Para configurar o bloqueio do sistema

O bloqueio do sistema controla aplicativos em um grupo de computadores-cliente bloqueando aplicativos não aprovados. Você pode configurar o bloqueio do sistema para permitir somente aplicativos em uma lista especificada. A lista de permissão (whitelist) inclui todos os aplicativos aprovados; todos os outros aplicativos são bloqueados nos computadores cliente. Ou você pode configurar o bloqueio do sistema para bloquear somente aplicativos em uma lista especificada. A lista de negação (blacklist) abrange todos os aplicativos não aprovados; todos os outros aplicativos são permitidos nos computadores cliente.
Qualquer aplicativo que o bloqueio do sistema permite está sujeito a outros recursos de proteção no
Symantec Endpoint Protection
.
Uma lista de permissão ou uma lista de negação podem incluir listas de impressões digitais de arquivos e nomes de aplicativo específicos. Uma lista de impressões digitais de arquivos é uma lista de somas de verificação do arquivo e de locais do caminho do computador.
Você pode usar a Política de controle de dispositivos e aplicativos para controlar aplicativos específicos em vez do ou em adição ao bloqueio do sistema.
Você configura o bloqueio do sistema para cada grupo ou local em sua rede.
Etapas de bloqueio do sistema
Ação
Descrição
Etapa 1: Criar listas de impressões digitais de arquivo
Você pode criar uma lista de impressões digitais de arquivos que inclua aplicativos com execução permitida ou não permitida em seus computadores-cliente. Você adiciona a lista de impressões digitais de arquivos à lista de permissão e à lista de negação no bloqueio do sistema.
Ao executar o bloqueio do sistema, você precisa de uma lista de impressões digitais de arquivos que inclua os aplicativos para todos os clientes que deseja permitir ou bloquear. Por exemplo, sua rede pode incluir clientes Windows 8.1 de 32 bits e 64 bits e clientes Windows 10 de 64 bits. É possível criar uma lista de impressões digitais de arquivos para cada imagem de cliente.
Você pode criar uma lista de impressões digitais de arquivos das seguintes maneiras:
  • O
    Symantec Endpoint Protection
    fornece um utilitário da soma de verificação para criar uma lista de impressões digitais de arquivos. O utilitário é instalado com o
    Symantec Endpoint Protection
    no computador-cliente.
    Você pode usar o utilitário para criar uma soma de verificação para um aplicativo específico ou para todos os aplicativos em um caminho especificado. Use esse método para gerar impressões digitais de arquivos e usar quando executar o bloqueio do sistema no modo de negação.
  • Crie uma lista de impressões digitais de arquivo em um único computador ou em um grupo pequeno de computadores usando o comando Coletar lista de impressões digitais de arquivo.
    É possível executar no console o comando
    Coletar lista de impressões digitais de arqs
    . O comando coleta uma lista de impressões digitais de arquivos que inclua todos os aplicativos nos computadores de destino. Por exemplo, você pode executar o comando em um computador que execute uma imagem modelo. Você poderá usar esse método quando executar o bloqueio do sistema no modo de permissão. Observe que a lista de impressões digitais de arquivos que você gera com o comando não poderá ser modificada. Ao executar novamente o comando, a lista de impressões digitais de arquivos será atualizada automaticamente.
  • Crie uma lista de impressões digitais de arquivos com qualquer utilitário de soma de verificação de terceiros.
Se executar o
Symantec EDR
em sua rede, você poderá ver as listas de impressões digitais de arquivos do
Symantec EDR
.
Etapa 2: Importar as listas de impressão digital de arquivos para o
Symantec Endpoint Protection Manager
Para poder usar uma lista de impressões digitais de arquivos na configuração do bloqueio do sistema, a lista deve estar disponível no
Symantec Endpoint Protection Manager
.
Quando criar listas de impressões digitais de arquivos com uma ferramenta de soma de verificação, você deve importar manualmente as lista para o
Symantec Endpoint Protection Manager
.
Quando você cria uma lista de impressões digitais de arquivos com o comando
Coletar lista de impressões digitais de arqs
, a lista resultante estará disponível automaticamente no console do
Symantec Endpoint Protection Manager
.
Você também pode exportar listas de impressões digitais de arquivos existentes no
Symantec Endpoint Protection Manager
.
Etapa 3: Criar listas de nomes de aplicativos para aplicativos aprovados ou não aprovados
É possível usar qualquer editor de texto para criar um arquivo de texto que inclua os nomes de arquivo dos aplicativos a serem permitidos ou bloqueados. Ao contrário das listas de impressões digitais de arquivos, você importa estes arquivos diretamente na configuração do bloqueio do sistema. Após você importar os arquivos, os aplicativos aparecem como entradas individuais na configuração do bloqueio do sistema.
Você também poderá dar entrada manualmente com nomes individuais do aplicativo na configuração do bloqueio do sistema.
Um grande número de aplicativos nomeados poderá afetar o desempenho de computador cliente quando o bloqueio do sistema for ativado no modo de negação.
Etapa 4: Configurar e testar a configuração do bloqueio do sistema
No modo de teste, o bloqueio do sistema é desativado e não bloqueia nenhum aplicativo. Todos os aplicativos não aprovados são registrados em log, mas não são bloqueados. Você usa a opção
Registrar em log aplicativos não aprovados
na caixa de diálogo
Bloqueio do sistema
para testar a configuração inteira do bloqueio do sistema.
Para configurar e executar o teste, conclua as seguintes etapas:
  • Adicione listas de impressão digital de arquivos à configuração do bloqueio do sistema.
    No modo de permissão, as impressões digitais de arquivos são aplicativos aprovados. No modo de negação, as impressões digitais de arquivos são aplicativos não aprovados.
  • Adicione listas individuais de nomes de aplicativo ou importe listas de nomes de aplicativos de importação na configuração do bloqueio do sistema.
    Você pode importar uma lista de nomes de aplicativo em vez de digitar os nomes um por um na configuração do bloqueio do sistema. No modo de permissão, os aplicativos são aplicativos aprovados. No modo de negação, os aplicativos são aplicativos não aprovados.
  • Execute o teste por um período de tempo.
    Execute o bloqueio do sistema no modo de teste o tempo suficiente para que os clientes executem seus aplicativos normais. Um período de tempo típico pode ser uma semana.
Etapa 5: Exibir os aplicativos não aprovados e modificar a configuração de bloqueio do sistema caso necessário
Após executar o teste por um período de tempo, você poderá verificar a lista de aplicativos não aprovados. Você pode exibir a lista de aplicativos não aprovados verificando o status na caixa de diálogo
Bloqueio do sistema
.
Os eventos registrados em log igualmente aparecem no Log de controle de aplicativos.
Você poderá decidir se adicionará mais aplicativos à impressão digital de arquivos ou à lista de aplicativos. Você pode igualmente adicionar ou remover as listas de impressões digitais de arquivos ou os aplicativos, caso necessário, antes de ativar o bloqueio do sistema.
Etapa 6: Permitir o bloqueio do sistema
Por padrão, o bloqueio do sistema é executado no modo de permissão. Mas você pode configurar o bloqueio do sistema para ser executado no modo de negação.
Ao ativar o bloqueio do sistema no modo de permissão, você bloqueia qualquer aplicativo que não esteja na lista de aplicativos aprovados. Ao ativar o bloqueio do sistema no modo de negação, você bloqueia qualquer aplicativo que esteja na lista de aplicativos não aprovados.
Certifique-se de que você teste sua configuração antes de ativar o bloqueio do sistema. Se você bloquear um aplicativo necessário, seus computadores-cliente não poderão ser reinicializados.
Etapa 7: Atualizar as listas de impressão digital de arquivos para o bloqueio do sistema
Com o passar do tempo, você poderá mudar os aplicativos executados em sua rede. Você pode atualizar suas listas de impressões digitais de arquivos ou remover as listas conforme a necessidade.
Você pode atualizar listas de impressões digitais de arquivos das seguintes maneiras:
Convém reexaminar a configuração inteira do bloqueio do sistema se você adicionar computadores-cliente a sua rede. Você pode mover clientes novos para uma rede de teste ou grupo separada e desativar o bloqueio do sistema. Ou você pode manter o bloqueio do sistema ativado e executar a configuração no modo somente log. Você também pode testar impressões digitais de arquivos individuais ou aplicativos como descrito na próxima etapa.
Etapa 8: Testar itens selecionados antes de adicioná-los ou removê-los quando o bloqueio do sistema estiver ativado
Depois que o bloqueio do sistema estiver ativado, você poderá testar impressões digitais individuais de arquivos, listas de nomes de aplicativos ou aplicativos específicos antes de adicioná-los ou removê-los para a configuração do bloqueio do sistema.
É possível remover as listas de impressões digitais de arquivos se você tiver muitas listas e não usar mais algumas delas.
Seja cuidadoso quando adicionar ou remover uma lista de impressões digitais de arquivos ou um aplicativo específico do bloqueio do sistema. Adicionar ou remover itens do bloqueio do sistema pode ser arriscado. Você pode bloquear aplicativos importantes em seus computadores-cliente.
  • Teste itens selecionados.
    Use
    Testar antes da remoção
    para registrar em log listas de impressões digitais de arquivos específicos ou aplicativos específicos como não aprovados.
    Quando você executar este teste, o bloqueio do sistema será ativado, mas não bloqueará nenhum aplicativo selecionado ou nenhum aplicativo nas listas de impressões digitais de arquivos selecionadas. Em vez disso, o bloqueio do sistema registra em log os aplicativos como não aprovados.
  • Verifique o log de controle de aplicativos.
    As entradas de log aparecem no log de controle de aplicativos. Se o log não tiver nenhuma entrada para os aplicativos testados, você saberá que seus clientes não usam aqueles aplicativos.