Bloquear Executável
Índice
Os administradores de TI sempre lidam com muitos softwares e applications em seu ambiente de TI. Com muitos applications para gerenciar, os administradores de TI precisarão restringir o uso de determinados applications; para isso, podem aproveitar o recurso Bloquear Executável do Endpoint Central.
O que é Bloquear Executável
Bloquear Executável é o recurso por meio do qual os administradores de TI podem restringir a inicialização e a execução de um executável. Isso bloqueia a execução de arquivos exe iniciados sem instalação na rede. Caso um software precise ser proibido em sua rede, o software proibido pode ser configurado para obter o mesmo resultado.
Bloquear um executável
Verifique estes pré-requisitos para implantar uma regra de bloqueio de executável
- A Política de Grupo Local deve estar habilitada no computador de destino
- A política de segurança padrão deve estar definida como "Ilimitada"
- A Política de Grupo Local deve estar habilitada para o Administrador
Clique aqui para assistir ao vídeo:
Bloquear Executável
Criando e removendo política de bloqueio de executável
- Para criar uma regra de Bloquear Executável, navegue até Inventário > Bloquear Executável > Adicionar Política.
- Adicione o(s) Grupo(s) Personalizado(s) aos quais esta regra deve ser aplicada.
- Em seguida, adicione o executável que precisa ser bloqueado usando uma Regra de Caminho ou Regra de Hash
Para remover uma regra, navegue até Inventário > Bloquear Executável, selecione as políticas que deseja remover e clique no botão "Remover Política".
Bloquear executável usando regra de caminho
Os administradores de TI podem bloquear um executável usando a Regra de Caminho quando o nome do arquivo/caminho de destino permanece estático. A Regra de Caminho funciona com base na lógica do nome do arquivo e de suas extensões. Renomear ou mover o arquivo fará com que a execução da regra aplicada falhe. Esta regra pode ser usada para bloquear applications mesmo que eles não estejam disponíveis em sua rede. Usando a regra de caminho, os administradores de TI podem bloquear os executáveis localizados dentro do valor fornecido.
Bloquear usando valor de hash
Hash é um valor exclusivo que representa o executável. Para usar este método, os administradores de TI devem calcular o valor de Hash do application de destino e adicioná-lo à regra para bloquear esse executável. Se você quiser bloquear um executável com tamanho superior a 200 MB, use o trecho de código anexado abaixo para calcular o valor de Hash. Ao calcular o valor de Hash, forneça o caminho completo do local do arquivo do software que deseja bloquear usando o valor de Hash.
Observação:
- O bloqueio de executáveis usando o valor de hash do AppLocker se aplica apenas ao Windows 10 build 1803 e posteriores, bem como ao Windows Server 2019 e posteriores.
- Para calcular o valor de hash do AppLocker, use o Microsoft PowerShell, pois o trecho de código do valor de hash do AppLocker não é compatível com o Prompt de Comando.
Comandos do Windows
Tamanho do arquivo
dir <"LOCAL DO ARQUIVO">
Comando de exemplo: dir "C:\Program Files\Google\Chrome\application\chrome.exe"
Hash MD5 do arquivo
certutil -hashfile <"LOCAL DO ARQUIVO"> md5
Comando de exemplo: certutil -hashfile "C:\Program Files\Google\Chrome\application\chrome.exe" md5
Hash SHA256 do arquivo
certutil -hashfile <"LOCAL DO ARQUIVO"> sha256
Comando de exemplo: certutil -hashfile "C:\Program Files\Google\Chrome\application\chrome.exe" sha256
Hash AppLocker do arquivo
(Get-AppLockerFileInformation -Path <"LOCAL DO ARQUIVO">).Hash -replace '^SHA256 0x', 'Hash: '
Comando de exemplo: (Get-AppLockerFileInformation -Path "C:\Program Files\Google\Chrome\application\chrome.exe").Hash -replace '^SHA256 0x', 'Hash: '
Bloquear executável para Todos os Computadores
O Endpoint Central possui, por padrão, um grupo personalizado chamado "Grupo Todos os Computadores", que contém todos os computadores gerenciados. Se você quiser bloquear um executável em todos os computadores gerenciados, poderá escolher o Grupo Personalizado padrão e selecionar o executável que precisa ser bloqueado.
Bloquear executável para computadores específicos
Para bloquear um executável para um destino específico, crie um novo grupo personalizado ou use grupos personalizados existentes. Os grupos personalizados podem ser de qualquer tipo, como exclusivo ou estático. Você pode bloquear executáveis escolhendo um grupo personalizado que contenha computadores.
O bloqueio de executável não oferece suporte ao bloqueio de executáveis iniciados pelo sistema.
Dicas de solução de problemas:
- Como habilitar a Política de Grupo Local no computador de destino?
Execute manualmente as seguintes ações no computador de destino:- Vá para Executar
Digite gpedit.msc
Clique em Política de Grupo
Clique em "Desativar o processamento de Objetos de Política de Grupo Local" conforme mostrado abaixo.
Certifique-se de ter escolhido "Não Configurado", conforme mostrado na imagem abaixo.
Agora você habilitou a Política de Grupo Local no computador de destino.
- Como habilitar a Política de Grupo Local no computador de destino?
Execute manualmente as seguintes ações no computador de destino:- Vá para Executar
Digite gpedit.msc
- Clique com o botão direito em "Política do Computador Local", escolha Propriedades para garantir que "Desabilitar configurações de configuração do computador" não esteja selecionado.
Agora você habilitou a Política de Grupo Local no computador de destino.
Como definir a política de segurança padrão como "Ilimitada"
Execute as seguintes ações no computador de destino:- Vá para Executar
Digite gpedit.msc
- Clique em "Níveis de Segurança" e dê um clique duplo em "Ilimitada", conforme mostrado abaixo
- Certifique-se de que o status esteja definido como "Padrão", conforme mencionado na imagem abaixo.
Agora você habilitou a Política de Grupo Local no computador de destino.- Como habilitar a Política de Grupo Local para o Administrador?
Execute as seguintes ações no computador de destino:- Vá para Executar
Digite gpedit.msc
Clique em "Política de Restrição de Software"
Dê um clique duplo em "Aplicação" para garantir que "Todos os Usuários" esteja selecionado, conforme mostrado na imagem abaixo
Agora você habilitou a Política de Grupo Local para Administradores.