DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 324036 - Última revisão: segunda-feira, 1 de junho de 2009 - Revisão: 6.1

 

Nesta página

Sumário

Este artigo descreve como usar restrição de software diretivas no Windows Server 2003. Quando você usa as diretivas de restrição de software, você pode identificar e especificar o software que pode ser executado para que você pode proteger o ambiente do computador contra código não confiável. Quando você usa as diretivas de restrição de software, você pode definir um nível de segurança padrão de Irrestrito ou não permitido para um objeto de diretiva de grupo (GPO) para que o software é permitido ou não pode ser executado por padrão. Para criar exceções para este nível de segurança padrão, você pode criar regras para softwares específicos. Você pode criar os seguintes tipos de regras:
  • Regras de hash
  • Regras de certificado
  • Regras de caminho
  • Regras de zona da Internet
Uma diretiva é composta do nível de segurança padrão e todas as regras aplicadas a um GPO. Esta diretiva pode aplicar a todos os computadores ou a usuários individuais. As diretivas de restrição de software fornecem um número maneiras de identificar o software e fornecem uma infra-estrutura baseada em diretivas para impor decisões sobre se o software pode ser executado. Com as diretivas de restrição de software, os usuários devem seguir as diretrizes são configuradas pelos administradores quando eles executarem programas.

Com as diretivas de restrição de software, você pode executar as seguintes tarefas:
  • Controlar quais programas podem executar no computador. Por exemplo, você pode aplicar uma diretiva que não permita que certos tipos de arquivo sejam executados na pasta de anexo de email do seu programa de email se você estiver preocupado com os usuários receberem vírus por email.
  • Permitir que usuários executem somente determinados arquivos em computadores de vários usuários. Por exemplo, se você tiver vários usuários em seus computadores, você pode configurar diretivas de restrição de tal forma que os usuários não tem acesso a qualquer software, exceto para os arquivos específicos que eles devem usar para seu trabalho.
  • Decidir quem pode adicionar editores confiáveis ao computador.
  • Controlar se as diretivas de restrição de software afetam todos os usuários ou apenas determinados usuários em um computador.
  • Evitar que arquivos sejam executados em seu computador local, a unidade organizacional, seu site ou seu domínio. Por exemplo, se houver um vírus conhecido, você pode usar as diretivas de restrição de software para fazer o computador pare de abrir o arquivo que contém o vírus.

    importante : É recomendável que você não use as diretivas de restrição de software como um substituto para o software antivírus.

Como usar diretivas de restrição de software com AppLocker

Apesar de diretivas de restrição de software e AppLocker tiverem o mesmo objetivo, AppLocker é uma revisão completa das diretivas de restrição de software que são introduzidas no Windows 7 e no Windows Server 2008 R2. Você não pode usar AppLocker para gerenciar as configurações de diretiva de restrição de software. As regras de AppLocker são impostas somente em computadores que executam edições Enterprise e Ultimate do Windows 7 ou todas as edições do Windows Server 2008 R2, enquanto as regras de diretiva de restrição de software entram em vigor nos seguintes e anteriores versões.

Além disso, se AppLocker e as configurações de diretiva de restrição de software são configuradas no mesmo GPO, somente as configurações de AppLocker serão aplicadas nos computadores que estiverem executando o Windows 7 e Windows Server 2008 R2. Portanto, se você deve usar as diretivas de restrição de software e AppLocker na organização, é a prática recomendada para criar regras de AppLocker para computadores que podem usar a diretiva AppLocker e regras de diretiva de restrição de software para computadores que estão executando versões anteriores do Windows.

Para obter mais informações sobre como usar essas duas tecnologias de restrição de software, consulte o tópico AppLocker na biblioteca técnica do Microsoft TechNet:
http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx (http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx)

Como iniciar diretivas de restrição de software

Para o computador local somente

  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Diretiva de segurança local .
  2. Na árvore de console, expanda Configurações de segurança e, em seguida, expanda Diretivas de restrição de software .

Para um domínio, um site ou uma unidade organizacional em um servidor membro ou uma estação de trabalho que ingressou em um domínio

  1. Abra o Microsoft Management Console (MMC). Para fazer isso, clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. No menu arquivo , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
  3. Clique em Editor de objeto de diretiva de grupo e, em seguida, clique em Adicionar .
  4. Em Selecionar objeto de diretiva de grupo , clique em Procurar .
  5. Em Procurar um objeto de diretiva de grupo , selecione um objeto de diretiva de grupo (GPO) no domínio apropriado, site ou unidade organizacional e clique em Concluir .

    Como alternativa, você pode criar um novo GPO e, em seguida, clique em Concluir .
  6. Clique em Fechar e, em seguida, clique em OK .
  7. Na árvore de console, vá para o seguinte local:
    Configuração de diretiva de computador do grupo diretiva objeto Computer_name ou usuário/configuração/Windows Settings/Security Settings/Software Restriction Policies

Para uma unidade organizacional ou um domínio em um controlador de domínio ou uma estação de trabalho com o pacote de ferramentas administrativas instalado

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em Active Directory Users and Computers .
  2. Na árvore de console, clique com o botão direito do mouse no domínio ou unidade organizacional que você deseja definir a diretiva de grupo.
  3. Clique em Propriedades e clique em guia Diretiva de grupo .
  4. Clique em uma entrada em Group Policy Object Links para selecionar um GPO existente e, em seguida, clique em Editar .

    Como alternativa, clique em novo para criar um novo GPO e, em seguida, clique em Editar .
  5. Na árvore de console, vá para o seguinte local:
    Configuração de diretiva de computador do grupo diretiva objeto Computer_name ou usuário Configuration/Windows Settings/Security Settings/Software Restriction Policies

Para o site e em um controlador de domínio ou uma estação de trabalho que com o pacote de ferramentas administrativas instalado

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em Serviços e sites do Active Directory .
  2. Na árvore de console, clique com o botão direito do mouse o site que você deseja definir a diretiva de grupo:
    • Serviços [Domain_Controller_Name e sites do Active Directory. Domain_Name]
    • Sites
    • Site

  3. Clique em Propriedades e clique em guia Diretiva de grupo .
  4. Clique em uma entrada em Group Policy Object Links para selecionar um objeto existente de diretiva de grupo (GPO) e, em seguida, clique em Editar .

    Como alternativa, clique em novo para criar um novo GPO e, em seguida, clique em Editar .
  5. Na árvore de console, vá para o seguinte local:
    Configuração de diretiva de computador do grupo diretiva objeto Computer_name ou usuário Configuration/Windows Settings/Security Settings/Software Restriction Policies
    importante : clique em Configuração do usuário para definir diretivas que serão aplicadas a usuários, independentemente do computador no qual eles fazem logon. Clique em Configuração do computador para definir diretivas que serão aplicadas a computadores, independentemente dos usuários que fizerem logon a eles.

    Você também pode aplicar as diretivas de restrição de software a usuários específicos quando efetuam logon computador específico usando uma configuração de diretiva de grupo avançada chamada auto-retorno.

Como evitar que diretivas de restrição de software aplicando a administradores locais

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. No painel de detalhes, clique duas vezes em imposição .
  4. Em Aplicar diretivas de restrição de software para os seguintes usuários , clique em todos os usuários, exceto administradores locais .
anotações :
  • Talvez seja necessário criar uma nova configuração de diretiva de restrição de software para esse GPO se você ainda não tiver feito isso.
  • Normalmente, os usuários são membros do grupo administrador local em seus computadores em sua organização; portanto, não convém ativar esta configuração. As diretivas de restrição de software não se aplicam a quaisquer usuários que são membros do seu grupo de administrador local.
  • Se você estiver definindo as configurações de diretiva de restrição de software para o computador local, use este procedimento para impedir que administradores locais com as diretivas de restrição de software aplicadas a eles. Se você estiver definindo as configurações de diretiva de restrição de software para a sua rede, filtre as configurações de diretiva do usuário com base na participação em grupos de segurança usando diretiva de grupo.

Como criar uma regra de certificado

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse Regras adicionais e, em seguida, clique em Nova regra de certificado .
  4. Clique em Procurar e, em seguida, selecione um certificado.
  5. Selecione um nível de segurança.
  6. Na caixa Descrição , digite uma descrição para esta regra e, em seguida, clique em OK .
anotações :
  • Para obter informações sobre como iniciar as diretivas de restrição de software no MMC, consulte "Iniciar diretivas de restrição" em Tópicos relacionados no arquivo de Ajuda do Windows Server 2003 do.
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Por padrão, as regras de certificado não estão ativadas. Para ativar as regras de certificado:
    1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
    2. Localize e, em seguida, clique na seguinte chave do Registro:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. No painel de detalhes, clique duas vezes em AuthenticodeEnabled e, em seguida, altere os dados do valor de 0 para 1.
  • Os únicos tipos arquivo afetados pelas regras de certificado são listados em tipos de arquivo designados . Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
  • Para diretivas de restrição de software sejam efetivadas, os usuários devem atualizar as configurações de diretiva fazendo logoff de e, em seguida, fazer logon em seus computadores.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de hash

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse Regras adicionais e, em seguida, clique em Nova regra de hash .
  4. Clique em Procurar para localizar um arquivo ou cole um hash pré-calculado na caixa hash do arquivo .
  5. Na caixa nível de segurança , clique em não permitido ou Irrestrito .
  6. Na caixa Descrição , digite uma descrição para esta regra e, em seguida, clique em OK .
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Você pode criar uma regra de hash para um vírus ou cavalo de Tróia para evitar que o software mal-intencionado seja executado.
  • Se desejar que os outros usuários usar uma regra de hash para que um vírus não pode ser executado, calculam o hash do vírus usando as diretivas de restrição de software e email, em seguida, o valor de hash para outros usuários. O vírus de email nunca propriamente dito.
  • Se um vírus tiver sido enviado por email, você também pode criar uma regra de caminho para evitar que os usuários executem anexos de email.
  • Um arquivo que é renomeado ou movido para outra resultados de pasta ainda o mesmo hash.
  • Qualquer alteração para um arquivo resulta em um hash diferente.
  • Os somente tipos de arquivo afetados pelas regras de hash são listados em tipos de arquivo designados . Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
  • Para diretivas de restrição de software sejam efetivadas, os usuários devem atualizar as configurações de diretiva fazendo logoff de e, em seguida, fazer logon em seus computadores.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de zona da Internet

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. Na árvore de console, clique em Diretivas de restrição de software .
  4. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse Regras adicionais e clique em Nova regra de zona da Internet .
  5. Na zona da Internet , clique em uma zona da Internet.
  6. Na caixa Nível de segurança , clique em não permitido ou Irrestrito e, em seguida, clique em OK .
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Regras de zona se aplicam a apenas pacotes do Windows Installer.
  • Os únicos tipos arquivo afetados pelas regras de zona são listados em tipos de arquivo designados . Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
  • Para diretivas de restrição de software sejam efetivadas, os usuários devem atualizar as configurações de diretiva fazendo logoff de e, em seguida, fazer logon em seus computadores.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de caminho

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse Regras adicionais e, em seguida, clique em Nova regra de caminho .
  4. Na caixa caminho , digite um caminho ou clique em Procurar para localizar um arquivo ou pasta.
  5. Na caixa nível de segurança , clique em não permitido ou Irrestrito .
  6. Na caixa Descrição , digite uma descrição para esta regra e, em seguida, clique em OK .

    importante : em determinadas pastas, como a pasta Windows, configurando o nível de segurança como não permitido pode afetar negativamente a operação do seu sistema operacional. Certifique-se de que você não impedir um componente crucial do sistema operacional ou um dos seus programas dependentes.
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Se você criar uma regra de caminho para um programa com um nível de segurança não permitido , um usuário ainda pode executar o software copiando-o para outro local.
  • Os caracteres curinga que são suportados pela regra de caminho são o asterisco e o ponto de interrogação (?).
  • Você pode usar variáveis de ambiente, como % programfiles % ou % systemroot %, na sua regra de caminho.
  • Para criar uma regra de caminho para o software quando você não souber onde está armazenado em um computador mas você tem a chave do Registro, você pode criar uma regra de caminho do Registro.
  • Para impedir que os usuários executem anexos de email, você pode criar uma regra de caminho para a pasta de anexos do programa de email que impede que os usuários executem anexos de email.
  • Os únicos tipos arquivo afetados pelas regras de caminho são listados em tipos de arquivo designados . Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
  • Para diretivas de restrição de software sejam efetivadas, os usuários devem atualizar as configurações de diretiva fazendo logoff de e, em seguida, fazer logon em seus computadores.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como criar uma regra de caminho do registro

  1. Clique em Iniciar , clique em Executar , digite regedit e, em seguida, clique em OK .
  2. Na árvore de console, clique com o botão direito na chave do registro que você deseja criar uma regra para e clique em Copiar nome da chave .
  3. Observe o valor nome no painel de detalhes.
  4. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  5. Abrir diretivas de restrição de software.
  6. Na árvore de console ou no painel de detalhes, clique com o botão direito do mouse Regras adicionais e, em seguida, clique em Nova regra de caminho .
  7. Em caminho , cole o nome da chave do Registro e o nome do valor.
  8. Coloque o caminho do registro entre sinais de porcentagem (%), por exemplo:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Na caixa nível de segurança , clique em não permitido ou Irrestrito .
  10. Na caixa Descrição , digite uma descrição para esta regra e, em seguida, clique em OK .
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Você deve ser um membro do grupo Administradores para executar este procedimento.
  • Formate o caminho do registro da seguinte maneira:
    % Registry Hive \ Registry Key Name \ Value Name %
  • Você deve escrever o nome da seção do Registro; você não pode usar abreviações. Por exemplo, você não pode substituída HKCU para HKEY_CURRENT_USER .
  • A regra de caminho do Registro pode conter um sufixo após o fechamento sinal de porcentagem (%%). Não use uma barra invertida (\) no sufixo. Por exemplo, você pode usar a seguinte regra de caminho do Registro:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Os únicos tipos arquivo afetados pelas regras de caminho são listados em tipos de arquivo designados . Há uma lista de tipos de arquivo designados que é compartilhada por todas as regras.
  • Para diretivas de restrição de software sejam efetivadas, os usuários devem atualizar as configurações de diretiva fazendo logoff de e, em seguida, fazer logon em seus computadores.
  • Quando mais de uma regra é aplicada às configurações de diretiva, há uma precedência de regras para tratar os conflitos.

Como adicionar ou excluir um tipo de arquivo designados

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. No painel de detalhes, clique duas vezes em Tipos de arquivo designados .
  4. Execute uma das seguintes etapas conforme apropriado:
    • Para adicionar um tipo de arquivo, digite a extensão de nome de arquivo na caixa extensão de arquivo e, em seguida, clique em Adicionar .
    • Para excluir um tipo de arquivo, clique no tipo de arquivo na caixa tipos de arquivo designados e, em seguida, clique em Remover .
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Lista de tipos de arquivo designados é compartilhada por todas as regras para cada configuração. Lista de tipos de arquivo designados para configurações de diretiva de computador é diferente da lista de tipos de arquivo designados para configurações de diretiva de usuário.

Como alterar o nível de segurança de Software Restriction Policies padrão

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. No painel de detalhes, clique duas vezes em Níveis de segurança .
  4. Clique com o botão direito no nível de segurança que você deseja definir como padrão e, em seguida, clique em Definir como padrão .

    cuidado : em determinadas pastas, se você definir o nível de segurança padrão como não permitido , você pode afetar adversamente o sistema operacional.
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • No painel de detalhes, o nível de segurança padrão atual é indicado por um círculo preto com uma marca de seleção. Se você clicar com o botão direito do mouse o nível de segurança padrão atual, o comando Definir como padrão não aparece no menu.
  • As regras são criadas para especificar exceções para o nível de segurança padrão. Quando o nível de segurança padrão é definido como Irrestrito , as regras especificar o software que não é permitido para executar. Quando o nível de segurança padrão é definido como não permitido , as regras especificar o software que pode ser executado.
  • Se você alterar o nível padrão, você afeta todos os arquivos nos computadores que possuem diretivas de restrição de software aplicadas a eles.
  • Na instalação, o nível de segurança padrão das diretivas de restrição software em todos os arquivos no computador de é definido como Irrestrito .

Como definir opções do editor confiável

  1. Clique em Iniciar , clique em Executar , digite mmc e, em seguida, clique em OK .
  2. Abrir diretivas de restrição de software.
  3. Clique duas vezes em editores confiáveis .
  4. Clique nos usuários que você deseja decidir quais certificados serão confiáveis e, em seguida, clique em OK .
anotações :
  • Talvez você precise criar restrição de software novas configurações de diretiva para este GPO se você ainda não tiver feito isso.
  • Você pode selecionar quem pode adicionar editores confiáveis, os usuários, administradores ou administradores de empresa. Por exemplo, você pode usar essa ferramenta para impedir que os usuários façam decisões de confiança sobre editores de controles ActiveX.
  • Os administradores do computador local têm o direito de especificar editores confiáveis no computador local, mas os administradores de empresa tem o direito de especificar editores confiáveis no nível da unidade organizacional.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
Palavras-chave: 
kbmt kbmgmtservices kbhowto kbhowtomaster KB324036 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 324036  (http://support.microsoft.com/kb/324036/en-us/ )
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store