Restringir a execução de softwares indesejados é uma das aplicações mais poderosas das GPOs (Objetos de Política de Grupo) para aumentar a segurança e a produtividade em ambientes corporativos. Em vez de bloquear USBs, você pode impedir que usuários executem programas não autorizados, malwares ou até mesmo aplicativos que desviam o foco do trabalho.
As duas principais abordagens para fazer isso via GPO são as Software Restriction Policies (SRP) e o AppLocker. Embora o AppLocker seja mais robusto e flexível (disponível em edições Enterprise e Ultimate do Windows), as SRPs são uma ótima opção para ambientes que não possuem essas edições ou precisam de uma solução mais simples.
Como Criar GPO para Restringir Softwares: Um Guia Prático
Restringir a execução de softwares indesejados é uma das aplicações mais poderosas das GPOs (Objetos de Política de Grupo) para aumentar a segurança e a produtividade em ambientes corporativos. Em vez de bloquear USBs, você pode impedir que usuários executem programas não autorizados, malwares ou até mesmo aplicativos que desviam o foco do trabalho.
As duas principais abordagens para fazer isso via GPO são as Software Restriction Policies (SRP) e o AppLocker. Embora o AppLocker seja mais robusto e flexível (disponível em edições Enterprise e Ultimate do Windows), as SRPs são uma ótima opção para ambientes que não possuem essas edições ou precisam de uma solução mais simples.
Vamos explorar como configurar ambas.
Opção 1: Software Restriction Policies (SRP) – Simples e Eficaz
As SRPs são ideais para cenários onde você quer bloquear programas específicos ou permitir apenas um conjunto limitado de aplicativos. Elas operam com base em regras de hash, caminho, certificado ou zona da internet.
Passos para Configurar SRP via GPO:
- Abra o Console de Gerenciamento de GPOs:
- No seu controlador de domínio, abra o “Server Manager”, vá em “Tools” e selecione “Group Policy Management”.
- Crie ou Edite uma GPO:
- Navegue até a Unidade Organizacional (OU) onde estão os usuários ou computadores que você deseja afetar.
- Clique com o botão direito na OU e selecione “Create a GPO in this domain, and Link it here…” (ou edite uma GPO existente). Dê um nome significativo, como “Restricao_Software_SRP”.
- Edite a GPO:
- Clique com o botão direito na GPO recém-criada (ou existente) e selecione “Edit…”.
- Navegue até:
Computer Configuration>Policies>Windows Settings>Security Settings>Software Restriction Policies.
- Crie Novas Políticas (se não existirem):
- Se for a primeira vez, clique com o botão direito em “Software Restriction Policies” e selecione “New Software Restriction Policies”.
- Configure o Nível de Segurança Padrão:
- Clique em “Security Levels”. Por padrão, é “Unrestricted”.
- Recomendação para restrição: Defina “Disallowed” (Proibido) como padrão. Isso significa que, a menos que você crie uma regra explícita para permitir algo, nada será executado. Essa é a abordagem mais segura.
- Se preferir, você pode manter “Unrestricted” e criar regras para proibir especificamente certos programas.
- Crie Regras Adicionais:
- Clique com o botão direito em “Additional Rules”.
- Tipos de Regras:
- Hash Rule: Bloqueia um arquivo específico com base em seu hash (assinatura digital única). Ótimo para arquivos executáveis (EXEs) específicos. O desafio é que o hash muda se o arquivo for atualizado.
- Clique em “New Hash Rule…”, navegue até o arquivo executável que deseja bloquear (ex:
notepad.exeem uma máquina local para testar), e defina o “Security Level” como “Disallowed”.
- Clique em “New Hash Rule…”, navegue até o arquivo executável que deseja bloquear (ex:
- Path Rule (Regra de Caminho): Bloqueia a execução de programas a partir de um determinado caminho de arquivo ou pasta. Muito útil para impedir que programas sejam executados de pastas temporárias, perfis de usuário ou drives USB.
- Clique em “New Path Rule…”, digite o caminho (ex:
C:\Users\*\Downloads\*para downloads ou%programfiles(x86)%\*para programas específicos) e defina “Disallowed”. - Dica: Você pode usar variáveis de ambiente como
%programfiles%,%appdata%,%temp%para caminhos genéricos. - Permitir Caminhos Seguros (se o padrão for “Disallowed”): Se você definiu o nível de segurança padrão como “Disallowed”, você precisará criar regras de caminho para permitir programas legítimos do sistema operacional (ex:
%windir%\*,%programfiles%\*, etc.). As SRPs geralmente criam algumas por padrão.
- Clique em “New Path Rule…”, digite o caminho (ex:
- Certificate Rule: Bloqueia programas assinados digitalmente por um certificado específico. Útil para software de fornecedores confiáveis.
- Internet Zone Rule: Restringe a execução de scripts de determinadas zonas da Internet (menos comum para executáveis).
- Hash Rule: Bloqueia um arquivo específico com base em seu hash (assinatura digital única). Ótimo para arquivos executáveis (EXEs) específicos. O desafio é que o hash muda se o arquivo for atualizado.
- Aplique e Teste:
- Force a atualização da GPO nos computadores dos usuários: Abra o Prompt de Comando como administrador e digite
gpupdate /force. - Teste a execução dos softwares que você restringiu.
- Force a atualização da GPO nos computadores dos usuários: Abra o Prompt de Comando como administrador e digite
Opção 2: AppLocker – Flexível e Robusto (Edições Enterprise/Ultimate)
O AppLocker oferece um controle mais granular e flexível, permitindo criar regras baseadas em editores de software (confiando em quem desenvolveu o programa), nomes de arquivos, versões e até hashes.
Passos para Configurar AppLocker via GPO:
- Abra o Console de Gerenciamento de GPOs:
- Siga os passos 1 e 2 da seção SRP.
- Edite a GPO:
- Clique com o botão direito na GPO e selecione “Edit…”.
- Navegue até:
Computer Configuration>Policies>Windows Settings>Security Settings>Application Control Policies>AppLocker.
- Configure o Serviço Application Identity:
- O AppLocker depende do serviço “Application Identity”. Você precisa configurá-lo para iniciar automaticamente.
- Navegue até:
Computer Configuration>Policies>Windows Settings>Security Settings>System Services. - Localize “Application Identity”, clique duas vezes, marque “Define this policy setting” e defina “Startup Mode” para “Automatic”.
- Configure Regras do AppLocker:
- Expanda “AppLocker” e você verá categorias como “Executable Rules”, “Windows Installer Rules”, “Script Rules”, “DLL Rules” e “Packaged app Rules”.
- Recomendação: Comece com “Executable Rules”.
- Clique com o botão direito em “Executable Rules” e selecione “Create Default Rules”. Isso criará regras para permitir que os programas do Windows e do Program Files sejam executados, o que é crucial para não bloquear o próprio sistema operacional.
- Crie Novas Regras:
- Clique com o botão direito em “Executable Rules” novamente e selecione “Create New Rule…”.
- Permissão: Escolha “Allow” (Permitir) ou “Deny” (Negar). Na maioria dos casos, você criará regras para “Allow” depois de ter as regras padrão. Se você quiser bloquear algo específico, use “Deny”.
- Condição:
- Publisher (Editor): A forma mais recomendada e robusta. Permite ou nega com base na assinatura digital do software. Ex: permitir qualquer software da Microsoft ou Google.
- Path (Caminho): Semelhante às SRPs. Permite ou nega com base no local do arquivo. Útil para bloquear pastas como downloads ou unidades USB.
- File Hash (Hash do Arquivo): Permite ou nega um arquivo específico com base no seu hash. Útil para bloquear um executável de malware conhecido, mas menos flexível para atualizações.
- Siga o assistente, selecionando o arquivo de referência ou o editor.
- Exemplo: Para bloquear um navegador não autorizado, você pode criar uma “Deny” rule baseada no caminho do executável dele ou, se ele não for assinado por um editor confiável, usar um hash. Para permitir todos os softwares da Microsoft, use uma “Allow” rule baseada no editor “Microsoft Corporation”.
- Configure a Imposição (Enforcement):
- Clique com o botão direito em “AppLocker” e selecione “Properties”.
- Na aba “Enforcement”, para cada tipo de regra (Executable, Script, etc.), você pode escolher:
- Not Configured: Sem efeito.
- Enforce Rules: Aplica as regras ativamente.
- Audit only: Apenas registra no log de eventos o que teria sido bloqueado, sem realmente bloquear. Use isso primeiro para testar suas regras e evitar bloqueios acidentais!
- Aplique e Teste:
- Force a atualização da GPO nos computadores dos usuários:
gpupdate /force. - Verifique os logs de eventos (Event Viewer > Applications and Services Logs > Microsoft > Windows > AppLocker) se estiver em “Audit only”.
- Teste a execução dos softwares que você restringiu.
- Force a atualização da GPO nos computadores dos usuários:
Como Criar GPO para Restringir Softwares: Um Guia Prático
Restringir a execução de softwares indesejados é uma das aplicações mais poderosas das GPOs (Objetos de Política de Grupo) para aumentar a segurança e a produtividade em ambientes corporativos. Em vez de bloquear USBs, você pode impedir que usuários executem programas não autorizados, malwares ou até mesmo aplicativos que desviam o foco do trabalho.
As duas principais abordagens para fazer isso via GPO são as Software Restriction Policies (SRP) e o AppLocker. Embora o AppLocker seja mais robusto e flexível (disponível em edições Enterprise e Ultimate do Windows), as SRPs são uma ótima opção para ambientes que não possuem essas edições ou precisam de uma solução mais simples.
Vamos explorar como configurar ambas.
Opção 1: Software Restriction Policies (SRP) – Simples e Eficaz
As SRPs são ideais para cenários onde você quer bloquear programas específicos ou permitir apenas um conjunto limitado de aplicativos. Elas operam com base em regras de hash, caminho, certificado ou zona da internet.
Passos para Configurar SRP via GPO:
- Abra o Console de Gerenciamento de GPOs:
- No seu controlador de domínio, abra o “Server Manager”, vá em “Tools” e selecione “Group Policy Management”.
- Crie ou Edite uma GPO:
- Navegue até a Unidade Organizacional (OU) onde estão os usuários ou computadores que você deseja afetar.
- Clique com o botão direito na OU e selecione “Create a GPO in this domain, and Link it here…” (ou edite uma GPO existente). Dê um nome significativo, como “Restricao_Software_SRP”.
- Edite a GPO:
- Clique com o botão direito na GPO recém-criada (ou existente) e selecione “Edit…”.
- Navegue até:
Computer Configuration>Policies>Windows Settings>Security Settings>Software Restriction Policies.
- Crie Novas Políticas (se não existirem):
- Se for a primeira vez, clique com o botão direito em “Software Restriction Policies” e selecione “New Software Restriction Policies”.
- Configure o Nível de Segurança Padrão:
- Clique em “Security Levels”. Por padrão, é “Unrestricted”.
- Recomendação para restrição: Defina “Disallowed” (Proibido) como padrão. Isso significa que, a menos que você crie uma regra explícita para permitir algo, nada será executado. Essa é a abordagem mais segura.
- Se preferir, você pode manter “Unrestricted” e criar regras para proibir especificamente certos programas.
- Crie Regras Adicionais:
- Clique com o botão direito em “Additional Rules”.
- Tipos de Regras:
- Hash Rule: Bloqueia um arquivo específico com base em seu hash (assinatura digital única). Ótimo para arquivos executáveis (EXEs) específicos. O desafio é que o hash muda se o arquivo for atualizado.
- Clique em “New Hash Rule…”, navegue até o arquivo executável que deseja bloquear (ex:
notepad.exeem uma máquina local para testar), e defina o “Security Level” como “Disallowed”.
- Clique em “New Hash Rule…”, navegue até o arquivo executável que deseja bloquear (ex:
- Path Rule (Regra de Caminho): Bloqueia a execução de programas a partir de um determinado caminho de arquivo ou pasta. Muito útil para impedir que programas sejam executados de pastas temporárias, perfis de usuário ou drives USB.
- Clique em “New Path Rule…”, digite o caminho (ex:
C:\Users\*\Downloads\*para downloads ou%programfiles(x86)%\*para programas específicos) e defina “Disallowed”. - Dica: Você pode usar variáveis de ambiente como
%programfiles%,%appdata%,%temp%para caminhos genéricos. - Permitir Caminhos Seguros (se o padrão for “Disallowed”): Se você definiu o nível de segurança padrão como “Disallowed”, você precisará criar regras de caminho para permitir programas legítimos do sistema operacional (ex:
%windir%\*,%programfiles%\*, etc.). As SRPs geralmente criam algumas por padrão.
- Clique em “New Path Rule…”, digite o caminho (ex:
- Certificate Rule: Bloqueia programas assinados digitalmente por um certificado específico. Útil para software de fornecedores confiáveis.
- Internet Zone Rule: Restringe a execução de scripts de determinadas zonas da Internet (menos comum para executáveis).
- Hash Rule: Bloqueia um arquivo específico com base em seu hash (assinatura digital única). Ótimo para arquivos executáveis (EXEs) específicos. O desafio é que o hash muda se o arquivo for atualizado.
- Aplique e Teste:
- Force a atualização da GPO nos computadores dos usuários: Abra o Prompt de Comando como administrador e digite
gpupdate /force. - Teste a execução dos softwares que você restringiu.
- Force a atualização da GPO nos computadores dos usuários: Abra o Prompt de Comando como administrador e digite
Opção 2: AppLocker – Flexível e Robusto (Edições Enterprise/Ultimate)
O AppLocker oferece um controle mais granular e flexível, permitindo criar regras baseadas em editores de software (confiando em quem desenvolveu o programa), nomes de arquivos, versões e até hashes.
Passos para Configurar AppLocker via GPO:
- Abra o Console de Gerenciamento de GPOs:
- Siga os passos 1 e 2 da seção SRP.
- Edite a GPO:
- Clique com o botão direito na GPO e selecione “Edit…”.
- Navegue até:
Computer Configuration>Policies>Windows Settings>Security Settings>Application Control Policies>AppLocker.
- Configure o Serviço Application Identity:
- O AppLocker depende do serviço “Application Identity”. Você precisa configurá-lo para iniciar automaticamente.
- Navegue até:
Computer Configuration>Policies>Windows Settings>Security Settings>System Services. - Localize “Application Identity”, clique duas vezes, marque “Define this policy setting” e defina “Startup Mode” para “Automatic”.
- Configure Regras do AppLocker:
- Expanda “AppLocker” e você verá categorias como “Executable Rules”, “Windows Installer Rules”, “Script Rules”, “DLL Rules” e “Packaged app Rules”.
- Recomendação: Comece com “Executable Rules”.
- Clique com o botão direito em “Executable Rules” e selecione “Create Default Rules”. Isso criará regras para permitir que os programas do Windows e do Program Files sejam executados, o que é crucial para não bloquear o próprio sistema operacional.
- Crie Novas Regras:
- Clique com o botão direito em “Executable Rules” novamente e selecione “Create New Rule…”.
- Permissão: Escolha “Allow” (Permitir) ou “Deny” (Negar). Na maioria dos casos, você criará regras para “Allow” depois de ter as regras padrão. Se você quiser bloquear algo específico, use “Deny”.
- Condição:
- Publisher (Editor): A forma mais recomendada e robusta. Permite ou nega com base na assinatura digital do software. Ex: permitir qualquer software da Microsoft ou Google.
- Path (Caminho): Semelhante às SRPs. Permite ou nega com base no local do arquivo. Útil para bloquear pastas como downloads ou unidades USB.
- File Hash (Hash do Arquivo): Permite ou nega um arquivo específico com base no seu hash. Útil para bloquear um executável de malware conhecido, mas menos flexível para atualizações.
- Siga o assistente, selecionando o arquivo de referência ou o editor.
- Exemplo: Para bloquear um navegador não autorizado, você pode criar uma “Deny” rule baseada no caminho do executável dele ou, se ele não for assinado por um editor confiável, usar um hash. Para permitir todos os softwares da Microsoft, use uma “Allow” rule baseada no editor “Microsoft Corporation”.
- Configure a Imposição (Enforcement):
- Clique com o botão direito em “AppLocker” e selecione “Properties”.
- Na aba “Enforcement”, para cada tipo de regra (Executable, Script, etc.), você pode escolher:
- Not Configured: Sem efeito.
- Enforce Rules: Aplica as regras ativamente.
- Audit only: Apenas registra no log de eventos o que teria sido bloqueado, sem realmente bloquear. Use isso primeiro para testar suas regras e evitar bloqueios acidentais!
- Aplique e Teste:
- Force a atualização da GPO nos computadores dos usuários:
gpupdate /force. - Verifique os logs de eventos (Event Viewer > Applications and Services Logs > Microsoft > Windows > AppLocker) se estiver em “Audit only”.
- Teste a execução dos softwares que você restringiu.
- Force a atualização da GPO nos computadores dos usuários:
Dicas Importantes ao Restringir Softwares com GPOs:
- Sempre Comece com “Audit Only” (AppLocker): Isso é crucial para entender o impacto das suas regras antes de aplicá-las em produção.
- Teste Rigorosamente: Crie uma OU de teste com alguns usuários e computadores antes de aplicar a GPO a todo o domínio.
- Documente suas Regras: Manter um registro do porquê certas regras foram criadas facilitará a manutenção futura.
- Pense em Exceções: Sempre haverá casos em que um usuário legítimo precisa de um software específico. Planeje como você vai gerenciar essas exceções (ex: colocando o usuário em uma OU diferente com uma GPO menos restritiva ou criando uma regra específica de “Allow”).
- Cuidado com Regras Amplas: Regras muito abrangentes, especialmente as de “Deny” (negar), podem bloquear funcionalidades críticas do sistema operacional ou softwares legítimos.
Restringir softwares via GPO é uma ferramenta poderosa para a segurança e conformidade da sua empresa. Escolha a abordagem (SRP ou AppLocker) que melhor se adapta às suas necessidades e comece a proteger seu ambiente hoje!