Você configurou regras do AppLocker em um computador com Windows 11 Pro for Workstations, mas elas não estão sendo aplicadas. Aplicativos que deveriam ser bloqueados são executados normalmente, e aplicativos permitidos são bloqueados incorretamente. Esse problema geralmente ocorre porque o serviço Application Identity não está em execução, a Política de Grupo não foi aplicada corretamente ou as regras estão em um local que o sistema não lê. Este artigo explica por que as regras do AppLocker são ignoradas no Windows 11 Pro for Workstations e fornece uma correção passo a passo para fazê-las funcionar.
Principais conclusões: Restaurando a aplicação das regras do AppLocker no Windows 11 Pro for Workstations
- Console de Serviços (services.msc): Certifique-se de que o serviço Application Identity está em execução e configurado como Automático.
- Visualizador de Eventos > Logs de Aplicativos e Serviços > Microsoft > Windows > AppLocker: Verifique os logs de eventos para erros de análise de regras ou falha na aplicação da política.
- Editor de Política de Grupo Local > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Controle de Aplicativos > AppLocker: Verifique se as regras estão presentes e aplicadas após um gpupdate /force.
Por que as regras do AppLocker são ignoradas no Windows 11 Pro for Workstations
O AppLocker depende do serviço Application Identity para avaliar e aplicar as regras. Se esse serviço estiver parado ou configurado como Manual, o AppLocker não funciona. O Windows 11 Pro for Workstations inclui o mesmo mecanismo do AppLocker de outras edições, mas a configuração padrão do serviço pode ser diferente devido a otimizações de desempenho. Além disso, os ciclos de atualização da Política de Grupo podem falhar silenciosamente se o cliente não conseguir acessar um controlador de domínio ou se o armazenamento de política local estiver corrompido. Regras armazenadas em um arquivo XML personalizado que não é referenciado pela política do AppLocker também são ignoradas.
Estado do Serviço Application Identity
O serviço Application Identity deve estar em execução para que o AppLocker avalie qualquer regra. Em uma instalação limpa do Windows 11 Pro for Workstations, esse serviço é configurado como Manual e iniciado apenas quando necessário. Se o serviço estiver parado quando um usuário iniciar um aplicativo, o AppLocker não bloqueará nem permitirá. O serviço deve ser configurado como Automático e iniciado antes que o AppLocker possa aplicar as regras.
Falhas na Aplicação da Política de Grupo
As regras do AppLocker são aplicadas por meio da Política de Grupo. Se o computador estiver em um domínio, a política deve ser atualizada e aplicada corretamente. Uma falha na atualização da Política de Grupo devido a problemas de rede, erros de permissão ou um arquivo de política corrompido mantém as regras antigas ou nenhuma regra. A ferramenta Resultant Set of Policy (rsop.msc) pode mostrar se a política do AppLocker foi aplicada.
Problemas de Sintaxe e Armazenamento de Regras
As regras do AppLocker são armazenadas no registro em HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2. Se essa chave estiver ausente ou contiver entradas malformadas, o sistema ignora as regras. Regras exportadas para um arquivo XML e importadas incorretamente também podem causar erros de análise. O ID de Evento 8004 no log operacional do AppLocker indica uma falha na análise da regra.
Passos para corrigir regras do AppLocker ignoradas no Windows 11 Pro for Workstations
Siga estes passos em ordem. Cada passo aborda uma causa raiz específica. Verifique a aplicação do AppLocker após cada passo iniciando um aplicativo bloqueado.
- Iniciar o Serviço Application Identity e Configurá-lo como Automático
Pressione Win + R, digite services.msc e pressione Enter. Localize Application Identity na lista. Clique com o botão direito e selecione Propriedades. No menu suspenso Tipo de inicialização, escolha Automático. Clique em Aplicar e depois em Iniciar. Clique em OK. Isso garante que o serviço seja executado na inicialização e aplique as regras imediatamente. - Forçar uma Atualização da Política de Grupo
Abra o Prompt de Comando como Administrador. Digite gpupdate /force e pressione Enter. Aguarde a conclusão da atualização. Se aparecerem erros, execute gpresult /h gpresult.html para gerar um relatório HTML. Abra o relatório em um navegador e verifique a seção Modelos Administrativos para as configurações da política do AppLocker. - Verificar as Regras do AppLocker no Editor de Política de Grupo Local
Pressione Win + R, digite gpedit.msc e pressione Enter. Navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas de Controle de Aplicativos > AppLocker. Clique em Regras Executáveis, Regras do Windows Installer, Regras de Script e Regras de Aplicativos Empacotados. Confirme se as regras existem e se a configuração Aplicação não está definida como Não configurado. Clique com o botão direito em AppLocker e selecione Propriedades. Em Aplicação, defina cada coleção de regras como Aplicar regras. - Verificar o Log de Eventos Operacional do AppLocker para Erros
Abra o Visualizador de Eventos (eventvwr.msc). Expanda Logs de Aplicativos e Serviços > Microsoft > Windows > AppLocker. Clique em Operacional. Procure por IDs de Evento 8003 (regra aplicada), 8004 (erro de análise de regra) ou 8005 (regra não aplicada). Se você vir o Evento 8004, exporte as regras do AppLocker para um arquivo XML, exclua todas as regras no gpedit.msc e reimporte o XML usando a ação Importar Política. - Redefinir a Política do AppLocker para o Padrão e Reaplicar
Abra um Prompt de Comando elevado. Execute secedit /configure /cfg %windir%\inf\defltbase.inf /db defltbase.sdb /verbose para redefinir a política de segurança. Em seguida, abra o gpedit.msc e recrie suas regras do AppLocker. Este passo corrige o armazenamento de política corrompido no registro. - Verificar a Chave de Registro SrpV2
Pressione Win + R, digite regedit e pressione Enter. Navegue até HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\SrpV2. Certifique-se de que essa chave existe e contém subchaves para cada coleção de regras (Exe, Msi, Script, Appx). Se a chave estiver ausente, as regras do AppLocker não estão sendo lidas. Reaplique a política via gpedit.msc ou Console de Gerenciamento de Política de Grupo.
Se as regras do AppLocker ainda forem ignoradas no Windows 11 Pro for Workstations
Regras do AppLocker não aplicadas após uma Atualização do Windows
Uma Atualização do Windows pode redefinir o tipo de inicialização do serviço Application Identity para Manual. Verifique o estado do serviço novamente. Verifique também se a atualização não alterou a configuração de aplicação da política do AppLocker de volta para Não configurado. Reaplique a configuração de aplicação no gpedit.msc.
Regras aplicadas, mas aplicativos bloqueados ainda são executados
Isso ocorre quando o aplicativo bloqueado está sendo executado de um local que não é coberto pela regra. Por exemplo, uma regra bloqueando C:\Program Files\ não bloqueia um executável iniciado a partir de uma unidade USB. Revise as condições de caminho, editor ou hash de arquivo em suas regras. Use a ação Criar Regras Padrão no gpedit.msc para aplicar as regras padrão internas que cobrem a pasta do Windows e Program Files.
ID de Evento 8004: Erro de Análise de Regra
O arquivo XML da regra contém sintaxe inválida. Exporte todas as regras para XML, abra o arquivo no Bloco de Notas e verifique se há tags incompatíveis ou elementos de fechamento ausentes. Reimporte o XML corrigido. Se você não conseguir corrigir o XML, exclua todas as regras e recrie-as manualmente.
Locais de Armazenamento de Regras do AppLocker: Política de Grupo Local vs Importação XML
| Item | Política de Grupo Local (gpedit.msc) | Importação XML (PowerShell ou MMC) |
|---|---|---|
| Local de armazenamento | Registro sob a chave SrpV2 | Arquivo XML simples no disco |
| Método de aplicação | Automático na atualização da política | Requer importação manual e reinício do serviço |
| Dependência de serviço | Application Identity deve estar em execução | Application Identity deve estar em execução |
| Detecção de erros | ID de Evento 8004 se a análise falhar | ID de Evento 8004 se a análise falhar |
| Melhor para | Máquina única ou grupo de trabalho pequeno | Implantação em massa em várias máquinas |
Regras do AppLocker ignoradas no Windows 11 Pro for Workstations são quase sempre causadas pelo serviço Application Identity estar parado ou pela política não ter sido aplicada. Após iniciar o serviço e forçar uma atualização da Política de Grupo, verifique os logs de eventos para erros de análise. Se o problema persistir, redefina a política usando secedit e reaplique as regras através do gpedit.msc. Como dica avançada, use o cmdlet do PowerShell Get-AppLockerPolicy -Effective para verificar quais regras estão ativas no momento sem abrir o editor de Política de Grupo.