Como Proteger Seu Sistema Operacional através do Applocker do Windows 10

Você está procurando maneiras de adicionar outra camada de segurança ao seu computador local ou em toda a rede? Considere elevar o nível com o AppLocker do Windows 10!

O AppLocker oferece a você o poder de controlar quais aplicativos e arquivos os usuários podem executar. E neste tutorial, você aprenderá como configurar o AppLocker e proteger seu sistema operacional Windows 10.

Sente que precisa de mais privacidade? Continue lendo e comece a proteger seu sistema!

Pré-requisitos

Este tutorial será uma demonstração prática. Se você deseja acompanhar, certifique-se de ter o seguinte:

• A Windows 10 Education or Enterprise computer – This tutorial uses Windows 10 Enterprise 21H2.

• Uma conta de usuário administrador para configuração local ou acesso a um controlador de domínio para uma configuração organizacional.

Relacionado:Adicionando uma Conta Local do Windows 10: Guia Passo a Passo

• A domain controller server for a multi-computer setup – This tutorial uses Windows Server 2019 Datacenter.

Relacionado:Inicializando o AD com o Centro Administrativo do Active Directory

Configurando o Serviço de Identidade de Aplicativo para Iniciar na Inicialização

Antes mesmo de começar a configurar regras do AppLocker e aplicá-las ao seu computador local, você precisa ajustar o Serviço de Identidade de Aplicativo. Configurar o Serviço de Identidade de Aplicativo para iniciar automaticamente na inicialização impõe as regras do AppLocker do Windows 10.

Abra um console do PowerShell como administrador e execute o comando abaixo para iniciar o serviço de Identidade de Aplicativo automaticamente durante o boot.

sc.exe config appidsvc start= auto

A saída abaixo mostra que a configuração foi bem-sucedida.

Em seguida, execute o seguinte comando Get-Service para verificar se o serviço de Identidade de Aplicativo inicia automaticamente e é executado.

Get-Service AppIDSvc | select -Property Name, Status, StartType

Abaixo, você pode ver que o status do AppIDSvc está Executando com o tipo de inicialização definido como Automático.

Se você vir um status de parado, execute o comando Start-Service abaixo para iniciar o Serviço de Identidade de Aplicativo (AppIDSvc).

Start-Service -Name “AppIDSvc”

Criando Regras Padrão do AppLocker do Windows 10

Agora que você configurou o serviço de Identidade de Aplicativo, o próximo passo é criar regras padrão do AppLocker. Criar regras do AppLocker permite controlar quais aplicativos são permitidos e negados.

Você pode definir regras do AppLocker do Windows 10 para quatro categorias de produtos, conforme a seguir:

• Regras Executáveis – Arquivos executáveis (.exe e, menos comum, .com).
• Regras do Instalador do Windows – Arquivos do instalador do Windows (.msi, .msp e .mst).
• Regras de Script – Arquivos de script (.bat, .cmd, .js, .ps1 e .vbs).
• Regras de aplicativos empacotados – Aplicativos empacotados e instaladores de aplicativos empacotados (.appx).

A regra geral é criar regras padrão para permitir todos os aplicativos aprovados que se enquadram em qualquer uma das categorias já em execução em um computador local.

Para criar regras padrão do AppLocker, primeiro você precisará acessar a ferramenta Política de Segurança Local:

1. Abra a caixa de diálogo Executar, digite secpol.msc e clique em OK (ou pressione Enter) para acessar a Política de Segurança Local.

2. Na janela Política de Segurança Local, expanda as Políticas de Controle de Aplicativos e o AppLocker.

3. Selecione e clique com o botão direito em Regras Executáveis → selecione Criar Regras Padrão para criar as regras padrão do AppLocker para a categoria selecionada.

Repita este passo para as demais categorias (Instalador do Windows, Regras de Script e Regras de aplicativos empacotados).

4. Por último, selecione cada categoria e verifique se as regras padrão do AppLocker existem, conforme mostrado abaixo.

Abaixo, você pode ver um grupo de três regras padrão, semelhantes aos outros, exceto para as Regras de aplicativos empacotados, que têm apenas uma.

Criando Regras para Negar Aplicativos

Agora que suas regras padrão do AppLocker estão em vigor, você pode começar a criar regras para negar aplicativos. Negar aplicativos adiciona segurança ao seu computador, pois você pode negar acesso a aplicativos maliciosos. A Política de Segurança Local também desempenha um papel na criação de regras para negar aplicativos em seu sistema.

Neste tutorial, você criará regras para a categoria Regras Executáveis e testará se elas realmente funcionam. Mas uma vez que você esteja confiante em criar regras, poderá criar regras para outras categorias e ver suas diferenças.

Observe que os passos para criar regras para cada categoria são semelhantes, exceto para a Regra de Aplicativo Empacotado.

Negando Aplicativos através das Condições do Editor

Ao iniciar um aplicativo, você está concedendo permissões ao editor para fazer alterações no seu sistema, especialmente se o aplicativo estiver constantemente conectado à internet. Parece arriscado demais?

Criar regras para negar aplicativos por meio das condições do editor resolverá o problema se você não confiar em um determinado editor.

1. Selecione e clique com o botão direito na categoria de sua escolha (Regras Executáveis) → escolha Criar Nova Regra para iniciar a criação de uma nova regra.

2. Em seguida, clique em Avançar quando você vir a página Antes de Começar, pois é apenas uma página introdutória.

3. Na guia Permissões, escolha a opção Negar, que é a Ação que a regra irá tomar.

Garanta que você defina os usuários afetados por esta regra. Mas deixe Todos selecionados para este tutorial e clique em Avançar.

4. Agora, escolha entre três opções para criar uma regra (exceto aplicativo empacotado):

• Editor – Para um aplicativo que o editor de software assina.

• Caminho – Para um arquivo ou pasta específica.

• Hash do arquivo – Para um arquivo que não está assinado.

Mas neste tutorial, selecione a opção Editor e clique em Avançar.

Criar uma regra do AppLocker com a condição de Editor permite que você defina uma regra mais ou menos específica sobre um arquivo.

5. Configurar as condições do Editor da seguinte forma:

Escolher a opção Qualquer editor pode não ser uma decisão sábia. Alguns de seus aplicativos do mesmo editor podem não funcionar, então tenha cuidado ao escolher esta opção.

• Procure em seu computador local pelo arquivo para o qual você precisa criar uma regra de negação.

• Ajuste o controle deslizante de acordo com sua necessidade para selecionar quais propriedades definem a regra; pode ser tão detalhado quanto a versão do arquivo ou o editor.

Neste exemplo, a propriedade escolhida é a versão do arquivo do Google Chrome.

• Clique em Avançar para continuar definindo exceções para as condições da regra.

6. Neste ponto, clique em Avançar, pois não há necessidade de fazer exceções para a regra de negação.

7. Forneça um nome descritivo para a regra e clique em Criar para criar a regra com a condição de Editor.

8. Por fim, tente acessar aplicativos do editor para o qual você definiu a regra de negação. Se a regra de negação funcionar, você receberá a seguinte mensagem.

Independentemente da condição escolhida, você receberá a mesma mensagem abaixo ao iniciar um aplicativo negado na categoria Regras Executáveis.

Negação de Aplicativos via Condições de Caminho

Suponha que você confie em um editor, mas esteja cético sobre um de seus aplicativos. Se for o caso, sua melhor escolha é criar regras para negar aplicativos ou caminhos de pasta específicos.

1. Criar outra regra, seguindo os passos de um a quatro da seção “Negando Aplicativos via Condições do Publicador”.

Mas desta vez, escolha a condição de Caminho para um arquivo ou caminho de pasta específicos.

2. Na guia Caminho, escolha o arquivo ou caminho de pasta ao qual deseja aplicar a regra e clique em Avançar.

Por exemplo, se você deseja proibir usuários de abrir o Bloco de Notas, especifique ou navegue até o caminho completo do Bloco de Notas.

Observe que escolher uma pasta aplica a regra do AppLocker a todos os arquivos naquela pasta.

3. Pule a adição de exceções na guia Exceções e clique em Avançar.

4. Por fim, altere o Nome e a Descrição da regra e clique em Criar para finalizar a regra de negação.

Negando Aplicativos via Hash de Arquivo

Como você sabe, um aplicativo malicioso pode se disfarçar como uma de suas ferramentas diárias que controla o comportamento do seu sistema. Encontrar um aplicativo (não assinado ou de um publicador não verificado) pode causar estragos em sua máquina.

Como evitar a execução inadvertida desses aplicativos maliciosos? Além de ter um antivírus poderoso, criar regras para negar aplicativos via hash de arquivo é de grande ajuda.

1. Criar uma nova regra de negação e escolher a condição de Hash de Arquivo desta vez.

2. Em seguida, navegue, selecione o arquivo ou pasta que precisa configurar uma regra e clique em Avançar.

3. Por fim, altere o Nome e a Descrição (opcional) da regra de negação e clique em Criar para criar a nova regra de negação.

Implantando Regras do AppLocker do Windows 10 Usando um Objeto de Diretiva de Grupo (GPO)

Neste momento, você já sabe como negar aplicativos em seu computador. Mas e se você precisar aplicar regras do AppLocker a mais de um computador ou para uma organização? Usando uma GPO, você pode implantar regras do AppLocker em computadores no domínio de uma organização.

Relacionado:Descubra o que é a Política de Grupo e como ela funciona (em detalhes)

Criar uma GPO permite que você implante o AppLocker em vários computadores com Windows 10 simultaneamente, sem ter que fazer isso manualmente em cada computador.

Para criar uma GPO do AppLocker, você primeiro precisará criar uma OU:

Observe que é uma prática recomendada implantar inicialmente uma GPO em uma “unidade organizacional de teste” (OU) para evitar problemas na estrutura do seu AD.

1. Inicie o Active Directory Users and Computers, clique com o botão direito no seu domínio (painel esquerdo) → Novo → Unidade Organizacional para iniciar a adição de uma nova OU.

2. Em seguida, forneça um nome de sua preferência para a sua OU de teste. Mantenha a proteção contra exclusão acidental marcada e clique em OK para criar a nova OU.

3. Adicione um computador à sua OU de teste com o seguinte:

• Clique em Computadores (painel esquerdo) para acessar a lista de computadores disponíveis no seu controlador de domínio.

• Arraste e solte um computador para a sua OU de teste.

• Clique em Sim para continuar adicionando o computador selecionado à sua OU de teste quando receber a caixa de mensagem de aviso.

4. Agora, inicie o Gerenciamento de Política de Grupo, onde você criará uma GPO.

Expanda seu domínio (painel esquerdo) → clique com o botão direito na sua OU de teste → Crie uma GPO neste domínio e a vincule aqui… para iniciar a criação de uma GPO.

5. Nomeie a GPO como desejar e clique em OK para finalizar a criação da GPO.

6. Uma vez criada, clique com o botão direito na sua GPO do AppLocker, selecione “Aplicar” no menu de contexto e clique em OK na caixa de mensagem.

A alteração da configuração “Aplicar” para a GPO aplica as configurações da GPO ao objeto (um Sistema Local, Domínio, Site ou Unidade Organizacional).

7. Em seguida, clique com o botão direito na GPO do AppLocker e escolha Editar para abrir o Editor de Gerenciamento de Diretiva de Grupo.

8. Configure as propriedades da Identidade da Aplicação da seguinte forma:

• Sob Configuração do Computador, expanda Políticas → Configurações do Windows → Configurações de Segurança.

• Selecione Configurações do Sistema e clique duas vezes em Identidade da Aplicação para acessar suas propriedades.

• Marque a caixa Definir esta configuração de política e escolha Automático para configurar a Identidade da Aplicação para iniciar automaticamente na inicialização.

Iniciar automaticamente a Identidade da Aplicação é crucial, pois atua como um interruptor para o AppLocker funcionar.

• Clique em Aplicar e OK para salvar as alterações nas propriedades da Identidade da Aplicação.

9. Role para baixo e expanda Políticas de Controle de Aplicativos (painel esquerdo) → expanda AppLocker.

10. Agora, crie suas regras padrão do AppLocker replicando todas as etapas da Criando Regras Padrão do AppLocker.

11. Por último, siga os passos na seção Criando Regras de Negação do AppLocker para criar suas regras de negação.

Verificando a Identidade da Aplicação e o Status do GPO do AppLocker

Após implantar suas regras do AppLocker via GPO, verifique o status do AppIDSvc no computador que você adicionou à Unidade Organizacional de teste. Você também verificará se aplicou com sucesso seu GPO do AppLocker à Unidade Organizacional de teste.

1. Faça login no computador que você adicionou à Unidade Organizacional de teste.

2. Em seguida, execute o comando abaixo para verificar o status do AppIDSvc.

Get-Service AppIDSvc | select -Property Name, Status, StartType

3. Agora, execute o comando gpresult abaixo para verificar os GPOs aplicados

gpresult /r

Procure pelo GPO do AppLocker em Configurações do Computador, o que confirma que o GPO foi aplicado.

Relacionado:Como Verificar GPOs Aplicados com a Ferramenta GPResult

4. Por fim, teste suas regras de negação do AppLocker novamente. E se elas funcionarem, você verá uma caixa de mensagem semelhante à abaixo.

Ótimo trabalho! Você está agora pronto para replicar esses passos e implantar seu AppLocker em uma unidade organizacional ao vivo.

Conclusão

Seja uma aplicação, pacote ou script, o AppLocker permite controlar quais permitir ou negar alterações em seu sistema. E neste tutorial, você aprendeu como criar regras do AppLocker do Windows 10 para proteger seu sistema em um computador local e implantar essas regras em várias máquinas com um GPO.

Com esse conhecimento recém-adquirido, você considerará o AppLocker para proteger seu sistema contra ataques maliciosos?