Bloqueando Aplicativos do Windows Via GPO

Neste artigo ensino como configurar uma GPO para bloquear programas específicos do Windows, que são iniciados pelo processo de Explorador de arquivos, conhecido por Windows Explorer.

Vamos lá:

1. Faça logon com uma de administrador no Servidor.

2. Abra o console de GPMC (Gerenciamento de Política/Diretiva de Grupo) do domínio. 

3. No console crie uma GPO (diretiva) onde deseja bloquear a execução dos aplicativos Windows.

4. Com a diretiva criada, clique com o botão direito do mouse no nome da diretiva e, no menu de opções, clique em “Editar”, conforme ilustra a figura abaixo:

0

Criando um diretiva para bloquear a execução de programas.

5. Será aberto a janela Editor de Gerenciamento de Política de Grupo. Na janela navegue em: Configuração do Usuário -> Políticas -> Modelos Administrativos -> Sistema. Procure pelo nome da política/diretiva “Não executar aplicativos do Windows Especificados, ilustrado na figura abaixo.

3

Diretiva “Não executar aplicativos do Windows Especificados”.

6. Dê um duplo clique nesse nome. Surgirá a janela das propriedades dessa política com a opção “Não Configurado” habilitada. Selecione a configuração “Habilitado”, encontrada mais abaixo, e clique no botão “Mostrar”. Surgirá uma janela em que você informará quais são os nomes dos aplicativos Windows que serão bloqueados quando o usuário tentar executá-los por meio do explorador de arquivos. Digite o nome de cada um dos aplicativos que deseja bloquear e feche a janela.

7. Clique em Aplicar e depois em OK. Feche a janela Editor de Gerenciamento de Política de Grupo. Pronto, sua GPO será aplicada as contas de usuários no qual foi vinculada a GPO. Caso algum usuário execute algum programa que seja iniciado pelo processo de Explorador de arquivos e esteja na lista de bloqueio, será impedido.

Gostou do artigo? Então, segue o link da venda dos meus livros: Tudo Sobre GPOs no Windows Server 2008, 2012 e 2016 e Administrando O Active Directory Com O PowerShell. Neles tem inúmeras dicas úteis e práticas, demonstradas passo a passo e sem complicações, de como usar o Windows PowerShell para administrar o Active Directory e como trabalhar com políticas de grupo na administração de um domínio. 

– Link da venda do livro: Administrando o Active Directory com o PowerShell:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001545.

– Link da venda do livro: Tudo sobre GPOs no Windows Server 2008, 2012 e 2016.

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

3

Clique na foto acima e receba os conteúdos do Blog no teu celular.

Anúncios
The following two tabs change content below.
Diego é graduado em Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor) e possui diversos cursos de qualificações nas áreas de Tecnologia da Informação. É autor também dos livros: Tudo Sobre GPOs no Windows Server e Administrando o Active Directory com o PowerShell.

3 comentários sobre “Bloqueando Aplicativos do Windows Via GPO

  1. Bom dia,

    Tudo bem?

    Meu nome é Danilo.

    Estou como um servidor na empresa, ao qual foi formatado a poucas semanas atrás.
    Ele está com o AD funcional, com usuários, grupos e pastas criados. Com as permissões, pastas mapeadas e nosso software ERP funcionais.
    Acontece é que hoje precisei aplicar regras na GPO de domínio para bloquear que os usuários executem extensões .exe e .bat da área de trabalho e em outros lugares. O caminho que fui na Editor da GPO foi em Configurações do usuário > Políticas > Configurações de segurança > Políticas de restrição de software > Regras adicionais e adicionar o caminho Nova regra de caminho, é apresentado o erro “Não foi possível salvar a regra. Parâmetro incorreto”.
    O que é estranho, é que fiz este mesmo procedimento em uma máquina virtual, instalando o Windows Server 2012 R2, subindo o AD, criando os usuários no mesmo. E ao aplicar as regras na GPO funcionou certinho.
    Gostaria de saber passou por isso e se há alguma solução ? Pois preciso aplicar regras nos computadores dos usuários da minha empresa.
    Observações: Realizei o teste superficial, smart e completo de HD nele e não apresentou nenhum dano erro. Não posso formatar o servidor, ao menos não nesse momento. Não há máquinas virtuais nele. Os únicos serviços instalados nele são o AD, DNS e o de Backup do Windows Server

  2. Olá Diego.
    Faz um artigo sobre o Applock, que trabalha com hashes.

    Esse método com essa diretiva é bem antigo, e qualquer usuário burla atualmente apenas renomeando o nome do arquivo… os diabinhos estão espertos!

    • Olá Luiz, boa tarde? Pois é. Uma vez também fiz um artigo usando o AppLock para bloquear a execução de softwares .exe, .msi… Mas, me manda o teu também como resposta abaixo dessa que publico no site.

Deixe uma resposta