Windows Server

Como bloquear instalação de programas com o AppLocker

Benedito Silva Júnior Benedito Silva Júnior 11/01/2022

O Windows Server, por padrão, não consegue fazer uma auditoria completa sobre tudo que é instalado nos terminais. O sistema não consegue bloquear todas as tentativas de instalação de softwares. Neste tutorial, veja como bloquear instalação de programas com o AppLocker.

Para contornar esse problema, utilizamos o AppLocker aplicado via GPO:

1. Acesse o Gerenciamento de Política de Grupo, clique com o botão direito do mouse sobre o nome da Unidade Organizacional desejada ou no nome do domínio e selecione a opção Criar um GPO neste domínio e fornecer um link para ele aqui…. Dê um nome sugestivo a GPO e, após a criação, clique com o botão direito do mouse sobre a GPO criada e selecione a opção Editar…;

2. Acesse Configurações do Computador → Políticas → Configurações do Windows → Configurações de segurança → Política de Controle de Aplicativo → AppLocker. Clique com o botão direito do mouse sobre AppLocker e selecione a opção Propriedades:

gerenciamento de políticas de grupo

Marque todas as opções e selecione Impor regras. Caso escolha Somente auditoria será feito apenas o registro das instalações sem bloqueá-las;

3. Expanda a opção AppLocker, clique com o botão direito do mouse sobre Regras Executáveis e selecione Criar Regras Padrão. Repita esse procedimento para todas as opções expandidas.

Para criar uma regra específica, clique com o botão direito do mouse sobre o espaço em branco e selecione a opção Criar Nova Regra…. Por exemplo, podemos negar o acesso ao Prompt de comando para todos os usuários de uma Unidade Organizacional específica configurando uma regra desta forma:

regras executáveis

É possível bloquear softwares por fornecedor (ex. Adobe, HP, Microsoft etc), caminho (diretório) ou Hash do arquivo (configurações do software). O problema com o tipo de bloqueio “Hash do arquivo” é que versões posteriores do mesmo software não serão bloqueados.

No exemplo abaixo foi bloqueado o programa Prompt de comando do Windows. Os níveis de bloqueio são definidos ao rolar o marcador azul. Deixando o marcador na última posição será bloqueada apenas a versão especificada do programa. Se subir um nível o bloqueio será aplicado ao programa, independente da versão. Se subir mais um nível bloqueia a instalação de produtos da Microsoft e o primeiro nível bloqueia tudo da empresa:

regras executáveis

Para fazer o bloqueio por Hash selecione a opção “Hash do arquivo” e procure pelo arquivo.

Os procedimentos acima não terão efeito até habilitar a identidade do aplicativo. Para isso acesse Configurações do Computador → Políticas → Configurações do Windows → Configurações de segurança → Serviços do sistema e procure pelo ítem Identidade do Aplicativo. Dê um duplo clique sobre a opção e marque as opções Definir esta configuração de política e Automático:

editor de gerenciamento de políticas de grupo

Após criar a GPO, clique com o botão direto do mouse sobre ela e selecione a opção Imposto. Aplique as configurações através do comando gpupdate /force.

Instalação e configuração do Web Server no Windows Server

Dúvidas ou sugestões? Deixem nos comentários! Para mais dicas, acesse o nosso canal no YouTube:
https://youtube.com/criandobits

Tags:

Seu computador está lento, travando ou dando tela azul? E toda vez que isso acontece você precisa gastar dinheiro com assistência técnica?

A verdade é que continuar sem esse conhecimento pode estar custando muito mais do que você imagina.

Você pode economizar centenas ou até milhares de reais ao longo do tempo fazendo você mesmo a manutenção dos seus computadores. E, se decidir prestar serviços, esse conhecimento também pode se transformar em uma fonte de renda, que pode variar de R$2.000 a R$5.000 por mês ou mais.

Tudo isso com aulas práticas, objetivas e focadas no que realmente funciona, sem enrolação:

✔ Resolver seus próprios problemas sem depender de ninguém
✔ Ganhar dinheiro com manutenção e suporte técnico
✔ Ou até entrar de vez no mercado de TI

A decisão é sua: continuar gastando dinheiro sempre que o computador apresentar um problema ou aprender uma habilidade que pode fazer você economizar e até gerar uma nova fonte de renda.

👉 CLIQUE AQUI AGORA e veja todos os detalhes antes que essa oportunidade passe:

Super Técnico 2.0

Artigos Relacionados

O Windows não pôde ser inicializado corretamente? O Windows não pôde ser inicializado corretamente?
Diferenças entre domínio e grupo de trabalho Diferenças entre domínio e grupo de trabalho
Como instalar o Windows 11 sem TPM 2.0 e mínimo de RAM Como instalar o Windows 11 sem TPM 2.0 e mínimo de RAM
Como descobrir quem está logado e forçar logout no Windows Server Como descobrir quem está logado e forçar logout no Windows Server

Sobre o Autor

Benedito Silva Júnior
Benedito Silva Júnior

Bacharel em Sistemas de Informação e apaixonado por tecnologias e games do tempo da vovó!

0 Comentários

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *