Através do EPM Windows, você pode criar políticas para controlar o acesso ao registro do Windows definindo os usuários e/ou grupos e suas permissões.
O registro do Windows é o banco de dados que armazena todas as configurações do sistema operacional, drivers e aplicativos. Ter controle sobre ele é crítico porque muitas ameaças tentam modificar chaves de registro para ganhar persistência ou desativar defesas.
Funcionalidades
- Restrição de escrita e modificação: Permite criar regras que impedem que usuários (mesmo aqueles com privilégios elevados temporários) ou processos suspeitos modifiquem chaves específicas do registro.
- Proteção de chaves críticas: Protege chaves que controlam a inicialização do sistema, configurações de segurança, políticas de grupo (GPO) e configurações de rede.
- Prevenção de persistência de malware: Muitos malwares se instalam em chaves de "Run" ou "RunOnce". O EPM pode bloquear alterações nessas áreas.
- Auditoria: Registra qualquer tentativa de acesso ou modificação não autorizada, permitindo que a equipe de segurança saiba quem tentou alterar o quê no registro.
Mais informações sobre regras de precedência em Permissionamento.
Tipos de permissão
É possível gerenciar o acesso ao registro definindo usuários ou grupos e seus respectivos níveis de acesso. Veja as opções de permissão:
| Permissão | Descrição |
|---|---|
| Controle total | Fornece acesso completo à chave (leitura, escrita, exclusão, renomeação). Não se propaga: subchaves criadas após a sincronização não herdam. |
| Leitura | Fornece leitura de valores e listagem de subchaves. Não se propaga. |
| Permissões especiais | Fornece acesso completo à chave. Propaga automaticamente via Windows: subchaves existentes e futuras herdam sem depender de uma nova sincronização. |
Para subchaves criadas dinamicamente, recomendamos utilizar a permissão Permissões especiais, que garante que subchaves criadas após a sincronização também recebam as permissões.
Escopo da política
É possível definir a abrangência das políticas de acordo com a necessidade da sua infraestrutura. O gerenciamento permite selecionar entre a chave isolada, a estrutura completa ou apenas os níveis inferiores. Veja as opções de escopo:
| Opção de escopo | Descrição |
|---|---|
| Somente esta chave | Apenas a chave configurada é afetada pela política. |
| Esta chave e subchaves | A chave configurada e todas as subchaves existentes no momento da sincronização são afetadas pela política. |
| Somente subchaves | Apenas as subchaves existentes no momento da sincronização são afetadas pela política. A chave pai não é alterada. |