# Bloquear Executável

## Índice

1. [O que é Bloquear Executável](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#what-is-block-executable)
2. [Criando e removendo política de bloqueio de executável](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#creating-removing-block-executable-policy)
3. [Bloquear executável usando regra de caminho](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#block-executable-using-path-rule)
4. [Bloquear executável usando valor de hash](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#block-executable-using-hash-value)
5. [Bloquear executável para o grupo Todos os Computadores](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#block-executable-for-all-computers-group)
6. [Bloquear executável para computadores específicos](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#block-executable-for-specific-computer)
7. [Dicas de solução de problemas](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#troubleshooting)

Os administradores de TI sempre lidam com muitos softwares e applications em seu ambiente de TI. Com muitos applications para gerenciar, os administradores de TI precisarão restringir o uso de determinados applications; para isso, podem aproveitar o recurso Bloquear Executável do Endpoint Central.

## O que é Bloquear Executável

Bloquear Executável é o recurso por meio do qual os administradores de TI podem restringir a inicialização e a execução de um executável. Isso bloqueia a execução de arquivos exe iniciados sem instalação na rede. Caso um software precise ser proibido em sua rede, o [software proibido](https://www.manageengine.com/br/desktop-central/help/inventory/configure_prohibited_software.html) pode ser configurado para obter o mesmo resultado.

### Bloquear um executável

1. [Usando regra de caminho](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#block-executable-using-path-rule)
2. [Usando regra de hash](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#block-executable-using-path-rule)

Verifique estes pré-requisitos para implantar uma regra de bloqueio de executável:

- [A Política de Grupo Local deve estar habilitada no computador de destino](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#target_machine)
- [A política de segurança padrão deve estar definida como "Ilimitada"](https://www.manageengine.com/br/desktop-central/help/inventory/block_executables.html#unrestricted)
- A Política de Grupo Local deve estar habilitada para o Administrador

Clique aqui para assistir ao vídeo:

### Bloquear Executável

[Link](https://www.manageengine.com/products/desktop-central/demo/inventory/block-exe.html?feature_page_thumbnail)

## Criando e removendo política de bloqueio de executável

1. Para criar uma regra de Bloquear Executável, navegue até **Inventário** > **Bloquear Executável** > **Adicionar Política**.
2. Adicione o(s) Grupo(s) Personalizado(s) aos quais esta regra deve ser aplicada.
3. Em seguida, adicione o executável que precisa ser bloqueado usando uma Regra de Caminho ou Regra de Hash.

Para remover uma regra, navegue até **Inventário** > **Bloquear Executável**, selecione as políticas que deseja remover e clique no botão **Remover Política**.

## Bloquear executável usando regra de caminho

Os administradores de TI podem bloquear um executável usando a Regra de Caminho quando o nome do arquivo/caminho de destino permanece estático. A Regra de Caminho funciona com base na lógica do nome do arquivo e de suas extensões. Renomear ou mover o arquivo fará com que a execução da regra aplicada falhe. Esta regra pode ser usada para bloquear applications mesmo que eles não estejam disponíveis em sua rede. Usando a regra de caminho, os administradores de TI podem bloquear os executáveis localizados dentro do valor fornecido.

## Bloquear usando valor de hash

Hash é um valor exclusivo que representa o executável. Para usar este método, os administradores de TI devem calcular o valor de Hash do application de destino e adicioná-lo à regra para bloquear esse executável. Se você quiser bloquear um executável com tamanho superior a 200 MB, use o trecho de código anexado abaixo para calcular o valor de Hash. Ao calcular o valor de Hash, forneça o caminho completo do local do arquivo do software que deseja bloquear usando o valor de Hash.

**Observação:**

- O bloqueio de executáveis usando o valor de hash do AppLocker se aplica apenas ao Windows 10 build 1803 e posteriores, bem como ao Windows Server 2019 e posteriores.
- Para calcular o valor de hash do AppLocker, use o Microsoft PowerShell, pois o trecho de código do valor de hash do AppLocker não é compatível com o Prompt de Comando.

**Comandos do Windows**

*Tamanho do arquivo*

```
dir <"LOCAL DO ARQUIVO">
```

Comando de exemplo:

```
dir "C:\Program Files\Google\Chrome\application\chrome.exe"
```

![Tamanho do arquivo Bloquear exe](https://www.manageengine.com/products/desktop-central/help/images/file-size-block-exe.png)

*Hash MD5 do arquivo*

```
certutil -hashfile <"LOCAL DO ARQUIVO"> md5
```

Comando de exemplo:

```
certutil -hashfile "C:\Program Files\Google\Chrome\application\chrome.exe" md5
```

![Geração de hash MD5 para Bloquear exe](https://www.manageengine.com/products/desktop-central/help/images/md5-hash-generation-for-block-exe.png)

*Hash SHA256 do arquivo*

```
certutil -hashfile <"LOCAL DO ARQUIVO"> sha256
```

Comando de exemplo:

```
certutil -hashfile "C:\Program Files\Google\Chrome\application\chrome.exe" sha256
```

![Geração de hash SHA256 para Bloquear exe](https://www.manageengine.com/products/desktop-central/help/images/sha256-hash-generation-for-block-exe.png)

*Hash AppLocker do arquivo*

```
(Get-AppLockerFileInformation -Path <"LOCAL DO ARQUIVO">).Hash -replace '^SHA256 0x', 'Hash: '
```

Comando de exemplo:

```
(Get-AppLockerFileInformation -Path "C:\Program Files\Google\Chrome\application\chrome.exe").Hash -replace '^SHA256 0x', 'Hash: '
```

![Hash do Applocker para Bloquear exe](https://www.manageengine.com/products/desktop-central/help/images/applocker-hash-for-block-exe.png)

## Bloquear executável para Todos os Computadores

O Endpoint Central possui, por padrão, um grupo personalizado chamado "Grupo Todos os Computadores", que contém todos os computadores gerenciados. Se você quiser bloquear um executável em todos os computadores gerenciados, poderá escolher o Grupo Personalizado padrão e selecionar o executável que precisa ser bloqueado.

## Bloquear executável para computadores específicos

Para bloquear um executável para um destino específico, crie um novo grupo personalizado ou use grupos personalizados existentes. Os grupos personalizados podem ser de qualquer tipo, como exclusivo ou estático. Você pode bloquear executáveis escolhendo um grupo personalizado que contenha computadores.

O bloqueio de executável não oferece suporte ao bloqueio de executáveis iniciados pelo sistema.

## Dicas de solução de problemas

1. Como habilitar a Política de Grupo Local no computador de destino?  
   Execute manualmente as seguintes ações no computador de destino:
   1. Vá para **Executar**
   2. Digite **gpedit.msc**
   3. Clique em Política de Grupo
   4. Clique em **Desativar o processamento de Objetos de Política de Grupo Local** conforme mostrado abaixo.  

      ![](https://www.manageengine.com/products/desktop-central/help/images/blockexe1.png)

   5. Certifique-se de ter escolhido **Não Configurado**, conforme mostrado na imagem abaixo.  

      ![](https://www.manageengine.com/products/desktop-central/help/images/blockexe2.png)

      Agora você habilitou a Política de Grupo Local no computador de destino.

2. Como habilitar a Política de Grupo Local no computador de destino?  

   Execute manualmente as seguintes ações no computador de destino:
   1. Vá para **Executar**
   2. Digite **gpedit.msc**
   3. Clique com o botão direito em **Política do Computador Local**, escolha **Propriedades** para garantir que **Desabilitar configurações de configuração do computador** não esteja selecionado.  

      ![](https://www.manageengine.com/products/desktop-central/help/images/blockexe3.png)

      Agora você habilitou a Política de Grupo Local no computador de destino.

3. Como definir a política de segurança padrão como **"Ilimitada"**  
   Execute as seguintes ações no computador de destino:
   1. Vá para **Executar**
   2. Digite **gpedit.msc**
   3. Clique em **Níveis de Segurança** e dê um clique duplo em **Ilimitada**, conforme mostrado abaixo.  

      ![](https://www.manageengine.com/products/desktop-central/help/images/blockexe4.png)

   4. Certifique-se de que o status esteja definido como **Padrão**, conforme mencionado na imagem abaixo.  

      ![](https://www.manageengine.com/products/desktop-central/help/images/blockexe5.png)

      Agora você habilitou a Política de Grupo Local no computador de destino.

4. Como habilitar a Política de Grupo Local para o Administrador?  
   Execute as seguintes ações no computador de destino:
   1. Vá para **Executar**
   2. Digite **gpedit.msc**
   3. Clique em **Política de Restrição de Software**
   4. Dê um clique duplo em **Aplicação** para garantir que **Todos os Usuários** esteja selecionado, conforme mostrado na imagem abaixo.  

      ![](https://www.manageengine.com/products/desktop-central/help/images/blockexe6.png)

      Agora você habilitou a Política de Grupo Local para Administradores.