Bloqueie sites adultos com regras de firewall e AppLocker.

Controlar o que pode e o que não pode ser visto em uma rede é uma daquelas tarefas que muitos administradores adiam... até que surja o primeiro susto. Bloqueie sites adultos e aplicativos problemáticos com regras de firewall e o AppLocker. Atualmente, é quase obrigatório em ambientes profissionais e altamente recomendável em redes domésticas com menores, além de ativar o Controle dos pais no Windows 11.

Ao longo deste guia, você verá como Combine o Firewall do Windows, o AppLocker e boas práticas de filtragem, como usar DNS seguro Para impedir o acesso a sites adultos, limitar os programas que podem ser carregados na internet e manter um ambiente muito mais controlado, vamos analisar isso de uma perspectiva prática, mas também explicando a função de cada componente para que você possa ajustar a segurança de acordo com suas preferências.

O que é um firewall e por que ele é fundamental para bloquear sites adultos?

Um firewall é, basicamente, um Filtro que monitora e controla todo o tráfego de rede. que entra e sai de um dispositivo ou de toda uma rede. Imagine uma passagem de fronteira: cada pacote de dados que deseja entrar ou sair precisa passar por ela e cumprir determinadas regras.

Este firewall pode ser integrado ao roteador ou instalado como um software no computador, mas em ambos os casos sua finalidade é a mesma: Permitir apenas tráfego que esteja em conformidade com as políticas estabelecidas. e bloqueie o restante. Isso inclui, obviamente, conexões com sites de conteúdo adulto ou outros sites indesejados.

Na prática, um firewall pode funcionar em vários níveis: Bloqueio por IP, por domínio, por porta, por protocolo ou por aplicação.Para bloquear sites adultos, a abordagem mais comum é usar listas de domínios e regras de filtragem de conteúdo, e para controlar programas, são utilizadas regras de saída específicas.

Além de impedir o acesso não autorizado, Um bom conjunto de regras de firewall reduz o risco de malwaresphishing e vazamento de dadosMuitos sites com conteúdo adulto também exibem publicidade maliciosa. Download Scripts automatizados ou suspeitos podem ser bloqueados, proporcionando um importante reforço de segurança.

Tipos de sites inseguros e por que é importante bloqueá-los

Quando falamos em filtrar sites adultos, quase sempre pensamos apenas no componente moral ou de controle parental, mas existe um componente de cibersegurança muito forte atrásNão se trata apenas de proteger os menores; trata-se também de proteger a rede e os equipamentos.

Entre os tipos de sites mais problemáticos estão as páginas de Ataques de phishing são projetados para roubar credenciais ou dados bancários., aqueles que servem malware e cavalos de Troia através de downloads ou scripts sites incorporados e sites de spam que redirecionam constantemente para outros domínios não confiáveis.

Conteúdo adulto frequentemente vem acompanhado de pop-ups, anúncios enganosos e links disfarçados que terminam em... Sites repletos de vírus, ransomware e outros softwares maliciosos.Portanto, para muitas empresas, bloquear esses tipos de categorias é tanto uma medida de conformidade quanto uma prática básica de higiene digital.

Os firewalls modernos e os serviços de filtragem de conteúdo permitem que esses tipos de sites sejam agrupados em categorias (pornografia, jogos de azar, downloads ilegais, etc.) e Aplicar bloqueio em massa com base em listas atualizadas por fornecedores de segurança especializados.

Como um firewall ajuda a bloquear sites adultos e tráfego indesejado.

Um firewall configurado corretamente permite que você Decidir, de forma centralizada, quais destinos são permitidos e quais não são.Para sites adultos, geralmente são combinadas várias técnicas: bloqueio por domínio, por categoria e, em alguns casos, inspeção de tráfego mais aprofundada.

A primeira peça é a regras de firewall personalizadasEssas listas permitem especificar que nenhum dispositivo pode se comunicar com uma série de endereços IP ou domínios específicos associados a conteúdo adulto ou malware. Essa opção é muito flexível, mas exige que as listas sejam mantidas atualizadas.

A segunda peça são as listas de bloqueio ou listas negras gerenciadas por provedores de segurançaEssas listas incluem milhares de sites classificados como perigosos ou inadequados e são atualizadas com frequência. Muitos firewalls de gama média e alta, assim como soluções de filtragem de DNS, permitem que você se inscreva nessas listas. bases de dados.

Quando a filtragem por categoria está ativada, o firewall pode Bloquear automaticamente sites classificados como conteúdo adulto, jogos de azar, redes sociais ou outras categorias. que você deseja restringir. Isso simplifica bastante o gerenciamento, especialmente em redes grandes.

Bloquear o acesso à internet para aplicativos no Windows usando o firewall.

Além de filtrar sites, o firewall do Windows pode ser usado para impedir que certos programas se conectem à InternetÉ uma medida útil para aplicativos que você não deseja que sejam atualizados, exibam anúncios ou enviem informações para a nuvem sem sua permissão.

No Windows 10 e Windows 11 A configuração avançada do firewall ainda está em andamento. Painel de controle em “Firewall do Windows Defender com Segurança Avançada”Não no aplicativo Configurações moderno. É lá que você gerencia as chamadas regras de entrada e saída.

Sites para adultos geralmente são controlados no nível do navegador (por exemplo, Modo infantil do Microsoft Edge) ou DNS, mas O firewall do programa permite bloquear um navegador específico, um jogo ou qualquer arquivo executável. para que não seja publicado na Internet, o que também pode ser útil em ambientes com menores ou com equipamentos compartilhados.

Para que qualquer fechadura funcione, é essencial que O serviço Firewall do Windows está ativoDesativá-lo "para que não te incomode" anula completamente todas as proteções de rede que você possa ter configurado.

Bloquear um aplicativo que já esteja na lista básica do firewall.

Na visualização simplificada do firewall, acessível pelo Painel de Controle, você verá uma tela chamada “Permitir que um aplicativo ou recurso passe pelo Firewall do Windows Defender”Lá você encontrará uma lista de aplicativos com recursos para redes privadas e públicas.

Se um aplicativo já estiver nessa lista e você não quiser que ele se conecte à internet, simplesmente Desmarque a caixa principal localizada à esquerda do seu nome.Ao fazer isso, o Windows desativa automaticamente as opções de rede privada e pública, deixando o programa sem acesso à rede.

Este método é rápido e prático, embora um tanto limitado. Isso geralmente é suficiente para bloquear programas ou aplicativos simples que o Windows detecta automaticamente.Mas deixa a desejar se você precisar de um controle mais detalhado ou se quiser gerenciar muitos. Aplicativos de uma vez só.

Adicionar e bloquear um aplicativo que não esteja listado.

Se o aplicativo não estiver listado, você terá que tocar em “Permitir outra aplicação…”O nome pode ser enganoso, pois o que você deseja fazer é exatamente o oposto, mas trata-se da etapa exigida pela interface do Windows para registrar o executável primeiro.

Na janela pop-up, você precisará usar o botão. Use a opção "Procurar" para localizar o arquivo .exe no seu disco.Geralmente estará numa pasta dentro de "Arquivos de Programas" ou "Arquivos de Programas (x86)", a menos que você tenha alterado o caminho durante a instalação.

Depois de encontrar o executável, selecione-o, confirme com "OK" e clique em Clique em "Adicionar" para adicioná-lo à lista.A partir daí, aparecerá como qualquer outro aplicativo, com seu campo correspondente.

A etapa final consiste em Desmarque a caixa do aplicativo recém-adicionado. Para impedir o acesso à internet em redes privadas e públicas. Enquanto o firewall permanecer ativo e essa caixa estiver desmarcada, o aplicativo não poderá se comunicar com o mundo externo.

Bloqueio avançado: Crie regras de saída específicas no Firewall do Windows.

Quando você precisa de controle preciso sobre quais programas podem usar a Internet, o melhor é acessar o Configurações avançadas para “Firewall do Windows Defender com segurança avançada”É aí que são criadas regras de saída detalhadas para cada executável.

No painel esquerdo, você verá a seção “Regras de Saída”Qualquer programa que tente se conectar à Internet precisa passar por essas regras; se houver alguma que bloqueie seu tráfego, ele não conseguirá estabelecer a conexão.

No painel direito, em Ações, existe a opção “Nova regra…”Ao clicar, abre-se um assistente onde você pode escolher o tipo de regra (para bloquear sites e programas adultos, o tipo mais comum é "Programa").

Ao selecionar “Programa” e continuar, você poderá indicar o caminho exato para o executável que você deseja controlarAqui você pode digitá-lo manualmente (por exemplo, C:\Program Files\Application\app.exe) ou localizá-lo usando o botão "Procurar".

Em seguida, o assistente pedirá que você decida o que fazer com esse tráfego. O que nos interessa neste contexto é Selecione “Bloquear a conexão”.de forma que qualquer tentativa desse executável de acessar a rede seja diretamente bloqueada pelo firewall.

Na próxima etapa, você deve especificar a quais perfis de rede a regra será aplicada: Domínio, privado e públicoNa maioria dos casos, é melhor deixar as três opções ativadas, para que o bloqueio funcione independentemente de o dispositivo estar em uma rede corporativa, em uma rede Wi-Fi doméstica ou em um ponto de acesso público.

No final, tudo o que resta é dar ao governante um Um nome descritivo que identifique claramente o programa e a finalidade do bloco.Isso facilitará a localização posterior, caso você queira desativá-lo ou modificá-lo.

Habilitar, desabilitar e usar listas de permissões no Firewall do Windows

Há momentos em que você não só quer bloquear, mas também para garantir que determinadas aplicações possam sempre passar pelo firewall. Porque são essenciais para a empresa ou para o sistema. É aí que entra o conceito de lista branca.

Na visualização clássica do firewall, você pode usar a opção “Permitir que um aplicativo ou recurso passe pelo Firewall do Windows Defender” Para gerenciar essas listas de permissões, clique em “Alterar configurações” e selecione quais aplicativos estão autorizados em redes privadas e públicas.

Selecionar uma candidatura no perfil “Público” implica que Ele poderá se comunicar até mesmo em redes Wi-Fi abertas, que geralmente são muito inseguras.Portanto, é aconselhável restringir essa permissão apenas aos programas que realmente precisam dela e que não lidam com dados sensíveis.

Se você deseja bloquear temporariamente um programa que já possui uma regra de saída criada, não precisa excluí-la. Simplesmente... Acesse a lista “Regras de saída”, clique com o botão direito do mouse e escolha “Desativar regra”.Quando precisar que volte a funcionar, você pode ativá-lo novamente usando o mesmo procedimento.

O que é o AppLocker e por que ele é tão poderoso para bloquear aplicativos?

Enquanto o firewall decide Que tipo de tráfego de rede é permitido ou bloqueado?O AppLocker se concentra em Quais aplicativos podem ser executados em computadores Windows?É uma ferramenta de controle de aplicativos projetada principalmente para ambientes e servidores corporativos.

O AppLocker organiza suas configurações em várias categorias. coleções de regras, cada uma focada em um tipo de arquivo específicoIsso inclui arquivos executáveis ​​(.exe, .com), scripts (.ps1, .bat, .cmd, .vbs, .js), instaladores do Windows (.msi, .msp, .mst), aplicativos empacotados (.appx) e bibliotecas DLL (.dll, .ocx).

A coleção de regras DLL vem Desativado por padrão, justamente porque o controle rígido de DLLs pode quebrar muitos aplicativos. Se não for devidamente planejado. Quando um ambiente altamente seguro é necessário, ele pode ser habilitado nas propriedades do AppLocker na política de segurança local ou na política de grupo.

A grande vantagem do AppLocker é que você pode definir Quem pode executar o quê, com um nível de detalhamento muito alto.utilizando critérios como o editor (assinatura digital), o caminho do arquivo ou seu hash criptográfico.

Modos de aplicação do AppLocker: aplicar, auditar ou não configurar.

Cada conjunto de regras do AppLocker (executáveis, scripts, instaladores, etc.) pode estar em um diferentes modos de conformidadeIsso determina se as regras são realmente aplicadas ou apenas registradas para análise.

O modo “Aplicar regras"Este é o modo mais restritivo: quando um aplicativo afetado por uma regra tenta ser executado, o sistema o bloqueia e registra o evento no log do AppLocker. Este é o modo que você usará quando tiver clareza sobre o que deseja permitir e o que deseja negar."

O modo “Somente auditoria"Isso permite que os aplicativos sejam executados normalmente, mas Ele registra no visualizador de eventos toda a atividade que teria sido bloqueada se as regras estivessem em modo de aplicação.É ideal para testar novas políticas sem causar problemas.

Finalmente, há o estado “Não configurado”, o que muitas vezes causa confusão. O simples fato de uma coleção “não estar configurada” não significa necessariamente que ela esteja sendo ignorada: Se existirem regras, elas se aplicam, a menos que outra diretiva de maior prioridade as coloque em status de "somente para auditoria".Por isso, é sempre recomendável escolher explicitamente entre candidatar-se ou auditar.

Quando várias políticas do AppLocker são combinadas em um computador, as regras são agregadas e o modo resultante é determinado por precedência da diretiva do grupoSe você combinar políticas locais com políticas de domínio usando a opção -merge em PowerShellO Windows escolhe o modo de aplicação mais restritivo.

Condições de regra no AppLocker: editor, caminho e hash

As regras do AppLocker usam três tipos principais de condições para identificar com precisão a que arquivos eles se aplicam: por editora, por caminho ou por hash do arquivo.

a condição de A editora se baseia na assinatura digital e nos metadados associados ao arquivo. (nome do fornecedor, produto, nome do arquivo original, número da versão, etc.). Funciona muito bem com software assinado e permite criar regras como "permitir todas as versões deste produto deste fabricante".

Ao selecionar um arquivo de referência, o assistente preenche automaticamente os campos de editora, produto, nome do arquivo e versão. Você pode tornar a regra mais genérica. movendo o controle deslizante de versão ou usando o caractere curinga * nos campos de produto, nome ou versão, o que é essencial se você quiser incluir atualizações futuras.

a condição de O caminho identifica os aplicativos pela sua localização no sistema de arquivos ou na rede.O AppLocker oferece suporte a variáveis ​​de caminho especiais, como %WINDIR%, %SYSTEM32%, %PROGRAMFILES%, %OSDRIVE%, %REMOVABLE% ou %HOT%, o que ajuda a criar regras que permanecem mesmo se a letra da unidade for alterada.

a condição de O hash do arquivo é baseado no valor criptográfico calculado para aquele binário específico.Cada versão gera um hash diferente, portanto a regra se aplica apenas àquele arquivo específico. A desvantagem é que qualquer atualização exige o recálculo do hash e a atualização da regra.

Regras padrão e comportamento das regras no AppLocker

Ao criar uma nova política do AppLocker usando o Editor de Política de Grupo, você pode gerar Regras padrão projetadas para manter o Windows funcionando sem danificar o sistema.É altamente recomendável fazer isso na primeira vez.

As regras padrão para executáveis ​​incluem: Permitir que administradores locais executem todos os aplicativosPermitir que todos os usuários executem aplicativos localizados na pasta Windows, bem como aqueles localizados em Arquivos de Programas.

Regras semelhantes são definidas para scripts: Os administradores podem executar todos os scripts. Todos os usuários podem executar os arquivos localizados em Arquivos de Programas ou Windows. Os instaladores do Windows também possuem regras padrão que permitem que administradores executem qualquer arquivo MSI e que o grupo "Todos" execute instaladores assinados ou aqueles localizados em Windows\Installer.

Se não houver regras em um conjunto de regras, É permitido executar todos os arquivos desse tipo.Assim que você cria pelo menos uma regra, o comportamento muda: somente as ações que atendem a uma regra de permissão e não correspondem a nenhuma regra de negação são executadas.

Portanto, a estratégia recomendada é Trabalhe principalmente com regras de permissão e adicione exceções, em vez de misturar muitas regras de negação explícitas.Em caso de conflito, a ação de "negar" sempre prevalece e não há como anulá-la com outra regra.

Exceções às regras e sua aplicação a grupos de usuários

O AppLocker permite que você aplique cada regra a usuários ou grupos específicosIsso abre caminho para políticas altamente detalhadas. Você pode, por exemplo, criar regras diferentes para a equipe de suporte, usuários comuns e contas de serviço.

Se você criar uma regra geral que permita a todos executar uma série de aplicativos, mas você precisar impedir que um subconjunto de usuários utilize uma ferramenta específicaVocê pode confiar em regras de exceção. Um exemplo típico é permitir que todos executem o Windows, mas bloquear o acesso ao Editor do Registro para a maioria dos usuários.

Nesse cenário, você poderia definir a regra “Permitir que todos executem o Windows, exceto regedit.exe"E então adicione uma regra adicional: 'Permitir que o grupo de Suporte execute o regedit.exe'. Ao fazer isso com regras de permissão e exceções, você obtém um comportamento mais previsível do que se usar regras de negação globais."

É importante lembrar que o AppLocker, por definição, Não permite abrir ou executar nada que não seja expressamente permitido quando existem regras em uma coleção.Assim, o trabalho de catalogar aplicativos e manter a lista atualizada é constante, especialmente em ambientes muito mutáveis.

Ative e utilize a coleção de regras de DLL.

O controle de DLL é o nível mais agressivo do AppLocker, porque Quase todos os programas modernos carregam dezenas ou centenas de bibliotecas.Por isso, a coleta de regras DLL está desativada por padrão e só deve ser ativada depois que a política tiver sido completamente testada no modo de auditoria.

Para habilitá-lo localmente, você precisa Seja membro do grupo de administradores da equipe.A partir do menu Iniciar, você pode executar o secpol.msc, confirmar a solicitação de Controle de Conta de Usuário, caso ela apareça, e navegar até “Políticas de Controle de Aplicativos > AppLocker”.

Nas propriedades do AppLocker, você verá uma guia Avançado onde poderá Selecione a opção “Habilitar coleta de regras de DLL”.A partir desse momento, você pode definir regras específicas para bibliotecas dinâmicas, seguindo a mesma lógica de editor, caminho ou hash.

Criando regras com os assistentes do AppLocker

Para facilitar a vida do administrador, o Windows inclui dois assistentes principais para gerar regras do AppLockerO primeiro é o clássico “Assistente de Criação de Regras”, que guia passo a passo Definir uma única regra.

O segundo é o “Assistente para gerar regras automaticamenteEsta ferramenta examina uma pasta ou um conjunto de aplicativos instalados e gera várias regras de permissão simultaneamente. É muito útil como ponto de partida em sistemas de referência.

Com este assistente, você pode escolher o quê As regras geradas serão aplicadas ao usuário ou grupo. E ele próprio se preocupa em usar, sempre que possível, as condições do editor para tornar as regras mais resistentes a atualizações.

Exemplo prático: bloquear o Bloco de Notas com o AppLocker em um servidor RDS.

Um exemplo muito ilustrativo para entender o AppLocker é o de Bloquear o Bloco de Notas (notepad.exe) para um grupo específico de usuários. em um servidor de Serviços de Área de Trabalho Remota (RDS), permitindo que ele faça o restante.

A primeira coisa a fazer é garantir que o serviço “Identidade do aplicativoEstá em execução, pois o AppLocker depende dele. Por padrão, geralmente está desativado, então você pode iniciá-lo manualmente ou definir uma GPO para configurá-lo para iniciar automaticamente.

Do console de “Gerenciamento de políticas de grupo"Você cria um novo GPO vinculado à Unidade Organizacional (UO) onde os usuários ou o servidor RDS estão localizados. Dentro dessa política, acesse a seção "Controle de Aplicativos > AppLocker" e, em seguida, "Regras Executáveis"."

Lá você inicia o assistente para uma nova regra e escolhe a ação “NegarEm ”, você seleciona o grupo de usuários que NÃO devem usar o Bloco de Notas e, como condição, escolhe “Editor” ou “Caminho” para apontar para o executável notepad.exe.

É muito importante, na seção de versão do arquivo, Use um caractere curinga * para abranger qualquer versão futura do programa.Caso contrário, uma atualização menor poderá remover o novo executável do bloqueio.

Se esta for a primeira vez que você usa o AppLocker neste ambiente, o sistema sugerirá algumas opções. Crie regras padrão para evitar o bloqueio de componentes essenciais do sistema.Você deve aceitar esta proposta para evitar que o Windows se torne inutilizável.

No caso de um servidor de terminal Servidor/RDS, é recomendável configurar o Processamento de loopback No modo "substituir" ou "mesclar", para que a GPO do AppLocker seja aplicada especificamente às sessões do servidor e não afete involuntariamente os computadores cliente.

Após forçar a atualização da política com gpupdate /force e fazer com que o usuário afetado faça login novamente, Ao tentar abrir o Bloco de Notas, você verá um aviso de que o aplicativo foi bloqueado pelas políticas da empresa.Quer você o abra pelo menu ou pelo console.

Bloquear sites adultos e controlar o tráfego em outros sistemas e dispositivos.

Embora este artigo se concentre no Windows, A ideia de usar firewalls e filtros para bloquear sites adultos se aplica a qualquer sistema operacional.No macOS, por exemplo, o firewall integrado pode ser ativado em Configurações do Sistema > Rede e Internet ou Segurança e Privacidade, dependendo da versão.

Após a ativação, você poderá visualizar uma lista das opções do firewall. aplicativos e serviços permitidos ou bloqueados e adicione novas tocando no botão “+”. Para cada aplicativo, você pode optar por permitir ou bloquear conexões de entrada, o que ajuda a reduzir sua superfície de ataque.

En móvel (Android, iOSO controle geralmente é exercido através de aplicativos de firewall ou soluções de controle parental que integram a filtragem de conteúdo por categorias. Muitos operam no nível de VPN ou DNS filtrado, forçando todo o tráfego a passar por um servidor que Bloqueia determinados sites no Android e outros sites indesejados.

O roteador, que é o ponto de entrada da rede, geralmente possui um firewall integrado que permite Criar regras de bloqueio em toda a rede.Bloquear sites adultos no roteador garante que todos os dispositivos conectados (PCs, tablets, celulares, Smart TVs) estejam protegidos sem a necessidade de configurar cada um separadamente.