Bloqueando a instalação de softwares com o AppLocker

Neste artigo ensino como usar o AppLocker para fazer o bloqueio de instalação de softwares indesejados em seu domínio.

Várias são as razões para criarmos políticas de restrições de instalações de softwares em seu domínio:
– Licenciamento (Caso o software seja instalado por um terceiro e seja crackeado)
– Vírus
– Manutenção(Caso o software seja instalado por um terceiro e assim, acaba tendo mais chamados para desinstalar)
– Padronizações das estações e entre outras.

Imagina um usuário em que não é do suporte instalar um software em que o mesmo precisava de licença e sua empresa ser multada por isso? Dor de cabeça. No mínimo. É para isto que apresento uma forma de minimizar a dor de cabeça: AppLocker. Com o uso do mesmo podemos restringir a instalação de softwares em várias extensões(.exe, .msi ou script), como também, por fabricante, versão, caminho de diretório e outras possibilidades.

Solução


Antes de aplicar a diretiva, iremos tentar instalar alguns softwares por um usuário do domínio em uma estação do domínio. Abaixo, temos uma usuária no AD chamada diana.lima em que a mesma não é membra de nenhum grupo de administradores, conforme a figura:

Permisses-do-usurio-Diana5

Logada na estação cliente, iremos tentar instalar três softwares: Adobe Reader, Google Chrome e WinRar pela usuária Diana Lima.

O primeiro programa que iremos tentar é o Google Chrome:

Erro-a-instalar-Google-Chrome2

Observamos que o mesmo retorno um erro de instalação, afirmando em que precisa de privilégio de administrador para a instalação. Agora tentaremos os dois outros programas: Adobe e WinRar.

Instalando o Adobe Acrobat Reader e Instalando o WinRar

Adobe-Instalando-na-mquina---Parte-3[1]WinRar---Instalando-parte-12

Podemos observar que ambos foram instalados com um USUÁRIO DO DOMÍNIO. Conforme a figura abaixo:

WinRar-e-Adobe---Instalados-na-mquin[1]

Agora imagine:
Se com um teste de apenas três softwares, dois foram instalados com um USUÁRIO DO DOMÍNIO, quantos outros não seriam instalados?! Para tentarmos minimizar este problema usaremos o AppLocker.
O AppLocker foi inserido no Windows Server 2008 e uma das funções é promover a restrição de instalação de softwares.

Criando diretiva para bloqueio

1. Para testar a diretiva, criamos uma OU chamada OU-Teste e nela criamos GPO chamada GPO_TesteAPPLock. Conforme a figura abaixo:

Criando-GPO_TesteAPPLock2

Observação: A diretiva será aplicada somente nos computadores em que estiverem dentro da OU-TESTE. Então, depois de criá-la, mova algum computador de teste para essa OU e depois teste a diretiva.

2. Com a diretiva criada, iremos configurá-la. Com o botão direito do mouse clique em Editar.

Entrando-nas-configuraes-da-GPO_Test[1]

Depois de ter clicado em Editar, vá em: Configuração do Computador –> Configuração do Windows –> Configuração de Segurança –> Política de Controle de Aplicativo.

Agora iremos criar uma regra para bloquear a instalação de programas executáveis(formato .exe). Selecione Regras Executáveis. Clique com o botão direito do mouse em criar regra padrão.

Criando-regra-padro-APPLocker5

Após ter clicado em Criar Regras Padrão as regras serão criadas conforme abaixo:

Criado-regro-Padro-para-Executveis2

Observação importante: As regras padrões são criadas para garantir que os usuários possam executar os programas que estão já instalados na estação e que os administradores possam instalar programas na estação.

Se acessarmos as propriedades de cada um veremos que o que cada regra faz. Não esqueça de criar as regras padrões, pois sem elas, podemos bloquear a execução de todos os executáveis na estação.

3. Com as regras padrões criadas iremos fazer mais algumas configurações. Com o botão direito do mouse, clique em AppLocker e selecione propriedades.

Acessando-as-Propriedades-do-AppLock[1]

Será aberto uma interface em que pedirá para especificar as regras que serão impostas. No caso, clique em Configurado na parte Regras Executáveis. Você poderá escolher duas opções: Impor regras ou somente auditória. Escolheremos Impor regras. Clique em Aplicar e depois Ok.

Impondo-Regras-do-AppLocked5

4. Nossa diretiva está quase toda configurada. Falta só iniciar o serviço de sistema chamado Identidade do Aplicativo. Temos que habilitá-lo para que funcione a diretiva. Clique em Serviços do Sistema e procure pelo serviço Identidade do Aplicativo.

Achando-Identidade-do-Aplicativo2

Ao achar o serviço, acesse as propriedades com o botão direito. Selecione Definir esta configuração de política e escolha o modo automático. Clique em Aplicar e Ok. Pronto! Tudo está configurado na nossa diretiva.

4. Agora iremos no nosso AD e verificamos quais computadores estão recebendo essa diretiva na OU-Teste(onde foi criada a diretiva). Conforme a figura abaixo somente a estação TI01 receberá.

Verificando-os-PCs-que-est-na-OU-Tes

5. Agora iremos abrir o CMD e daremos o comando gpupdate /force para aplicar as diretivas de imediato na estação.

Dando-uma-gpupdateforce2

Observação: Caso você aplique a diretiva e o usuário ainda consiga instalar, tente reiniciar a estação de trabalho em que está recebendo a diretiva.

6. Com o computador reiniciado, iremos logar na estação com a usuária diana.lima e testaremos se a mesma ainda consegue instalar os programas.

Tentando instalar o Adobe Reader após ter feito as configurações

Tentando-instalar-ADOBE-aps-ter-apli[1]

Tentando instalar o WinRar após ter feito as configurações.

Tentando-instalar-o-WinRar-aps-ter-a[1]


T
entando instalar o Google Chrome após ter feito as configurações.

Erro-a-instalar-Google-Chrome5

 

 

 

 

 

 


Autor

10492172_880959151956485_6663622487942318291_nNascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e escreve para diversas comunidades técnicas. Atualmente é técnico em Suporte e busca sempre aprender mais para o seu crescimento profissional.
Redes Sociais:
imagesdownload 144fe2d09e86f4999f70f979161ffd09_400x400

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s