Adicionar ou editar uma sub-regra (apenas para regras definidas pelo usuário).
Tabela 3-8 Opções
Seção Opção Definição
Descrição Nome Especifica o nome da sub-regra. Propriedades Tipo de
sub-regra Especifica o tipo de sub-regra.A alteração do tipo de sub-regra remove quaisquer entradas previamente definidas na tabela de destinos.
• Arquivos — Protege um arquivo ou diretório. Por exemplo, criar uma regra personalizada para bloquear ou relatar as tentativas de excluir uma planilha do Excel que contém informações sigilosas.
• Chave de registro - Protege a chave especificada. A chave de registro é o local onde o valor de registro é armazenado. Por exemplo,
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Run.
• Valor de registro — Protege o valor especificado. Os valores de Registro são armazenados nas chaves de registro e são referenciados separadamente das chaves de Registro. Por exemplo, HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run\Autorun.
• Processos — Protege o processo especificado. Por exemplo, crie uma regra personalizada para bloquear ou relatar tentativas de operações em um processo.
Tabela 3-8 Opções (continuação) Seção Opção Definição
Operações Indica as operações permitidas com o tipo de sub-regra. Você deve especificar pelo menos uma operação para aplicar à sub-regra.
Prática recomendada: para evitar impactos no desempenho, não selecione
a operação Ler. • Arquivos:
• Alterar atributos somente leitura ou ocultos — Bloqueia ou relata alterações nos atributos dos arquivos na pasta especificada.
• Criar — Bloqueia ou relata a criação de arquivos na pasta especificada. • Excluir — Bloqueia ou relata a exclusão de arquivos na pasta especificada. • Executar — Bloqueia ou relata a execução de arquivos na pasta
especificada.
• Alterar permissões — Bloqueia ou relata a alteração de configurações de permissões de arquivos na pasta especificada.
• Ler — Bloqueia ou relata o acesso de leitura aos arquivos especificados. • Renomear — Bloqueia ou relata o acesso para renomeação aos arquivos
Tabela 3-8 Opções (continuação) Seção Opção Definição
Se o destino Arquivo de destino for especificado, Renomear será a única operação válida.
• Gravar — Bloqueia ou relata o acesso para gravação aos arquivos especificados.
• Chave de Registro:
• Gravar — Bloqueia ou relata o acesso para gravação à chave especificada. • Criar — Bloqueia ou relata a criação da chave especificada.
• Excluir — Bloqueia ou relata a exclusão da chave especificada. • Ler — Bloqueia ou relata o acesso de leitura à chave especificada. • Enumerar — Bloqueia ou relata a enumeração das subchaves da chave de
Registro especificada.
• Carregar — Bloqueia ou relata a capacidade de descarregar a chave de Registro especificada e suas subchaves de Registro.
• Substituir — Bloqueia ou relata a substituição da chave de Registro especificada e suas subchaves por outro arquivo.
• Restaurar — Bloqueia ou relata a capacidade de salvar informações do Registro em um arquivo especificado e cópias na chave especificada. • Alterar permissões — Bloqueia ou relata a alteração de configurações de
permissões da chave de Registro especificada e suas subchaves. • Valor do Registro:
• Gravar — Bloqueia ou relata o acesso para gravação ao valor especificado. • Criar — Bloqueia ou relata a criação do valor especificado.
• Excluir — Bloqueia ou relata a exclusão do valor especificado. • Ler — Bloqueia ou relata o acesso de leitura ao valor especificado. • Processos:
• Qualquer acesso — Bloqueia ou relata a abertura do processo com qualquer acesso.
• Criar um thread — Bloqueia ou relata a abertura do processo com acesso para criar um thread.
• Modificar — Bloqueia ou relata a abertura do processo com acesso para modificar.
• Encerrar — Bloqueia ou relata a abertura do processo com acesso para encerrar.
• Executar — Bloqueia ou relata a execução do executável de destino especificado.
Você deve adicionar pelo menos um executável de destino à regra. Para a operação Executar, um evento é gerado quando é feita uma tentativa de executar o processo de destino. Para todas as outras operações, um evento é gerado quando o destino é aberto.
Destinos • Adicionar — Especifica os destinos da regra. Os destinos podem variar de acordo com a seleção do tipo de regra. Você deve adicionar pelo menos um destino à sub-regra.
Tabela 3-8 Opções (continuação) Seção Opção Definição
Clique em Adicionar, selecione o status de inclusão e digite ou selecione o destino que deseja incluir ou excluir.
• Clicar duas vezes em um item — Modifica o item selecionado. • Excluir — Exclui o item selecionado.
Consulte também
Página Adicionar regra ou Editar regra na página 95 Página na página 101
Página
Especificar o status de inclusão e a definição de um destino.
Tabela 3-9 Opções
Seção Opção Definição
Destinos Determina se o destino tem uma correspondência positiva em relação à sub-regra. Também especifica o status de inclusão para o destino. • Incluir — Indica que a sub-regra pode corresponder ao destino
especificado.
• Excluir — Indica que a sub-regra não deve corresponder ao destino especificado. Se você tiver selecionado o tipo de sub-regra Arquivos...
Especifica o nome do arquivo, o nome da pasta, o caminho ou o destino do tipo de unidade para uma sub-regra Arquivos.
• Caminho do arquivo — Navegue para selecionar o arquivo.
• Arquivo de destino — Navegue para selecionar o caminho ou o nome do arquivo de destino para uma operação Renomear.
Se o destino do Arquivo de destino estiver selecionado, (apenas) a operação Renomear deverá ser selecionada.
• Tipo de unidade — Selecione o destino do tipo de unidade na lista suspensa: • Removível — Arquivos em uma unidade USB ou outra unidade removível
Tabela 3-9 Opções (continuação) Seção Opção Definição
instalado. Este tipo de unidade não inclui arquivos em CD, DVD ou disquete.
Bloquear esse tipo de unidade também bloqueia as unidades com o Windows To Go instalado.
• Rede — Arquivos em um compartilhamento de rede.
• Fixo — Arquivos no disco rígido local ou em outro disco rígido fixo. • CD/DVD — Arquivos em um CD ou DVD.
• Disquete — Arquivos em um disquete.
Você pode usar ?, * e ** como caracteres curinga.
Práticas recomendadas para destinos da sub-regra Arquivos Por exemplo, para proteger:
• Um arquivo ou uma pasta chamado(a) c:\testap, use um destino c: \testap ou c:\testap\
• O conteúdo de uma pasta, use o caractere curinga asterisco — c:\testap \*
• O conteúdo de uma pasta e suas subpastas, use dois asteriscos — c: \testap\**
Há suporte para variáveis de ambiente do sistema. As variáveis de ambiente podem ser especificadas em um dos seguintes formatos: • $(EnvVar) - $(SystemDrive), $(SystemRoot)
• %EnvVar% - %SystemRoot%, %SystemDrive%
Nem todas as variáveis de ambiente definidas pelo sistema podem ser acessadas usando a sintaxe $(var), especificamente aquelas que contêm os caracteres or. Você pode usar a sintaxe %var% para evitar este
problema.
Tabela 3-9 Opções (continuação) Seção Opção Definição
Se você tiver selecionado o tipo de
sub-regra Chave
de Registro...
Define chaves de Registro usando chaves raiz. Estas chaves root são suportadas:
• HKLM ou HKEY_LOCAL_MACHINE • HKCU ou HKEY_CURRENT_USER • HKCR ou HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ ControlSet00X
• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e a HKLM/Software/Wow6432Node somente em sistemas de 64 bits • HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e a
HKCU/Software/Wow6432Node somente em sistemas de 64 bits • HKULM tratado tanto como HKLM e HKCU
• HKULMS tratado tanto como HKLMS e HKCUS • HKALL tratado tanto como HKLM e HKU
Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) como um caractere de escape.
Práticas recomendadas para destinos da sub-regra Chave de Registro
Por exemplo, para proteger:
• Uma chave de Registro chamada HKLM\SOFTWARE\testap, use um destino HKLM\SOFTWARE\testap ou HKLM\SOFTWARE\testap\
• O conteúdo de uma chave de Registro, use o caractere curinga asterisco — HKLM\SOFTWARE\testap\*
• O conteúdo de uma chave de Registro e suas subchaves, use dois asteriscos — HKLM\SOFTWARE\testap\**
• Chaves de Registro e valores sob uma chave de Registro, ative a operação Gravar
Tabela 3-9 Opções (continuação) Seção Opção Definição
Se você tiver selecionado o tipo de
sub-regra Valor
do Registro...
Define valores de Registro usando chaves raiz. Estas chaves root são suportadas:
• HKLM ou HKEY_LOCAL_MACHINE • HKCU ou HKEY_CURRENT_USER • HKCR ou HKEY_CLASSES_ROOT
• HKCCS corresponde a HKLM/SYSTEM/CurrentControlSet e HKLM/SYSTEM/ ControlSet00X
• HKLMS corresponde a HKLM/Software em sistemas de 32 e 64 bits, e a HKLM/Software/Wow6432Node somente em sistemas de 64 bits • HKCUS corresponde a HKCU/Software em sistemas de 32 e 64 bits, e a
HKCU/Software/Wow6432Node somente em sistemas de 64 bits • HKULM tratado tanto como HKLM e HKCU
• HKULMS tratado tanto como HKLMS e HKCUS • HKALL tratado tanto como HKLM e HKU
Você pode usar ?, * e ** como caracteres curinga e | (barra vertical) como um caractere de escape.
Práticas recomendadas para destinos da sub-regra Valor de Registro
Por exemplo, para proteger:
• Um valor de Registro chamado HKLM\SOFTWARE\testap, use um destino HKLM\SOFTWARE\testap
• Os valores de Registro sob uma chave de Registro, use o caractere curinga asterisco — HKLM\SOFTWARE\testap\*
• Os valores de Registro sob uma chave de Registro e suas subchaves, use dois asteriscos — HKLM\SOFTWARE\testap\**
Se você tiver selecionado o tipo de sub-regra
Processos...
Especifica o nome do arquivo ou o caminho, o hash de MD5 ou o destino do signatário do processo para uma sub-regra Processos.
Você pode usar ?, * e ** como caracteres curinga para todos, com exceção do hash de MD5.
Práticas recomendadas para destinos da sub-regra Processos Por exemplo, para proteger:
• Um processo chamado c:\testap.exe use um nome de arquivo ou caminho de destino c:\testap.exe
• Todos os processos de uma pasta, use o caractere curinga asterisco — c: \testap\*
• Todos os processos de uma pasta e suas subpastas, use dois asteriscos — c:\testap\**
Consulte também