Você está na página 1de 13

Bloqueando a instalação de softwares

com o AppLocker
Neste artigo, ensino como usar o AppLocker para fazer o bloqueio de
softwares indesejados em seu domínio.
Várias são as razões, para criarmos políticas de restrições de instalações de
softwares em seu domínio: Licenciamento, vírus, manutenção, padronizações
das estações e entre outras. Imagina um usuário em que não é do
suporte instalar um software, em que o mesmo precisava de licença e sua
empresa ser multada por isso? Dor de cabeça, no mínimo. É para isto que
apresento uma forma de minimizar a dor de cabeça: AppLocker. Com o uso
do mesmo, podemos restringir a instalação de softwares em várias
extensões(.exe, .msi ou script), como também, por fabricante, versão, caminho
de diretório e outras possibilidades.

Solução

Antes de aplicar a diretiva, iremos tentar instalar alguns softwares, por um


usuário do domínio em uma estação do domínio. Abaixo, temos uma usuária
no AD chamada diana.lima em que a mesma, não é membra de nenhum
grupo de administradores, conforme a figura.

Logada na estação cliente, iremos tentar instalar três softwares: Adobe


Reader, Google Chrome e WinRar.
O primeiro programa que iremos tentar é o Google Chrome:

Observamos que o mesmo retorno um erro de instalação, afirmando em que


precisa de privilégio de administrador para a instalação. Agora tentaremos
os dois outros programas: Adobe e WinRar.
Instalando o Adobe Acrobat Reader e Instalando o WinRar
Podemos observar que ambos foram instalados com um USUÁRIO DO
DOMÍNIO, conforme a figura abaixo.

Agora imagine: se com um teste de apenas três softwares, dois foram


instalados com um USUÁRIO DO DOMÍNIO, quantos outros não seriam
instalados?! Para tentarmos minimizar este problema, usaremos
o AppLocker.O AppLocker foi inserido no Windows Server 2008 e uma das
funções é promover a restrição de instalação de softwares.
Criando diretiva para bloqueio

1. Para testar a diretiva, criamos uma OU chamada OU-Teste e nela criamos


GPO chamada GPO_TesteAPPLock, conforme a figura abaixo.
Observação: A diretiva será aplicada somente nos computadores em que
estiverem dentro da OU-TESTE. Então depois de criá-la, mova algum
computador de teste para essa OU e depois teste a diretiva.

2. Com a diretiva criada, iremos configurá-la. Com o botão direito do mouse,


clique em Editar.
Depois de ter clicado em Editar, vá em: Configuração do Computador –>
Configuração do Windows –> Configuração de Segurança –> Política de
Controle de Aplicativo.

Agora iremos criar uma regra, para bloquear a instalação de programas


executáveis(formato .exe). Selecione Regras Executáveis, clique com o botão
direito do mouse em criar regra padrão.

Após ter clicado em Criar Regras Padrão, as regras serão criadas conforme
abaixo:
Observação importante: As regras padrões são criadas, para garantir que os
usuários possam executar os programas que estão já instalados na
estação e que os administradores possam instalar programas na
estação. Se acessarmos as propriedades de cada um, veremos que o que cada
regra faz. Não esqueça de criar as regras padrões, pois sem elas, podemos
bloquear a execução de todos os executáveis na estação!

3. Com as regras padrões criadas iremos fazer mais algumas configurações.


Com o botão direito do mouse, clique emAppLocker e
selecionepropriedades.
Será aberto uma interface em que pedirá para especificar as regras que serão
impostas. No caso, clique em Configurado na parte Regras
Executáveis. Você poderá escolher duas opções: Impor regras ou somente
auditória. Escolheremos Impor regras. Clique em Aplicar e depois Ok.
Observação: Escolhemos somente auditoria, se quiséssemos apenas auditar
os programas que poderiam ser bloqueados, caso tivesse no modo Impor
Regras. Ou seja, ao invés de bloquear de imediato a instalação do programa,
iria criar um log em que diria os programas que poderiam te sido bloqueados.

4. Nossa diretiva está quase toda configurada, falta só iniciar o serviço de


sistema chamado Identidade do Aplicativo. Temos que habilitá-lo para que
funcione a diretiva. Clique em Serviços do Sistema e procure pelo
serviçoIdentidade do Aplicativo.

Ao achar o serviço, acesse as propriedades com o botão


direito. SelecioneDefinir esta configuração de política e escolha omodo
automático. Clique emAplicar e Ok. Pronto! Tudo está configurado na nossa
diretiva.

4. Agora iremos no nosso AD e verificamos quais computadores estão


recebendo essa diretiva na OU-Teste(onde foi criada a diretiva). Conforme a
figura abaixo, somente a estação TI01 receberá.

5. Agora iremos abrir o CMD, e daremos o comando gpupdate /force para


aplicar as diretivas de imediato na estação.

Observação: Caso você aplique a diretiva e o usuário ainda consiga instalar,


tente reiniciar a estação de trabalho em que está recebendo a diretiva.

6. Com a diretiva feita, gpupdate /force feito ou computador reiniciado


iremos logar na estação com a usuária diana.lima e testaremos se a mesma,
ainda consegue instalar os programas.
Tentando instalar o Adobe Reader após ter feito as configurações

Tentando instalar o WinRar após ter feito as configurações.


Tentando instalar o Google Chrome após ter feito as configurações.

Algumas observações importantes, caso não funcione:


– Verifique se o serviço Identidade do Aplicativo, está ativo na estação em
que está recebendo a diretiva. (Para verificar, clique em CMD e depois
coloqueservices.msc e olha se subiu o serviço)
– Verifique se a estação em que está recebendo a diretiva, está realmente na
OU em que está sendo aplicada a configuração.
Outras observações importantes:
– Não esquecer de habilitar as regras padrões, para não bloquear a execução
de programas instalados.
– Criar uma OU-Teste e testar a diretiva para só depois ir para produção.

Autor
Nascido e residente de Fortaleza – CE, Diego Gouveia é graduado em
Análise de Sistemas e escreve para diversas comunidades técnicas.
Atualmente é técnico em Suporte e busca sempre aprender mais para
o seu crescimento profissional.

Este artigo também pode ser visto em:


https://diegogouveiace.wordpress.com/2016/06/25/bloqueando-a-
instalacao-de-softwares-com-o-applocker/