Trabalhando com as diretivas de restrição de softwares

Neste artigo, vou demonstrar como trabalhar com diretivas de restrição de softwares.

Quando você trabalha em um ambiente corporativo, o administrador da rede muitas vezes precisa restringir os usuários a instalarem e executarem softwares e scripts, acessarem determinados diretórios e até restringirem acessos a bibliotecas DLL.

Para poder fazer isso, o administrador pode contar com duas tecnologias: Diretivas de Restrição de Software (Group Policy Editor) e o Applocker.

Imagem via Shutterstock

Imagem via Shutterstock

As diretivas de restrição de software estão presentes desde o Windows XP. Já o Applocker, que será tratado no próximo artigo, é mais recente, surgindo a partir do Windows 7, porém, só está disponível nas versões Ultimate e Enterprise. No Windows 8 o Applocker está presente somente na versão Enterprise.

Para acessarmos a restrição de software, vamos no menu iniciar do Windows 7 e no campo referente a consulta digitaremos gpedit.msc e depois clicaremos em <enter>.

gpo1

Abrirá a janela do Editor de Diretiva de Grupo Local.

gpo2

Agora iremos expandir (+) a opção Configuração do Computador situado na coluna da esquerda. Depois expandiremos com o sinal de (+) a opção Configurações do Windows, depois expandiremos a opção Diretivas de restrição de software e então clicaremos em Regras adicionais. Resumindo o caminho ficará assim: Configuração do computador > Configurações do Windows > Diretivas de restrição de software > Regras Adicionais.

Dentro de Regras adicionais, na coluna à direita, iremos clicar com o botão direito do mouse. Reparem que aparecerá no menu quatro opções de regras. Por ordem de mais específica (eficaz) para a mais genérica (menos eficaz) ficaria assim:

Regra de Hash: identificará o aplicativo através de seu código binário. Segundo o site da Microsoft seria como identificação por impressão digital. Não importando onde está localizado dentro do computador, irá restringir ou permitir a execução deste aplicativo.

Regra de Certificado: identifca o splicativo através do certificado do fornecedor sendo assim tão segura como a Regra de Hash. É bom tomar cuidade com esta regra pois se você utiliza outros softwares assinados digitalmente pelo mesmo fornecedor, irá aplicar esta regra a todos os seus softwares. Caso possua outros softwares, use outra regra.

Regra de Zona de Rede: se refere apenas a execução de aplicativos com extensão .msi do Windows installer. Não é aplicada para outras extensões.

Regra de Caminho: esta regra é a menos específica. Você pode aplicar esta regra a um executável ou diretório para restringir acesso. No entanto, supondo que eu altere o caminho deste executável ou diretório, o software será executado sem restrições, pois estou executando o aplicativo que copiei para outro diretório.

Em nosso exemplo aqui, iremos utilizar a Regra de Hash para restringir acesso a um determinado software.

gpo4

Clicando em Regra de Hash aparecerá a janela a seguir. Como exemplo, iremos restringir a execução do navegador Google Chrome. Para isso iremos clicar em Procurar.

gpo5

Iremos entrar no diretório referente ao executável do Google Chrome e selecionaremos o seu executável, que no caso aqui é o chrome.exe, e então clicaremos em Abrir. Não aparece a extensão aqui devido as configurações de exibição das pastas.

gpo6

Reparem na imagem a seguir que aparecerão todas as informações referente ao aplicativo. A única desvantagem que percebo nesta regra é que ela se aplica somente a versão do software que está instalada no momento. Se o software sofrer uma atualização, deverá refazer esta regra novamente.

gpo7

Na opção de Nível de Segurança, poderemos deixar sem restrição, execução apenas como Usuário básico ou não permitindo a sua execução que é o que iremos utilizar aqui e depois clicaremos em OK.

gpo8

A nova regra criada aparecerá entre as demais, mostrando também que tipo de regra está aplicada e qual o seu nível de segurança.

gpo9

Para as novas regras funcionarem, será necessário reiniciar o Windows ou fazer o logoff do usuário e logá-lo novamente.

Ao executar o software, aparecerá a imagem abaixo identificando que o software está bloqueado para a sua execução. Como estamos usando a Regra de Hash, poderemos estar copiando o diretório para outro local que mesmo assim estará loqueada.

Lembrando que se usarmos a Regra de Caminho, ao copiar o diretório para outro local e entrar neste diretório e executar o software, ele funcionará sem problemas.

gpo10

Como mencionado anteriormente, o próximo artigo será a respeito da restrição de software através do Applocker.

Espero ter ajudado a quem necessite e até a próxima.

Luciano Gusso

Mais artigos deste autor »

Formado em Analise e Desenvolvimento de Sistemas, com MBA em Gestão de Projetos.
Trabalhando há mais de 20 anos na área de TI, prestando suporte técnico e consultoria à empresas e usuários finais.


6 Comentários

Vandrey Trindade
1

Luciano,
Em se tratando de GPO, não é necessário reiniciar o Windows ou fazer logoff após alguma alteração.
Apenas abra um prompt de comando e digite: gpupdate /force

Claudio José Estácio
3

Gostaria de saber se tem como usar esta regra para dar permissão de Administrador a execução de um software específico. Tem alguns aplicativos que só executam em modo administrador, e um usuário comum não consegue executá-lo. Alguém tem alguma dica?

Luciano Gusso
6

Obrigado pelos comentários.
Então Eduardo. Se você bloquear o gdrive acredito que não será executado na inicialização. Caso continue aparecendo no tray terá que alterar a configuração no próprio aplicativo do gdrive.

Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!