Bloquear Aplicativos do Windows Via GPO

Nesse artigo ensino como configurar uma GPO para bloquear programas específicos do Windows que são iniciados pelo processo de Explorador de arquivos, Windows Explorer.

Vamos lá:

1. Faça logon com uma de administrador no Servidor.

2. Abra o console de GPMC (Gerenciamento de Política/Diretiva de Grupo) do domínio. 

3. No console crie uma GPO (diretiva) onde deseja bloquear a execução dos aplicativos Windows.

4. Com a diretiva criada, clique com o botão direito do mouse no nome da diretiva e, no menu de opções, clique em “Editar”, conforme ilustra a figura abaixo:

5. Será aberto a janela Editor de Gerenciamento de Política de Grupo. Na janela, navegue em: Configuração do Usuário -> Políticas -> Modelos Administrativos -> Sistema. Procure pelo nome da política/diretiva “Não executar aplicativos do Windows Especificados, ilustrado na figura abaixo.

6. Dê um duplo clique nesse nome. Surgirá a janela das propriedades dessa política com a opção “Não Configurado” habilitada. Selecione a configuração “Habilitado”, encontrada mais abaixo, e clique no botão “Mostrar”. Surgirá uma janela em que você informará quais são os nomes dos aplicativos Windows que serão bloqueados quando o usuário tentar executá-los por meio do explorador de arquivos. Digite o nome de cada um dos aplicativos que deseja bloquear e feche a janela.

7. Clique em Aplicar e depois em OK. Feche a janela Editor de Gerenciamento de Política de Grupo. Pronto, sua GPO será aplicada as contas de usuários no qual foi vinculada a GPO. Caso algum usuário execute algum programa que seja iniciado pelo processo de Explorador de arquivos e esteja na lista de bloqueio, será impedido.
________________________________________________________________
AH, QUASE ESQUEÇO.

Saiu o meu primeiro livro: Tudo sobre GPOs no Windows Server: 2008, 2012 e 2016 em parceria com o  Júlio Battisti. Nele, você aprenderá desde a teoria sobre GPOs até administrar as políticas de grupo vinha linha de comando, usando o Windows PowerShell. São quase 700 páginas só sobre GPOs – incluindo boas práticas, resolução de problemas e cerca de 40 bônus para quem comprar o livro.
  • Segue o link da pré-venda do livro e os 40 bônus:

https://juliobattisti.com.br/loja/detalheproduto.asp?CodigoLivro=LIV0001525

61cbf5cc-f059-4468-9772-0823e5068693

Autor

10492172_880959151956485_6663622487942318291_nNascido e residente de Fortaleza – CE, Diego Lima é graduado em Análise de Sistemas, MTAC (Multi-Plataform Tecnical Audience Contributor), MCP, escreve para diversas comunidades técnicas e é autor do livro: Tudo sobre GPOs no Windows Server. Atualmente é coordenador de TI e busca sempre aprender mais para o seu crescimento profissional.

Redes Sociais:
imagesdownload 144fe2d09e86f4999f70f979161ffd09_400x400

 

 

Anúncios

3 comentários sobre “Bloquear Aplicativos do Windows Via GPO

  1. Bom dia,

    Tudo bem?

    Meu nome é Danilo.

    Estou como um servidor na empresa, ao qual foi formatado a poucas semanas atrás.
    Ele está com o AD funcional, com usuários, grupos e pastas criados. Com as permissões, pastas mapeadas e nosso software ERP funcionais.
    Acontece é que hoje precisei aplicar regras na GPO de domínio para bloquear que os usuários executem extensões .exe e .bat da área de trabalho e em outros lugares. O caminho que fui na Editor da GPO foi em Configurações do usuário > Políticas > Configurações de segurança > Políticas de restrição de software > Regras adicionais e adicionar o caminho Nova regra de caminho, é apresentado o erro “Não foi possível salvar a regra. Parâmetro incorreto”.
    O que é estranho, é que fiz este mesmo procedimento em uma máquina virtual, instalando o Windows Server 2012 R2, subindo o AD, criando os usuários no mesmo. E ao aplicar as regras na GPO funcionou certinho.
    Gostaria de saber passou por isso e se há alguma solução ? Pois preciso aplicar regras nos computadores dos usuários da minha empresa.
    Observações: Realizei o teste superficial, smart e completo de HD nele e não apresentou nenhum dano erro. Não posso formatar o servidor, ao menos não nesse momento. Não há máquinas virtuais nele. Os únicos serviços instalados nele são o AD, DNS e o de Backup do Windows Server

    Curtir

  2. Olá Diego.
    Faz um artigo sobre o Applock, que trabalha com hashes.

    Esse método com essa diretiva é bem antigo, e qualquer usuário burla atualmente apenas renomeando o nome do arquivo… os diabinhos estão espertos!

    Curtir

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair /  Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair /  Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair /  Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair /  Alterar )

Conectando a %s