Como bloquear instalação de programas com o AppLocker

O Windows Server, por padrão, não consegue fazer uma auditoria completa sobre tudo que é instalado nos terminais. O sistema não consegue bloquear todas as tentativas de instalação de softwares. Neste tutorial, veja como bloquear instalação de programas com o AppLocker.

Para contornar esse problema, utilizamos o AppLocker aplicado via GPO:

1. Acesse o Gerenciamento de Política de Grupo, clique com o botão direito do mouse sobre o nome da Unidade Organizacional desejada ou no nome do domínio e selecione a opção Criar um GPO neste domínio e fornecer um link para ele aqui…. Dê um nome sugestivo a GPO e, após a criação, clique com o botão direito do mouse sobre a GPO criada e selecione a opção Editar…;

2. Acesse Configurações do Computador → Políticas → Configurações do Windows → Configurações de segurança → Política de Controle de Aplicativo → AppLocker. Clique com o botão direito do mouse sobre AppLocker e selecione a opção Propriedades:

Marque todas as opções e selecione Impor regras. Caso escolha Somente auditoria será feito apenas o registro das instalações sem bloqueá-las;

3. Expanda a opção AppLocker, clique com o botão direito do mouse sobre Regras Executáveis e selecione Criar Regras Padrão. Repita esse procedimento para todas as opções expandidas.

Para criar uma regra específica, clique com o botão direito do mouse sobre o espaço em branco e selecione a opção Criar Nova Regra…. Por exemplo, podemos negar o acesso ao Prompt de comando para todos os usuários de uma Unidade Organizacional específica configurando uma regra desta forma:

É possível bloquear softwares por fornecedor (ex. Adobe, HP, Microsoft etc), caminho (diretório) ou Hash do arquivo (configurações do software). O problema com o tipo de bloqueio “Hash do arquivo” é que versões posteriores do mesmo software não serão bloqueados.

No exemplo abaixo foi bloqueado o programa Prompt de comando do Windows. Os níveis de bloqueio são definidos ao rolar o marcador azul. Deixando o marcador na última posição será bloqueada apenas a versão especificada do programa. Se subir um nível o bloqueio será aplicado ao programa, independente da versão. Se subir mais um nível bloqueia a instalação de produtos da Microsoft e o primeiro nível bloqueia tudo da empresa:

Para fazer o bloqueio por Hash selecione a opção “Hash do arquivo” e procure pelo arquivo.

Os procedimentos acima não terão efeito até habilitar a identidade do aplicativo. Para isso acesse Configurações do Computador → Políticas → Configurações do Windows → Configurações de segurança → Serviços do sistema e procure pelo ítem Identidade do Aplicativo. Dê um duplo clique sobre a opção e marque as opções Definir esta configuração de política e Automático:

Após criar a GPO, clique com o botão direto do mouse sobre ela e selecione a opção Imposto. Aplique as configurações através do comando gpupdate /force.

Instalação e configuração do Web Server no Windows Server

Dúvidas ou sugestões? Deixem nos comentários! Para mais dicas, acesse o nosso canal no YouTube:
https://youtube.com/criandobits

Tags: windows server

O seu computador está lento, travando ou dando tela azul… e você não faz ideia do que fazer?

Saiba que isso pode estar te fazendo perder dinheiro — seja com manutenção cara ou oportunidades que você está deixando passar.

Com o Super Técnico 2.0, você aprende na prática como diagnosticar defeitos, montar computadores do zero e fazer upgrades que realmente aumentam o desempenho, mesmo que você esteja começando do absoluto zero.

Você pode usar esse conhecimento para:

✔ Resolver seus próprios problemas sem depender de ninguém
✔ Ganhar dinheiro com manutenção e suporte técnico
✔ Ou até entrar de vez no mercado de TI

Tudo com aulas diretas ao ponto, sem enrolação e focadas no que realmente funciona no dia a dia.

👉 CLIQUE AQUI AGORA e veja todos os detalhes antes que essa oportunidade passe: