DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 324036 - Última revisão: segunda-feira, 1 de Junho de 2009 - Revisão: 6.1

 

Nesta página

Sumário

Este artigo descreve como utilizar a restrição de software políticas no Windows Server 2003. Quando utilizar as políticas de restrição de software, pode identificar e especificar o software que é permitido a execução para que pode proteger o ambiente do computador de código não fidedigno. Quando utilizar as políticas de restrição de software, pode definir um nível de segurança predefinido de sem restrições ou não permitido para um objecto de política de grupo (GPO, Group Policy Object) para que o software é permitido ou não podem ser executadas por predefinição. Para criar excepções a este nível de segurança predefinido, pode criar regras para software específico. Pode criar os seguintes tipos de regras:
  • Regras hash
  • Regras de certificados
  • Regras de caminho
  • Regras de zona da Internet
Uma política é constituída por nível de segurança predefinido e todas as regras aplicadas a um GPO, Group Policy Object. Esta política pode ser aplicada a todos os computadores ou a utilizadores individuais. As políticas de restrição de software fornecem várias formas de identificar software e fornecem uma infra-estrutura baseada em políticas para aplicar decisões sobre se o software pode ser executado. Com as políticas de restrição de software, os utilizadores tem de seguir as directrizes configuradas pelos administradores quando executam programas.

Com políticas de restrição de software, pode executar as seguintes tarefas:
  • Controlo que podem executar programas no computador. Por exemplo, pode aplicar uma política que não permita que determinados tipos de ficheiro ser executada na pasta do programa de correio electrónico anexo de correio electrónico se estiver preocupado com os utilizadores receber vírus por correio electrónico.
  • Permitir aos utilizadores executar apenas ficheiros específicos em vários computadores. Por exemplo, se tiver vários utilizadores nos computadores, pode definir políticas de restrição de software de tal forma que os utilizadores não não têm acesso para qualquer software, excepto para os ficheiros específicos que têm de utilizar para o respectivo trabalho.
  • Decida quem pode adicionar fabricantes fidedignos ao computador.
  • Controlar se as políticas de restrição de software afectam todos os utilizadores ou apenas determinados utilizadores num computador.
  • Impedir a execução no computador local, a unidade organizacional, o site ou o domínio quaisquer ficheiros. Por exemplo, se existir um vírus conhecido, pode utilizar políticas de restrição de software para parar o computador de abrir o ficheiro que contenha o vírus.

    importante : Microsoft recomenda que políticas de restrição de software como substituição não utilize software antivírus.

Como utilizar políticas de restrição de software com AppLocker

Apesar de políticas de restrição de software e AppLocker tiverem o mesmo objectivo, AppLocker é uma revisão completa das políticas de restrição de software que são introduzidas no Windows 7 e Windows Server 2008 R2. Não é possível utilizar AppLocker para gerir as definições de política de restrição de software. Só são aplicadas regras AppLocker computadores que executem edições do Windows 7 Ultimate e Enterprise ou todas as edições do Windows Server 2008 R2, enquanto que as regras de política de restrição de software são aplicadas nestas e anteriores versões.

Além disso, se forem configuradas AppLocker e as definições de política de restrição de software no mesmo GPO, apenas as definições de AppLocker serão aplicadas em computadores que estão a executar o Windows 7 e Windows Server 2008 R2. Por conseguinte, se tem de utilizar políticas de restrição de software e AppLocker na organização, é prática recomendada para criar regras de AppLocker para computadores que podem utilizar a política AppLocker e regras de política de restrição de software para computadores que executem versões anteriores do Windows.

Para mais informações sobre como utilizar estas duas tecnologias de restrição de software, consulte o tópico AppLocker na biblioteca de técnico da Microsoft TechNet:
http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx (http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx)

Como iniciar políticas de restrição de software

Para apenas o computador local

  1. Clique em Iniciar , aponte para programas , aponte para Ferramentas administrativas e, em seguida, clique em Política de segurança local .
  2. Na árvore da consola, expanda Definições de segurança e, em seguida, expanda Políticas de restrição de software .

Para um domínio, um site ou uma unidade organizacional um servidor membro ou estação de trabalho membro de um domínio

  1. Abra a consola de gestão da Microsoft (MMC). Para o fazer, clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. No menu ficheiro , clique em Adicionar/remover Snap-in e, em seguida, clique em Adicionar .
  3. Clique em Editor de objecto de política de grupo e, em seguida, clique em Adicionar .
  4. Em Seleccionar objecto de política de grupo , clique em Procurar .
  5. Na Procurar um objecto de política de grupo , seleccione um objecto de política de grupo (GPO, Group Policy Object) no domínio apropriado, local ou unidade organizacional e, em seguida, clique em Concluir .

    Em alternativa, pode criar um novo GPO e, em seguida, clique em Concluir .
  6. Clique em Fechar e, em seguida, clique em OK .
  7. Na árvore da consola, vá para a seguinte localização:
    Configuração do grupo de política de objecto Computer_name política/computador ou utilizador/configuração/Windows Settings/segurança definições/software políticas de restrição

Para uma unidade organizacional ou domínio no controlador de domínio ou uma estação de trabalho que tenha o pacote de ferramentas administração instalada

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em utilizadores do Active Directory e computadores .
  2. Na árvore da consola, clique com o botão direito do rato no domínio ou unidade organizacional que pretende configurar a política de grupo.
  3. Clique em Propriedades e, em seguida, clique no separador Política de grupo .
  4. Clique numa entrada de Ligações de objectos de política de grupo para seleccionar um GPO existente e, em seguida, clique em Editar .

    Em alternativa, pode clique em Novo para criar um novo GPO e, em seguida, clique em Editar .
  5. Na árvore da consola, vá para a seguinte localização:
    Configuração do grupo de política de objectos Computer_name política/computador ou políticas de restrição User Configuration/Windows Settings/segurança definições/software

Para o seu site e um controlador de domínio ou uma estação de trabalho que tenha o pacote de ferramentas administração instalado

  1. Clique em Iniciar , aponte para Todos os programas , aponte para Ferramentas administrativas e, em seguida, clique em locais do Active Directory e serviços .
  2. Na árvore da consola, clique com o botão direito do rato no site que pretende definir a política de grupo para:
    • Serviços [Domain_Controller_Name e locais do Active Directory. Domain_Name]
    • Sites
    • Site

  3. Clique em Propriedades e, em seguida, clique no separador Política de grupo .
  4. Clique numa entrada em Ligações de objectos de política de grupo para seleccionar um objecto de política de grupo (GPO, Group Policy Object) existente e, em seguida, clique em Editar .

    Em alternativa, clique em Novo para criar um novo GPO e, em seguida, clique em Editar .
  5. Na árvore da consola, vá para a seguinte localização:
    Configuração do grupo de política de objectos Computer_name política/computador ou políticas de restrição User Configuration/Windows Settings/segurança definições/software
    importante : clique em Configuração do utilizador para definir políticas que serão aplicadas a utilizadores, independentemente do computador ao qual iniciam sessão. Clique em Configuração do computador para definir políticas que serão aplicadas a computadores, independentemente dos utilizadores que iniciam sessão aos mesmos.

    Também pode aplicar políticas de restrição de software para utilizadores específicos quando iniciarem sessão computador específico utilizando uma definição de política de grupo avançada denominada loopback.

Como impedir que políticas de restrição de software aplicar a administradores locais

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. No painel de detalhes, faça duplo clique em imposição .
  4. Em Aplicar políticas de restrição de software aos seguintes utilizadores , clique em todos os utilizadores menos os administradores locais .
notas :
  • Poderá ter de criar uma nova definição de política de restrição de software para este GPO se que tem não fez.
  • Normalmente, os utilizadores são membros do grupo Administradores locais nos respectivos computadores na organização; assim, poderá não pretender activar esta definição. Políticas de restrição de software não se aplicam a quaisquer utilizadores que são membros do seu grupo de administrador local.
  • Se estiver a definir as definições de política de restrição de software para o computador local, utilize este procedimento para impedir que os administradores locais com as políticas de restrição de software aplicadas. Se estiver a definir as definições de política de restrição de software para a rede, filtre definições de política de utilizador com base na associação a grupos de segurança utilizando a política de grupo.

Como criar uma regra de certificados

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. Na árvore da consola ou painel de detalhes, clique com o botão direito do rato em Regras adicionais e, em seguida, clique em Nova regra de certificados .
  4. Clique em Procurar e, em seguida, seleccione um certificado.
  5. Seleccione um nível de segurança.
  6. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK .
notas :
  • Para obter informações sobre como iniciar as políticas de restrição de software na MMC, consulte "Iniciar políticas de restrição de software" em Tópicos relacionados no ficheiro de ajuda do Windows Server 2003.
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Por predefinição, as regras de certificados não acendem. Para activar regras de certificados:
    1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
    2. Localize e, em seguida, clique na seguinte chave de registo:
      HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers
    3. No painel detalhes, faça duplo clique em AuthenticodeEnabled e, em seguida, altere os dados do valor de 0 para 1.
  • Os únicos tipos de ficheiro são afectados por regras de certificados são os que são listados em tipos de ficheiro designados . Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para que as políticas de restrição de software entrem em vigor, os utilizadores têm de actualizar as definições de política terminando sessão e iniciar sessão em computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.

Como criar uma regra hash

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. Na árvore da consola ou painel de detalhes, clique com o botão direito do rato em Regras adicionais e, em seguida, clique em Nova regra hash .
  4. Clique em Procurar para localizar um ficheiro ou cole um hash de pré-calculado na caixa hash do ficheiro .
  5. Na caixa nível de segurança , clique em não permitido ou sem restrições .
  6. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK .
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Pode criar uma regra hash para um vírus ou um cavalo de Tróia para impedir que o software malicioso em execução.
  • Se pretender que outros utilizadores utilizem uma regra hash para que não é possível executar um vírus, calcule o hash do vírus utilizando políticas de restrição de software e correio electrónico o valor de hash para outros utilizadores. Nunca enviar o vírus propriamente dito.
  • Se um vírus tiver sido enviado por correio electrónico, pode também criar uma regra de caminho para impede que os utilizadores executem anexos de correio.
  • Um ficheiro que está a mudar o nome ou movido para outra pasta resultados ainda no mesmo hash.
  • Qualquer alteração a um ficheiro resulta num hash diferente.
  • Os únicos tipos de ficheiro afectados por regras hash são os que estão listados em tipos de ficheiro designados . Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para que as políticas de restrição de software entrem em vigor, os utilizadores têm de actualizar as definições de política terminando sessão e iniciar sessão em computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.

Como criar uma regra de zona da Internet

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. Na árvore da consola, clique em Políticas de restrição de software .
  4. Na árvore da consola ou painel de detalhes, clique com o botão direito do rato em Regras adicionais e, em seguida, clique em Nova regra de zona da Internet .
  5. Na zona da Internet , clique numa zona da Internet.
  6. Na caixa Nível de segurança , clique em não permitido ou sem restrições e, em seguida, clique em OK .
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Regras de zona se aplicam a apenas a pacotes do Windows Installer.
  • Os apenas tipos de ficheiro afectados por regras de zona são os que estão listados em tipos de ficheiros designados . Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para que as políticas de restrição de software entrem em vigor, os utilizadores têm de actualizar as definições de política terminando sessão e iniciar sessão em computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.

Como criar uma regra de caminho

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. Na árvore da consola ou painel de detalhes, clique com o botão direito do rato em Regras adicionais e, em seguida, clique em Nova regra de caminho .
  4. Na caixa caminho , escreva um caminho ou clique em Procurar para localizar um ficheiro ou pasta.
  5. Na caixa nível de segurança , clique em não permitido ou sem restrições .
  6. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK .

    importante : em algumas pastas, tal como a pasta Windows, definir o nível de segurança como não permitido pode prejudicar o funcionamento do sistema operativo. Certifique-se de que não a impedir um componente crucial do sistema operativo ou dos respectivos programas dependentes.
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Se criar uma regra de caminho para um programa com um nível de segurança não permitido , um utilizador ainda pode executar o software copiando-os para outra localização.
  • Os caracteres universais que são suportados pela regra de caminho são o asterisco (*) e o ponto de interrogação (?).
  • Pode utilizar variáveis de ambiente, tais como % programfiles % ou % systemroot %, a regra de caminho.
  • Para criar uma regra de caminho para software quando não souber onde está armazenado num computador mas tiver a chave de registo, pode criar uma regra de caminho de registo.
  • Para impede que os utilizadores executem anexos de correio electrónico, pode criar uma regra de caminho para anexo pasta o programa de correio que impede que os utilizadores com anexos de correio electrónico.
  • Os únicos tipos de ficheiro afectados por regras de caminho são os que estão listados em tipos de ficheiro designados . Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para que as políticas de restrição de software entrem em vigor, os utilizadores têm de actualizar as definições de política terminando sessão e iniciar sessão em computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.

Como criar uma regra de caminho de registo

  1. Clique em Iniciar , clique em Executar , escreva regedit e, em seguida, clique em OK .
  2. Na árvore da consola, clique com o botão direito do rato a chave de registo que pretende criar uma regra para e, em seguida, clique em Copiar nome de chave .
  3. Anote o nome do valor no painel de detalhes.
  4. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  5. Abrir políticas de restrição de software.
  6. Na árvore da consola ou painel de detalhes, clique com o botão direito do rato em Regras adicionais e, em seguida, clique em Nova regra de caminho .
  7. Em caminho , cole o nome de chave de registo e o nome do valor.
  8. Coloque o caminho do registo sinais de percentagem (%), por exemplo:
    %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\InstallDir%
  9. Na caixa nível de segurança , clique em não permitido ou sem restrições .
  10. Na caixa Descrição , escreva uma descrição para esta regra e, em seguida, clique em OK .
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Tem de ser membro do grupo Administradores para executar este procedimento.
  • Formate o caminho de registo da seguinte forma:
    % Registry Hive \ Registry Key Name \ Value Name %
  • Tem de escrever sem o nome do ramo de registo; não é possível utilizar abreviaturas. Por exemplo, não é substituído HKCU para HKEY_CURRENT_USER .
  • A regra de caminho de registo pode conter um sufixo após o fecho sinal de percentagem (%). Não utilize uma barra invertida (\) o sufixo. Por exemplo, pode utilizar a regra de caminho de registo seguinte:
    %HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache%OLK*
  • Os únicos tipos de ficheiro afectados por regras de caminho são os que estão listados em tipos de ficheiro designados . Existe uma lista de tipos de ficheiros designados que é partilhada por todas as regras.
  • Para que as políticas de restrição de software entrem em vigor, os utilizadores têm de actualizar as definições de política terminando sessão e iniciar sessão em computadores.
  • Quando mais do que uma regra é aplicada a definições de política, existe uma precedência de regras para resolver conflitos.

Como adicionar ou eliminar um tipo de ficheiro designado

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. No painel detalhes, faça duplo clique em Tipos de ficheiros designados .
  4. Efectue um dos seguintes passos conforme for apropriado:
    • Para adicionar um tipo de ficheiro, escreva a extensão de nome de ficheiro na caixa extensão do ficheiro e, em seguida, clique em Adicionar .
    • Para eliminar um tipo de ficheiro, clique no tipo de ficheiro na caixa tipos de ficheiros designados e, em seguida, clique em Remover .
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Lista de tipos de ficheiro designados é partilhada por todas as regras para cada configuração. Lista de tipos de ficheiro designados para definições de política de computador é diferente da lista de tipos de ficheiro designados para definições de política de utilizador.

Como alterar a nível do software restrição de políticas de segurança predefinido

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. No painel de detalhes, faça duplo clique em Níveis de segurança .
  4. Clique com o botão direito do rato o nível de segurança que pretende predefinir e, em seguida, clique em Predefinir .

    atenção : em determinadas pastas se definir o nível de segurança como não permitido , pode prejudicar o sistema operativo.
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • No painel de detalhes, o nível de segurança predefinido actual é indicado por um círculo preto com uma marca de verificação. Se clicar com o botão direito do rato no nível de segurança predefinido actual, o comando Definir como predefinida não é apresentado no menu.
  • As regras são criadas para especificar excepções ao nível de segurança predefinido. Quando o nível de segurança predefinido é definido como sem restrições , as regras especificar software que não é permitida a execução. Quando o nível de segurança predefinido é definido como não permitido , as regras especificar software que está autorizado a ser executado.
  • Se alterar o nível predefinido, afecta todos os ficheiros nos computadores que têm políticas de restrição de software aplicadas.
  • Durante a instalação, o nível de segurança predefinido de políticas de restrição de software em todos os ficheiros no computador é definido como sem restrições .

Como definir opções do Publisher fidedignos

  1. Clique em Iniciar , clique em Executar , escreva mmc e, em seguida, clique em OK .
  2. Abrir políticas de restrição de software.
  3. Faça duplo clique em fabricantes fidedignos .
  4. Clique nos utilizadores que pretendam decidir que certificados serão considerados fidedignos e, em seguida, clique em OK .
notas :
  • Poderá ter de criar a nova restrição de software definições de política para este GPO se tiver não já feito.
  • Pode seleccionar a quem pode adicionar fabricantes fidedignos, os utilizadores, os administradores ou administradores da empresa. Por exemplo, pode utilizar esta ferramenta para impedir que utilizadores tomar decisões de fidedignidade sobre fabricantes de controlos ActiveX.
  • Os administradores do computador local o direito de especificar fabricantes fidedignos no computador local, mas os administradores da empresa têm o direito de especificar fabricantes fidedignos num nível organizacional.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
Palavras-chave: 
kbmt kbmgmtservices kbhowto kbhowtomaster KB324036 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 324036  (http://support.microsoft.com/kb/324036/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft