Neste artigo, vou demonstrar como trabalhar com diretivas de restrição de softwares.
Quando você trabalha em um ambiente corporativo, o administrador da rede muitas vezes precisa restringir os usuários a instalarem e executarem softwares e scripts, acessarem determinados diretórios e até restringirem acessos a bibliotecas DLL.
Para poder fazer isso, o administrador pode contar com duas tecnologias: Diretivas de Restrição de Software (Group Policy Editor) e o Applocker.
Imagem via Shutterstock
As diretivas de restrição de software estão presentes desde o Windows XP. Já o Applocker, que será tratado no próximo artigo, é mais recente, surgindo a partir do Windows 7, porém, só está disponível nas versões Ultimate e Enterprise. No Windows 8 o Applocker está presente somente na versão Enterprise.
Para acessarmos a restrição de software, vamos no menu iniciar do Windows 7 e no campo referente a consulta digitaremos gpedit.msc e depois clicaremos em <enter>.
Abrirá a janela do Editor de Diretiva de Grupo Local.
Agora iremos expandir (+) a opção Configuração do Computador situado na coluna da esquerda. Depois expandiremos com o sinal de (+) a opção Configurações do Windows, depois expandiremos a opção Diretivas de restrição de software e então clicaremos em Regras adicionais. Resumindo o caminho ficará assim: Configuração do computador > Configurações do Windows > Diretivas de restrição de software > Regras Adicionais.
Dentro de Regras adicionais, na coluna à direita, iremos clicar com o botão direito do mouse. Reparem que aparecerá no menu quatro opções de regras. Por ordem de mais específica (eficaz) para a mais genérica (menos eficaz) ficaria assim:
– Regra de Hash: identificará o aplicativo através de seu código binário. Segundo o site da Microsoft seria como identificação por impressão digital. Não importando onde está localizado dentro do computador, irá restringir ou permitir a execução deste aplicativo.
– Regra de Certificado: identifca o splicativo através do certificado do fornecedor sendo assim tão segura como a Regra de Hash. É bom tomar cuidade com esta regra pois se você utiliza outros softwares assinados digitalmente pelo mesmo fornecedor, irá aplicar esta regra a todos os seus softwares. Caso possua outros softwares, use outra regra.
– Regra de Zona de Rede: se refere apenas a execução de aplicativos com extensão .msi do Windows installer. Não é aplicada para outras extensões.
– Regra de Caminho: esta regra é a menos específica. Você pode aplicar esta regra a um executável ou diretório para restringir acesso. No entanto, supondo que eu altere o caminho deste executável ou diretório, o software será executado sem restrições, pois estou executando o aplicativo que copiei para outro diretório.
Em nosso exemplo aqui, iremos utilizar a Regra de Hash para restringir acesso a um determinado software.
Clicando em Regra de Hash aparecerá a janela a seguir. Como exemplo, iremos restringir a execução do navegador Google Chrome. Para isso iremos clicar em Procurar.
Iremos entrar no diretório referente ao executável do Google Chrome e selecionaremos o seu executável, que no caso aqui é o chrome.exe, e então clicaremos em Abrir. Não aparece a extensão aqui devido as configurações de exibição das pastas.
Reparem na imagem a seguir que aparecerão todas as informações referente ao aplicativo. A única desvantagem que percebo nesta regra é que ela se aplica somente a versão do software que está instalada no momento. Se o software sofrer uma atualização, deverá refazer esta regra novamente.
Na opção de Nível de Segurança, poderemos deixar sem restrição, execução apenas como Usuário básico ou não permitindo a sua execução que é o que iremos utilizar aqui e depois clicaremos em OK.
A nova regra criada aparecerá entre as demais, mostrando também que tipo de regra está aplicada e qual o seu nível de segurança.
Para as novas regras funcionarem, será necessário reiniciar o Windows ou fazer o logoff do usuário e logá-lo novamente.
Ao executar o software, aparecerá a imagem abaixo identificando que o software está bloqueado para a sua execução. Como estamos usando a Regra de Hash, poderemos estar copiando o diretório para outro local que mesmo assim estará loqueada.
Lembrando que se usarmos a Regra de Caminho, ao copiar o diretório para outro local e entrar neste diretório e executar o software, ele funcionará sem problemas.
Como mencionado anteriormente, o próximo artigo será a respeito da restrição de software através do Applocker.
Espero ter ajudado a quem necessite e até a próxima.
6 Comentários
Luciano,
Em se tratando de GPO, não é necessário reiniciar o Windows ou fazer logoff após alguma alteração.
Apenas abra um prompt de comando e digite: gpupdate /force
Obrigado Vandrey pela colaboração.
Ajudas são sempre bem vindas.
Gostaria de saber se tem como usar esta regra para dar permissão de Administrador a execução de um software específico. Tem alguns aplicativos que só executam em modo administrador, e um usuário comum não consegue executá-lo. Alguém tem alguma dica?
No caso você precisa dar permissão na aplicação e na pasta da aplicação. Ou pode executar o comando runas direto na aplicação, infelizmente acredito que não seja possível executar tal configuração via GPO.
Segue link de um amigo explicando sobre o comando runas: http://www.cooperati.com.br/2013/03/01/executando-programas-com-credenciais-de-administrador/
Consigo criar uma regra para Remover apenas o tray icon do Google Drive?
Grato pela atenção
Obrigado pelos comentários.
Então Eduardo. Se você bloquear o gdrive acredito que não será executado na inicialização. Caso continue aparecendo no tray terá que alterar a configuração no próprio aplicativo do gdrive.