Bloqueando a instalação de softwares
com o AppLocker
Neste artigo, ensino como usar o AppLocker para fazer o bloqueio de softwares indesejados em seu domínio.
Várias são as razões, para criarmos políticas de restrições de instalações de softwares em seu domínio: Licenciamento, vírus, manutenção, padronizações das estações e entre outras. Imagina um usuário em que não é do
suporte instalar um software, em que o mesmo precisava de licença e sua empresa ser multada por isso? Dor de cabeça, no mínimo. É para isto que apresento uma forma de minimizar a dor de cabeça: AppLocker. Com o uso do mesmo, podemos restringir a instalação de softwares em várias
extensões(.exe, .msi ou script), como também, por fabricante, versão, caminho de diretório e outras possibilidades.
Solução
Antes de aplicar a diretiva, iremos tentar instalar alguns softwares, por um usuário do domínio em uma estação do domínio. Abaixo, temos uma usuária no AD chamada diana.lima em que a mesma, não é membra de nenhum grupo de administradores, conforme a figura.
Logada na estação cliente, iremos tentar instalar três softwares: Adobe Reader, Google Chrome e WinRar.
O primeiro programa que iremos tentar é o Google Chrome:
Observamos que o mesmo retorno um erro de instalação, afirmando em que precisa de privilégio de administrador para a instalação. Agora tentaremos os dois outros programas: Adobe e WinRar.
Podemos observar que ambos foram instalados com um USUÁRIO DO DOMÍNIO, conforme a figura abaixo.
Agora imagine: se com um teste de apenas três softwares, dois foram instalados com um USUÁRIO DO DOMÍNIO, quantos outros não seriam instalados?! Para tentarmos minimizar este problema, usaremos
o AppLocker.O AppLocker foi inserido no Windows Server 2008 e uma das funções é promover a restrição de instalação de softwares.
Criando diretiva para bloqueio
1. Para testar a diretiva, criamos uma OU chamada OU-Teste e nela criamos GPO chamada GPO_TesteAPPLock, conforme a figura abaixo.
Observação: A diretiva será aplicada somente nos computadores em que estiverem dentro da OU-TESTE. Então depois de criá-la, mova algum computador de teste para essa OU e depois teste a diretiva.
2. Com a diretiva criada, iremos configurá-la. Com o botão direito do mouse, clique em Editar.
Depois de ter clicado em Editar, vá em: Configuração do Computador –> Configuração do Windows –> Configuração de Segurança –> Política de Controle de Aplicativo.
Agora iremos criar uma regra, para bloquear a instalação de programas
executáveis(formato .exe). Selecione Regras Executáveis, clique com o botão direito do mouse em criar regra padrão.
Após ter clicado em Criar Regras Padrão, as regras serão criadas conforme abaixo:
Observação importante: As regras padrões são criadas, para garantir que os usuários possam executar os programas que estão já instalados na
estação e que os administradores possam instalar programas na
estação. Se acessarmos as propriedades de cada um, veremos que o que cada regra faz. Não esqueça de criar as regras padrões, pois sem elas, podemos bloquear a execução de todos os executáveis na estação!
3. Com as regras padrões criadas iremos fazer mais algumas configurações. Com o botão direito do mouse, clique emAppLocker e
Será aberto uma interface em que pedirá para especificar as regras que serão impostas. No caso, clique em Configurado na parte Regras
Executáveis. Você poderá escolher duas opções: Impor regras ou somente auditória. Escolheremos Impor regras. Clique em Aplicar e depois Ok.
Observação: Escolhemos somente auditoria, se quiséssemos apenas auditar os programas que poderiam ser bloqueados, caso tivesse no modo Impor Regras. Ou seja, ao invés de bloquear de imediato a instalação do programa, iria criar um log em que diria os programas que poderiam te sido bloqueados.
4. Nossa diretiva está quase toda configurada, falta só iniciar o serviço de sistema chamado Identidade do Aplicativo. Temos que habilitá-lo para que funcione a diretiva. Clique em Serviços do Sistema e procure pelo
serviçoIdentidade do Aplicativo.
Ao achar o serviço, acesse as propriedades com o botão
direito. SelecioneDefinir esta configuração de política e escolha omodo
automático. Clique emAplicar e Ok. Pronto! Tudo está configurado na nossa diretiva.
4. Agora iremos no nosso AD e verificamos quais computadores estão
figura abaixo, somente a estação TI01 receberá.
5. Agora iremos abrir o CMD, e daremos o comando gpupdate /force para aplicar as diretivas de imediato na estação.
Observação: Caso você aplique a diretiva e o usuário ainda consiga instalar, tente reiniciar a estação de trabalho em que está recebendo a diretiva.
6. Com a diretiva feita, gpupdate /force feito ou computador reiniciado iremos logar na estação com a usuária diana.lima e testaremos se a mesma, ainda consegue instalar os programas.
Tentando instalar o Adobe Reader após ter feito as configurações
Tentando instalar o Google Chrome após ter feito as configurações.
Algumas observações importantes, caso não funcione:
que está recebendo a diretiva. (Para verificar, clique em CMD e depois coloqueservices.msc e olha se subiu o serviço)
– Verifique se a estação em que está recebendo a diretiva, está realmente na OU em que está sendo aplicada a configuração.
Outras observações importantes:
– Não esquecer de habilitar as regras padrões, para não bloquear a execução de programas instalados.
– Criar uma OU-Teste e testar a diretiva para só depois ir para produção. Autor
Nascido e residente de Fortaleza – CE, Diego Gouveia é graduado em Análise de Sistemas e escreve para diversas comunidades técnicas. Atualmente é técnico em Suporte e busca sempre aprender mais para o seu crescimento profissional.
Este artigo também pode ser visto em:
https://diegogouveiace.wordpress.com/2016/06/25/bloqueando-a-instalacao-de-softwares-com-o-applocker/