Bloqueando a instalação de softwares com o AppLocker

Livro-GPO-Banner

Livro: Tudo Sobre GPOs no Windows Server 2008. 2012 e 2016.

Neste artigo ensino como usar o AppLocker para fazer o bloqueio de instalação de softwares indesejados em seu domínio.

Várias são as razões para criarmos políticas de restrições de instalações de softwares em seu domínio:
– Licenciamento (Caso o software seja instalado por um terceiro e seja crackeado)
– Vírus
– Manutenção(Caso o software seja instalado por um terceiro e assim, acaba tendo mais chamados para desinstalar)
– Padronizações das estações e entre outras.

Imagina um usuário em que não é do suporte instalar um software em que o mesmo precisava de licença e sua empresa ser multada por isso? Dor de cabeça. No mínimo. É para isto que apresento uma forma de minimizar a dor de cabeça: AppLocker. Com o uso do mesmo podemos restringir a instalação de softwares em várias extensões(.exe, .msi ou script), como também, por fabricante, versão, caminho de diretório e outras possibilidades.

Solução


Antes de aplicar a diretiva, iremos tentar instalar alguns softwares por um usuário do domínio em uma estação do domínio. Abaixo, temos uma usuária no AD chamada diana.lima em que a mesma não é membra de nenhum grupo de administradores, conforme a figura:

Permisses-do-usurio-Diana5

Logada na estação cliente, iremos tentar instalar três softwares: Adobe Reader, Google Chrome e WinRar pela usuária Diana Lima.

O primeiro programa que iremos tentar é o Google Chrome:

Erro-a-instalar-Google-Chrome2

Observamos que o mesmo retorno um erro de instalação, afirmando em que precisa de privilégio de administrador para a instalação. Agora tentaremos os dois outros programas: Adobe e WinRar.

Instalando o Adobe Acrobat Reader e Instalando o WinRar

Adobe-Instalando-na-mquina---Parte-3[1]WinRar---Instalando-parte-12

Podemos observar que ambos foram instalados com um USUÁRIO DO DOMÍNIO. Conforme a figura abaixo:

WinRar-e-Adobe---Instalados-na-mquin[1]

Agora imagine:
Se com um teste de apenas três softwares, dois foram instalados com um USUÁRIO DO DOMÍNIO, quantos outros não seriam instalados?! Para tentarmos minimizar este problema usaremos o AppLocker.
O AppLocker foi inserido no Windows Server 2008 e uma das funções é promover a restrição de instalação de softwares.

Criando diretiva para bloqueio

1. Para testar a diretiva, criamos uma OU chamada OU-Teste e nela criamos GPO chamada GPO_TesteAPPLock. Conforme a figura abaixo:

Criando-GPO_TesteAPPLock2

Observação: A diretiva será aplicada somente nos computadores em que estiverem dentro da OU-TESTE. Então, depois de criá-la, mova algum computador de teste para essa OU e depois teste a diretiva.

2. Com a diretiva criada, iremos configurá-la. Com o botão direito do mouse clique em Editar.

Entrando-nas-configuraes-da-GPO_Test[1]

Depois de ter clicado em Editar, vá em: Configuração do Computador –> Configuração do Windows –> Configuração de Segurança –> Política de Controle de Aplicativo.

Agora iremos criar uma regra para bloquear a instalação de programas executáveis(formato .exe). Selecione Regras Executáveis. Clique com o botão direito do mouse em criar regra padrão.

Criando-regra-padro-APPLocker5

Após ter clicado em Criar Regras Padrão as regras serão criadas conforme abaixo:

Criado-regro-Padro-para-Executveis2

Observação importante: As regras padrões são criadas para garantir que os usuários possam executar os programas que estão já instalados na estação e que os administradores possam instalar programas na estação.

Se acessarmos as propriedades de cada um veremos que o que cada regra faz. Não esqueça de criar as regras padrões, pois sem elas, podemos bloquear a execução de todos os executáveis na estação.

3. Com as regras padrões criadas iremos fazer mais algumas configurações. Com o botão direito do mouse, clique em AppLocker e selecione propriedades.

Acessando-as-Propriedades-do-AppLock[1]

Será aberto uma interface em que pedirá para especificar as regras que serão impostas. No caso, clique em Configurado na parte Regras Executáveis. Você poderá escolher duas opções: Impor regras ou somente auditória. Escolheremos Impor regras. Clique em Aplicar e depois Ok.

Impondo-Regras-do-AppLocked5

4. Nossa diretiva está quase toda configurada. Falta só iniciar o serviço de sistema chamado Identidade do Aplicativo. Temos que habilitá-lo para que funcione a diretiva. Clique em Serviços do Sistema e procure pelo serviço Identidade do Aplicativo.

Achando-Identidade-do-Aplicativo2

Ao achar o serviço, acesse as propriedades com o botão direito. Selecione Definir esta configuração de política e escolha o modo automático. Clique em Aplicar e Ok. Pronto! Tudo está configurado na nossa diretiva.

4. Agora iremos no nosso AD e verificamos quais computadores estão recebendo essa diretiva na OU-Teste(onde foi criada a diretiva). Conforme a figura abaixo somente a estação TI01 receberá.

Verificando-os-PCs-que-est-na-OU-Tes

5. Agora iremos abrir o CMD e daremos o comando gpupdate /force para aplicar as diretivas de imediato na estação.

Dando-uma-gpupdateforce2

Observação: Caso você aplique a diretiva e o usuário ainda consiga instalar, tente reiniciar a estação de trabalho em que está recebendo a diretiva.

6. Com o computador reiniciado, iremos logar na estação com a usuária diana.lima e testaremos se a mesma ainda consegue instalar os programas.

Tentando instalar o Adobe Reader após ter feito as configurações

Tentando-instalar-ADOBE-aps-ter-apli[1]

Tentando instalar o WinRar após ter feito as configurações.

Tentando-instalar-o-WinRar-aps-ter-a[1]


T
entando instalar o Google Chrome após ter feito as configurações.

Erro-a-instalar-Google-Chrome5

Gostou do artigo? Então, segue o link da venda dos meus livrosTudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

– Link da venda do livro: Administrando o Active Directory com o PowerShell:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

3

Clique na foto acima e receba os conteúdos do Blog no teu celular.

Anúncios
The following two tabs change content below.
Desde 2016 escrevo sobre Windows Server. De lá para cá, já são mais de 100 artigos, dois livros, diversos vídeos, muitas respostas em fóruns e bastante colaboração.

Deixe uma resposta