Neste artigo, explicarei em como elevar a seguran\u00e7a dos computadores em um dom\u00ednio utilizando group policy.<\/p>\n
Introdu\u00e7\u00e3o<\/p>\n
Com Group Policy, voc\u00ea pode controlar o comportamento, apar\u00eancia e a seguran\u00e7a e tamb\u00e9m podendo padronizar e restringir muita das caracter\u00edsticas do Windows Explorer como:<\/p>\n
\u2022 Restringir \u00edcones do desktop;
\n\u2022 Limitar um n\u00famero de programas a serem executados;
\n\u2022 Ocultar unidades;
\n\u2022 Restringir caracter\u00edsticas do Active Desktop;
\n\u2022 Remover caracter\u00edsticas desnecess\u00e1rias;<\/p>\n
Aplicando Group Policy, ajuda prevenir que os usu\u00e1rios alterem as configura\u00e7\u00f5es acidentalmente, com isso diminuindo o risco e o downtime na opera\u00e7\u00e3o dos computadores. Isso aplica para ambiente de \u00fanico usu\u00e1rio ou de m\u00faltiplos usu\u00e1rios \u201cTerminal Server\u201d onde dependendo da altera\u00e7\u00e3o, acaba afetando todos os usu\u00e1rios.
\nVoc\u00ea pode come\u00e7ar a aplicar o conceito de Gerenciamento de Identidade usando Group Policy, pois \u00e9 poss\u00edvel definir grupo de aplicativos que o usu\u00e1rio poder\u00e1 executar e alem disso voc\u00ea aumenta a seguran\u00e7a, pois impede que o usu\u00e1rio execute acidentalmente um aplicativo de c\u00f3digo malicioso.
\nN\u00e3o s\u00f3 aplic\u00e1vel nos componentes do Windows, mas tamb\u00e9m podendo ser usado para controlar o Internet Explorer. H\u00e1 dois caminhos para voc\u00ea restringir ou definir configura\u00e7\u00f5es:<\/p>\n
\u2022 \\User Configuration\\Windows Settings\\Internet Explorer Maintenance
\nAs configura\u00e7\u00f5es do Internet Explorer Maintenance controlam Home Page, Zonas, Rating, e outros.
\n\u2022 \\User Configuration\\Administrative Templates\\Windows Components\\Internet Explorer<\/p>\n
As configura\u00e7\u00f5es do Internet Explorer permitem voc\u00ea desabilitar componentes do Internet Explorer.
\nMas para uma maior seguran\u00e7a, utilize o Microsoft Internet Security Accelerator (o famoso ISA), que tem a capacidade de fazer analise de protocolo, restringir acesso a paginas n\u00e3o autorizadas, e outros.<\/p>\n
Limita\u00e7\u00f5es<\/p>\n
Se voc\u00ea restringir algum componente do Windows e os usu\u00e1rios abaixarem da internet uma ferramenta similar, o group policy n\u00e3o conseguir\u00e1 aplicar a restri\u00e7\u00e3o nesta ferramenta.
\nOutro exemplo, voc\u00ea restringiu a caixa de dialogo Op\u00e7\u00f5es da Internet do Internet Explorer, mas usu\u00e1rios conseguem alterar as configura\u00e7\u00f5es pelo Painel de Controle.
\nPor estas raz\u00f5es, realize rigorosos testes antes de aplicar no ambiente de produ\u00e7\u00e3o.<\/p>\n
GPOs do Windows Explorer<\/p>\n
Abaixo segue GPOs para voc\u00ea poder controlar o comportamento, apar\u00eancia e a seguran\u00e7a do Windows Explorer.
\nRealize rigorosos testes antes de aplicar no ambiente de produ\u00e7\u00e3o.<\/p>\n
Removendo Acesso dos \u00cdcones de Configura\u00e7\u00e3o<\/p>\n
Para desabilitar o Painel de Controle.
\n1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Control Painel;
\n3. Clicar duas vezes na gpo Disable Control Painel;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para desabilitar o Meus Locais de Rede.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Desktop;
\n3. Clicar duas vezes na gpo Hide My Network Places Icon on Desktop;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Ocultar Todos os \u00cdcones da \u00c1rea de Trabalho.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates > Windows Components, selecionar Desktop;
\n3. Clicar duas vezes na gpo Hide All Icons On Desktop;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Restringindo acesso a Escut\u00e1veis Perigosos<\/p>\n
Para Desabilitar o Regedit.<\/p>\n
1. Abrir o Editor de Group Policy;
\n5. Expandir > User Configuration > Administrative Templates, selecionar System;
\n6. Clicar duas vezes na gpo Disable Registry Editing Tools;
\n7. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Desabilitar o Prompt de Commando.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar System;
\n3. Clicar duas vezes na gpo Disable The Command Prompt;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Desabilitar o Task Manager.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates > System > selecionar Logon\/Logoff;
\n3. Clicar duas vezes na gpo Disable Task Manager;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Modificando as Configura\u00e7\u00f5es do Menu Iniciar<\/p>\n
Para Desabilitar o Menu Configura\u00e7\u00f5es.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Disable Programs On Settings;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Desabilitar e Remover o Link do Windows Update.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Disable And Remove Links To Windows Update dialog box;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Adicionar o Logoff no Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Add Logoff On The Start Menu;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Comando ShutDown do Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Disable And Remove The ShutDown Command;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Menu Pesquisa do Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Remove Search Menu From Start Menu;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Menu Executar do Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Remove Rum Menu From Start Menu;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Menu Ajuda do Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Remove Help Menu From Start Menu;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Menu Favoritos do Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Remove Favorites Menu From Start Menu;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Menu Documentos do Menu Iniciar.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Remove Documents Menu From Start Menu;
\n4. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Para Remover o Menu Barra de tarefas e menu iniciar do Menu Iniciar > Configura\u00e7\u00f5es.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
\n3. Clicar duas vezes na gpo Disable Changes To Taskbar And Start Menu Settings;
\n5. Selecionar Enabled, clicar no bot\u00e3o OK.<\/p>\n
Restrigindo Acesso a Unidades Locais<\/p>\n
Para Restringir o Acesso a Unidades Locais no Windows Explorer<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Windows Components;
\n3. Clicar duas vezes na gpo Hide These Specified Drivers In My Computer;
\n4. Selecionar Enabled e selecionar Restrict A, B, C, and D Drivers, clicar no bot\u00e3o OK.<\/p>\n
Para Restringir o Acesso aos Drivers no Meu Computador.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar Windows Components;
\n3. Clicar duas vezes na gpo Prevent Acess to Drivers From My Computer;
\n4. Selecionar Enabled e selecionar Restrict A, B, C, and D Drivers, clicar no bot\u00e3o OK.<\/p>\n
Permitindo Apenas Programas \u201cExecut\u00e1veis\u201d Aprovados<\/p>\n
Para Permitir Apenas Execut\u00e1veis Aprovados.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates, selecionar System;
\n3. Clicar duas vezes na gpo Run Only Allowed Windows Applications;
\n5. Selecionar Enabled e clicar no bot\u00e3o Show;
\n6. Digitar os aplicativos aprovados. Exemplo: Winword.exe e Powerpnt.exe;
\n7. Clicar no bot\u00e3o OK e novamente OK.<\/p>\n
Restringindo o Acesso do MMC para os Usu\u00e1rios Comuns<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrative Templates Windows Components, selecionar Microsoft Management Console;
\n3. Clicar duas vezes na gpo Restrict The User From Entering Author Mode;
\n4. Selecionar Enabled e clicar no OK;
\n5. Clicar com o bot\u00e3o direito do mouse no group policy que voc\u00ea criou para restringir o MMC, selecionar o menu Propriedades;
\n6. Clicar na guia Security e Adicionar o grupo Domain Admins;
\n7. Na permiss\u00e3o Apply Group Policy, selecionar Deny e clicar no bot\u00e3o OK;
\n8. Aparecer\u00e1 um Alerta de Seguran\u00e7a e clicar no bot\u00e3o OK.<\/p>\n
GPOs de Internet Explorer<\/p>\n
Abaixo segue GPO para voc\u00ea pode controlar o comportamento, apar\u00eancia e a seguran\u00e7a do Internet Explorer.
\nRealize rigorosos testes antes de aplicar no ambiente de produ\u00e7\u00e3o.<\/p>\n
Alterando Titulo e Links<\/p>\n
Para Alterar o Titulo.
\n1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Windows Settings > Internet Explorer Maintenance, selecionar o Browser User Interface;
\n3. Clicar duas vezes na gpo Bowser Title;
\n4. Digitar o nome e clicar no bot\u00e3o OK;
\n5. Clicar com o bot\u00e3o direito do mouse no group policy que voc\u00ea criou para restringir o MMC, selecionar o menu Propriedades;
\n6. Clicar na guia Security e Adicionar o grupo Domain Admins;
\n7. Na permiss\u00e3o Apply Group Policy, selecionar Deny e clicar no bot\u00e3o OK;
\n8. Aparecer\u00e1 um Alerta de Seguran\u00e7a e clicar no bot\u00e3o OK.<\/p>\n
Para Alterar URLs.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Windows Settings > Internet Explorer Maintenance, selecionar URLs;
\n3. Clicar duas vezes na gpo Important URLs;
\n4. Na caixa de dialogo Importants URLs, selecione Customize Home Page URL e digite o endere\u00e7o da URL: http:\/\/www.microsoft.com.br;
\n5. Selecione Customize Search Bar URL e digite o nome da URL de busca: http:\/\/www.msn.com.br;
\n6. Selecione Customize Online Support Page URL e digite o nome da URL de suporte: http:\/\/support.microsoft.com;
\n7. Clique no bot\u00e3o OK.<\/p>\n
Configurando a Zonas Internet do Internet Explorer<\/p>\n
Para Alterar a Zona Internet do Internet Explore.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Windows Settings > Internet Explorer Maintenance, selecionar Security;
\n3. Clicar duas vezes na gpo Security Zones And Content Ratings;
\n4. Na caixa de dialogo Security Zones And Content Ratings, selecionar Import Current Security Zone Settings;
\n5. Clicar em Modify Settings, na caixa de dialogo Security, selecionar Internet e clicar no bot\u00e3o Custom Level…;
\n6. Na caixa de dialogo Security Settings, altere o campo Reset to para High, clique no bot\u00e3o Reset, clique no bot\u00e3o Yes para confirmar e clique no bot\u00e3o OK.
\n7. Clique no bot\u00e3o OK para fechar a caixa de dialogo Security;
\n8. Clique no bot\u00e3o OK para fechar a caixa de dialogo Security Zones And Content Ratings;
\n9. Clicar com o bot\u00e3o direito do mouse no group policy que voc\u00ea criou para restringir o MMC, selecionar o menu Propriedades.<\/p>\n
Prevenindo Altera\u00e7\u00f5es nas Configura\u00e7\u00f5es do Internet Explorer<\/p>\n
Para Desabilitar a Altera\u00e7\u00e3o das Configura\u00e7\u00f5es de Proxy.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components, selecionar Internet Explorer;
\n3. Clicar duas vezes no Disable Changing Proxy Settings;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar o Assistente para Conex\u00e3o com a Internet.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components, selecionar Internet Explorer;
\n3. Clicar duas vezes no Disable Internet Connection Wizard;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar a Pagina Geral do Internet Explorer.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
\n3. Clicar duas vezes no Disable The General Page;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar a Pagina Seguran\u00e7a do Internet Explorer.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
\n3. Clicar duas vezes no Disable The Security Page;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar a Pagina Conte\u00fado do Internet Explorer.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
\n3. Clicar duas vezes no Disable The Content Page;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar a Pagina Conex\u00f5es do Internet Explorer.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
\n3. Clicar duas vezes no Disable The Connections Page;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar a Pagina Programas do Internet Explorer.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
\n3. Clicar duas vezes no Disable The Programs Page;
\n4. Selecionar Enabled e clicar no OK.<\/p>\n
Para Desabilitar a Pagina Avan\u00e7ado do Internet Explorer.<\/p>\n
1. Abrir o Editor de Group Policy;
\n2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
\n3. Clicar duas vezes no Disable The Advanced Page;
\n4. Selecionar Enabled e clicar no OK. <\/p>\n","protected":false},"excerpt":{"rendered":"
Neste artigo, explicarei em como elevar a seguran\u00e7a dos computadores em um dom\u00ednio utilizando group policy. Introdu\u00e7\u00e3o Com Group Policy, voc\u00ea pode controlar o comportamento, apar\u00eancia e a seguran\u00e7a e tamb\u00e9m podendo padronizar e restringir muita das caracter\u00edsticas do Windows Explorer como: \u2022 Restringir \u00edcones…<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[3],"tags":[],"_links":{"self":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/129"}],"collection":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=129"}],"version-history":[{"count":0,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=\/wp\/v2\/posts\/129\/revisions"}],"wp:attachment":[{"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=129"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=129"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/blog.abratel.com.br\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=129"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}