, apenas a mensagem será exibida, e o aplicativo não será fechado.
Fechar o aplicativo - selecione para enviar uma mensagem de fechamento ao aplicativo. A maioria dos aplicativos, quando recebe uma mensagem de fechamento, dá automaticamente ao usuário a chance de salvar o trabalho. Selecione junto com a opção "Exibir uma mensagem de aviso inicial".
Encerrar o aplicativo - encerrar o aplicativo sem permitir que o usuário salve o trabalho. Normalmente, este parâmetro é usado depois que o aplicativo recebeu a mensagem de fechamento, mas não foi fechado. O aplicativo será encerrado independentemente de a opção "Exibir uma mensagem de aviso inicial" estar marcada ou não.
Segundos a aguardar entre cada ação - especifique o número de segundos a aguardar entre cada opção de encerramento selecionada. Por exemplo, se o usuário marcar todas as três opções de encerramento e então selecionar 20 segundos, a mensagem de aviso será exibida, a mensagem de fechamento virá após 20 segundos e, por fim, o aplicativo será encerrado após mais 20 segundos. O padrão está definido como 60 segundos.
Os horários de acesso podem ser definidos para Itens permitidos de arquivo, pasta e hash de arquivo.
Tópicos relacionados
Sobre o Controle de Executável