Este tutorial mostrará como configurar o bloqueio de aplicativo de diretiva de grupo no servidor Windows 2012.
Este tutorial mostrará como bloquear a instalação ou execução de todos os aplicativos.
Este tutorial mostrará como permitir que um aplicativo específico seja executado.
Isso ajudará o seu ambiente de computador em conformidade com as certificações internacionais de segurança da informação, como a ISO 27001.
O controlador de domínio está executando o Windows 2012 R2.
Os computadores do domínio estão executando o Windows 7 e o Windows 10.
O armário de aplicativos funcionará no Windows Enterprise ou Ultimate Edition.
O bloqueio de aplicativos não funcionará na edição profissional do Windows.
Lista de Hardware:
A seção a seguir apresenta a lista de equipamentos usados para criar este tutorial do Windows.
Cada peça de hardware listada acima pode ser encontrada no site da Amazon.
Windows Playlist:
Nesta página, oferecemos acesso rápido a uma lista de vídeos relacionados ao Windows.
Não se esqueça de se inscrever em nosso canal do youtube chamado FKIT.
Tutoriais Relacionados ao Windows:
Nesta página, oferecemos acesso rápido a uma lista de tutoriais relacionados ao Windows.
Tutorial – Criando o GPO do Bloqueador de Aplicativos
As seguintes tarefas foram executadas em um controlador de domínio executando o Windows 2012 R2 com o Active Directory.
Clique no menu Iniciar, localize e abra a ferramenta Gerenciamento de Diretiva de Grupo.
Na tela Gerenciamento de Diretiva de Grupo, localize a pasta denominada Objetos de Diretiva de Grupo.
Clique com o botão direito do mouse na pasta Objetos de Diretiva de Grupo e selecione a opção Novo.
Digite um nome para sua nova política.
Em nosso exemplo, o novo GPO recebeu o nome: POLÍTICA DE SOFTWARE.
Na tela Gerenciamento de Diretiva de Grupo, expanda a pasta denominada Objetos de Diretiva de Grupo.
Clique com o botão direito do mouse no novo Objeto de Diretiva de Grupo e selecione a opção Editar.
Na tela do editor de política de grupo, você será apresentado para Configurações do usuário e Configurações do computador.
Vamos mudar apenas as configurações do computador.
Não precisamos alterar nenhuma configuração do usuário.
Primeiro, precisamos configurar o serviço do Windows chamado Application Identity para iniciar automaticamente.
Na tela do editor de política de grupo, expanda a pasta Configuração do computador e localize o item a seguir.
• Configuração do Computador> Configurações do Windows> Configurações de Segurança> Serviços do Sistema
À direita, a lista de serviços disponíveis para o Windows será apresentada.
Clique duas vezes no item de configuração denominado Identidade do aplicativo.
Na tela do item de configuração, você precisa selecionar a opção Automático.
Para que o Bloqueio de aplicativos funcione, os computadores do domínio precisam ter o serviço de identidade do aplicativo em execução.
Tutorial – Configurando o GPO de Bloqueador de Aplicativos
Na tela do editor de política de grupo, expanda a pasta Configuração do computador e localize o item a seguir.
• Configuração do Computador> Configurações do Windows> Configurações de Segurança> Políticas de Controle de Aplicativos> AppLocker
À direita, os itens de configuração disponíveis para a política do Bloqueador de aplicativos serão apresentados.
Clique no item de configuração denominado Configurar Regra.
A janela de propriedades do Applocker será apresentada.
Ative as regras executáveis e selecione a opção Aplicar regras.
Ative as regras do Windows Installer e selecione a opção Enforce rules.
Ative as regras do App Packaged e selecione a opção Enforce rules.
Clique no botão OK.
Em seguida, precisamos criar as regras de software padrão.
Clique com o botão direito do mouse na política Regras de Executáveis e selecione a opção Criar regras padrão.
Para finalizar a criação da política de grupo, você precisa fechar a janela do editor de política de grupo.
Somente quando você fechar a janela da política de grupo, o sistema salvará sua configuração.
As regras padrão executáveis afirmam o seguinte:
Todo arquivo EXE dentro da pasta Windows pode ser executado.
Todo arquivo EXE dentro da pasta Arquivos do programa pode ser executado.
Os membros do grupo Administradores podem executar qualquer arquivo EXE.
Para autorizar outro aplicativo, clique com o botão direito do mouse nas regras Executáveis e selecione a opção Criar nova regra.
Clique com o botão direito do mouse nas regras do instalador do Windows e selecione a opção Criar regras padrão.
Para autorizar outro aplicativo, clique com o botão direito do mouse nas regras do instalador do Windows e selecione a opção Criar nova regra.
Clique com o botão direito do mouse nas regras do Package App e selecione a opção Criar regras padrão.
Para finalizar a criação da política de grupo, você precisa fechar a janela do editor de política de grupo.
Somente quando você fechar a janela da política de grupo, o sistema salvará sua configuração.
Tutorial – Aplicando o GPO do Bloqueador de Aplicativos
Você concluiu a criação do GPO do Bloqueador de aplicativos.
Porém, você ainda precisa ativar o uso de sua nova Política de Grupo.
Na tela Gerenciamento de políticas de grupo, você precisa clicar com o botão direito do mouse na Unidade organizacional desejada e selecionar a opção para vincular um GPO existente.
Em nosso exemplo, vamos vincular a política de grupo denominada SOFTWARE POLICY à raiz do nosso domínio chamado TECH.LOCAL.
Depois de aplicar o GPO, você precisa aguardar 10 ou 20 minutos.
Durante esse período, o GPO será replicado para outros controladores de domínio que você possa ter.
Depois de esperar 20 minutos, você deve reiniciar o computador de um usuário.
Durante a inicialização, o computador obterá e aplicará uma cópia da nova política de grupo.
Para testar a configuração, você precisa fazer o login em um computador de domínio, baixar qualquer software e tentar executá-lo.
Seu computador deve bloquear automaticamente qualquer aplicativo que não seja especificamente permitido no GPO.