Denylist e allowlist
Os registros do submódulo Aplicativos, Automações, Desinstalador, Painel de controle e DLLs podem ser separados por lista de negação e listas de listas de permissões. Eles também permitem a segregação usando níveis globais, estações de trabalho, credenciais e grupos de acesso.
Às vezes, o administrador não gostaria de permitir que aplicativos como Microsoft Powershell ou Windows Command Line (CMD) fossem usados pelos usuários. Ele pode então criar uma regra de lista de negação global. Mas, às vezes, ele pode querer que apenas alguns usuários tenham acesso a esses aplicativos para fazer uma regra de acesso baseada em grupos de acesso.
Criar regra
As regras cadastradas podem ser acessadas no menu GO Endpoint Manager ➔ Policies ➔ Windows ➔ Listas de acesso. Para escrever uma configuração, siga os passos:
Acesse a ação de relatório no nível de segregação desejada:
Nova segregação global: Nova segregação global válida para todos usuários;
Nova segregação para workstation: Nova segregação baseada em workstations;
Você será apresentado a uma tela para selecionar a entidade da segregação, sendo:
Nome: Nome da segregação. Utilize um nome que deixe claro o objetivo desta configuração;
Ação: Escolha entre as opções de Allowlist e Denylist;
Status: Mantenha Ativo para que a regra seja aplicada;
Gravar a sessão desses aplicativos: Indica se um vídeo registrando todo evento de execução do aplicativo deve ser gravado e encaminhado ao senhasegura;
Aplicações: São as aplicações que devem ser filtradas. É possível aplicar filtros por diversas características do aplicativo:
cautionDLLs funcionam como aplicações, podendo ser filtradas por Nome do Produto, Versão do Produto, Certificado, Versão do Arquivo, Diretório, Hash do arquivo, Identificador de Zona de Internet, Editor da Windows Store
Certificado:O certificado na aplicação possui um valor fixo chamado Trusted Only, de modo que será validado o certificado que possuir essa regra ativa;
ID de classe COM: É uma informação que todas as aplicações tem, ela está em formato de GUID;
Diretório: Esse é caminho da aplicação, para ser checado com a regra, o caminho registrado deve ser completamente igual ao do arquivo;
Hash do arquivo: Essa é uma informação única que cada arquivo tem, é gerado um novo hash a cada mudança que seja feita no arquivo;
Versão do arquivo: Essa é a versão do arquivo;
Identificador de zona da Internet: Essa informação é referente à origem do arquivo, quando ele é baixado da internet, vai estar como Internet Zone, geralmente todos os arquivos que foram baixados estão classificados assim, já os executáveis que estão instalados, por exemplo, tem essa informação como Local Zone;
Nome do Produto: Essa é o nome do programa, é avaliado tanto o nome do arquivo quanto o nome do programa;
Versão do Produto: Essa é a versão do produto;
URL da fonte: contém informações que tem em arquivos de vídeo;
Código de atualização: Essa informação também é um GUID de cada programa, e pode ser encontrada no registro do Windows;
Nome do fornecedor: Esse é o nome do fabricante;
Editor da loja do windows: Essa é booleana, e é sobre as aplicações que foram baixadas na Microsoft Store, é validado de acordo com o diretório do arquivo, que é em ProgramFiles (e a x86 também), e em uma pasta oculta que chama WindowsApps;
Caso uma aplicação seja executada fora do senhasegura.go ela será bloqueada se estiver na denylist. Porém caso não esteja nem em allowlist e denylist será executada normalmente.
Os valores das regras de segregação podem ser preenchidos com expressões regulares.
As regras serão aplicadas tanto para aplicações iniciadas pelo cliente senhasegura.go quanto para aplicações iniciadas por fora do senhasegura.go .
Uma vez criada, os usuários passam automaticamente a responder por essas regras.
As regras serão somadas. Por exemplo. Se um usuário possui uma aplicação em allowlist e uma credencial em denylist para a mesma aplicação, a aplicação será apresentada como disponível. Mas caso ele tente executar utilizando a credencial negada, será bloqueado e notificado.
Diretórios confiáveis
É possível criar diretórios confiáveis que garantam que qualquer arquivo no caminho permitido possa ser executado, mesmo que não seja confiável. Para adicionar novos diretórios confiáveis, vá para Configurações gerais e defina um caminho.