Outro grande problema que existe hoje é a quantidade de softwares que existem na Internet. Existe muita coisa boa, sem dúvidas, mas muitos desses softwares podem ser maliciosos. Isso se torna um problema ainda maior quando um usuário da empresa começa a instalar esses softwares em sua estação de trabalho.

 

Isso poderá comprometer o funcionamento da estação de trabalho e pior que isso, poderá comprometer as informações das empresas, que são atualmente um dos bens mais valiosos para as empresas.

 

Em outras palavras, como é que você garante que os usuários não vão poder instalar qualquer software em duas estações de trabalho? É aí que entra o recurso de restrição de software via GPO.

 

O objetivo desse recurso é impedir que os usuários instalem qualquer software em suas estações de trabalho. Ou seja, os usuários só poderão instalar os softwares especificados pela política de restrição de softwares. Com isso você consegue aumentar o nível de segurança da sua empresa.

 

Você pode, por exemplo, criar diferentes políticas de restrição de softwares para diferentes grupos de usuários. Outro detalhe, é que essas políticas também podem ser aplicadas para computadores ou para usuários.

 

Temos basicamente dois conceitos fundamentais relacionados com a política de restrição de softwares:

 

• Lista branca: a lista branca define que a instalação de qualquer software será proibida, com exceção dos softwares que estiverem relacionados nessa lista.
• Lista negra: a lista negra define que será permitida a instalação de qualquer software, com exceção dos softwares que estiverem relacionados nessa lista.

 

Quando você for adicionar algum software na lista branca ou na lista negra, você deverá definir qual regra será utilizada para a identificação desse software. Os tipos de regras são os seguintes:

 

• Hash Rules.
• Certificate Rules.
• Path Rules.
• Internet Zone Rules.

 

Vamos conhecer um pouco mais das regras de identificação de software e dos níveis de segurança disponíveis.

 

 

Níveis de Segurança e Regras de Identificação de Software

 

 

Conforme nós falamos no tópico anterior, você pode trabalhar com as listas brancas ou com as listas negras. Você pode também definir outro tipo de lista, a qual chamamos de níveis de segurança. O único detalhe é que a lista será relacionada individualmente com cada programa. Os níveis de segurança são os seguintes:

 

• Não permitido (Disallowed): esse nível de segurança define que o uso do software será proibido. Porém, você poderá posteriormente criar algumas exceções, liberando o uso do software.
• Irrestrito (Unrestricted): esse nível de segurança define que o uso do software será permitido. Porém, você poderá posteriormente criar algumas exceções, proibindo o uso do software.

 

Com relação às regras de identificação de software, temos os seguintes tipos:

 

• Regra de Hash: apenas para relembrar, o hash é um conjunto de bytes com um tamanho fixo, que identificam de maneira única um programa qualquer. O valor do hash é calculado através de algoritmos matemáticos. Quando utilizamos uma regra do tipo hash, a própria política de restrição de software será responsável pelo cálculo do hash. E como funciona na prática? Basicamente, quando o usuário executar um programa, o hash desse programa é comparado com as regras de hash existentes nas políticas de restrição de software. Um detalhe importante é que o valor do hash do programa é sempre o mesmo e independe da pasta onde foi instalado, porém, caso haja alguma alteração no condigo da aplicação, automaticamente o hash será alterado, e isso fará com que o hash do programa seja diferente do hash definido na política. Esse é um fator crucial que deve ser levado em conta se você for utilizar esse tipo de regra.
• Regra de Certificado: esse tipo de regra identifica o certificado digital que foi utilizado para assinar uma determinada aplicação. A partir disso, é possível definir ser a aplicação poderá ou não ser utilizada.
• Regra de Caminho: esse tipo de regra consegue identificar o caminho completo onde o programa é instalado. Por exemplo, suponha que você definiu o nível padrão de segurança como Não permitido, ou seja, a aplicação não poderá ser utilizada. Através das regras de caminho você pode definir o acesso irrestrito para uma determinada pasta. Para isso basta criar a regra de caminho, informando o caminho da pasta, e definindo o nível de segurança como Irrestrito. O problema desse tipo de regra é que elas são associadas com um determinado caminho. Se o usuário instalar o programa em um caminho diferente, as regras não serão aplicadas.

• Regra de Zona da Internet: essas regras são utilizadas somente com pacotes do Windows Installer. Com essa regra, os programas são identificados pelas zonas do Internet Explorer, que são: Internet, Intranet, Sites Restritos, Sites Confiáveis e Meu Computador.

  

Precedência das Políticas de Restrição de Software

 

 

Você pode ter várias regras diferentes para uma mesma política de restrição de software. Nesses casos, existe uma ordem de aplicação das regras, garantindo que os conflitos sejam resolvidos. A ordem é a seguinte:

 

• Hash Rules.
• Certificate Rules.
• Path Rules.
• Internet Zone Rules.

 

Por exemplo, caso você crie uma regra de hash com nível de segurança irrestrito para uma aplicação que é instalada em uma pasta que possui uma regra de caminho configurada com o nível de segurança não permitido, a aplicação poderá ser executada normalmente, pois as regras de hash possuem precedência sobre as regras de caminho.

 

Nota: Outro detalhe importante é que se você criar duas regras de caminho para o mesmo objeto, sempre a mais específica terá prioridade.

 

 

Nível de Segurança Não Permitido

 

 

Conforme nós já vimos anteriormente, você pode configurar as políticas de restrição de software com os seguintes níveis de segurança: Não Permitido ou Irrestrito. Quando criamos uma política de restrição de software, ela é configurada automaticamente com o nível Irrestrito, ou seja, qualquer aplicação pode ser executada. Após isso você deve criar as regras para restringir o que não poderá ser utilizado.

 

Um detalhe importante é que existem quatro chaves do Registro do Windows que são criadas automaticamente para impedir que você crie uma regra que impeça a execução de todos os programas do sistema, e até mesma a execução do Windows. O objetivo dessas regras é fazer com que o Windows funcione corretamente. As regras são as seguintes:

 

• %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
• %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe
• %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe
• %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%

 

Outro detalhe interessante é com relação aos scripts de logon e logoff. Caso você esteja utilizando esses scripts nas GPOs, é importante que você crie uma regra de caminho para que os scripts possam ser executados normalmente.

 

Para maiores informações sobre as GPOs, não deixe de conhecer nosso Treinamento Completo de GPOs no Windows Server 2003, com 291 páginas, disponível aqui mesmo em nosso site.

 

 

Conclusão

 

É isso pessoal, espero que este artigo seja útil para todos. Em caso de dúvidas sobre o conteúdo deste artigo, ou para enviar sugestões sobre novos tutoriais que você gostaria de ver publicado neste site, entre com contato através de e-mail Este endereço de e-mail está protegido contra SpamBots. Você precisa ter o JavaScript habilitado para vê-lo.