GPO Configura Firewall e Bloqueia Painel de Controle

UNIVERSIDADE ESTÁCIO DE SÁ

PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES

ALEX SANDRO BASTOS

CRISTIANO CARVALHO

PATRICIA GONÇALVES

GPO – Group Police Objects

Rio de Janeiro – RJ

2012

GPO – Group Police Objects

ALEX SANDRO BASTOS
CRISTIANO CARVALHO
PATRICIA GONÇALVES

Trabalho apresentado como requisito
para avaliação na disciplina Sistemas
de Controle de Acesso do curso de
pós-graduação em Segurança de
Redes de Computadores da
Universidade Estácio de Sá.

Professor: Cassio Ramos

Rio de Janeiro – RJ
2012

Introdução

Uma das maiores tarefas de um administrador de sistemas é gerenciar usuários,
grupos e computadores da rede. Imagine você tendo um parque de máquinas com 1500
desktops para gerenciar e precisa mudar uma configuração em todas elas.
A princípio você deve pensar que gastará no mínimo um mês para terminar essa
tarefa, mas se você estiver em ambiente Windows com Active Directory, essa tarefa não
levará mais que alguns minutos através de um recurso chamado Group Policy (GPO).
A Group Policy (GPO) é capaz de mudar configurações, restringir ações ou até
mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas e podem
ser aplicadas em sites, domínios e unidades organizacionais (OUs). Se você criou uma OU
para cada departamento da sua empresa, poderá então, fazer diferentes configurações de
GPO para cada departamento.
As GPOs são baseadas em templates que possuem uma lista de opções
configuráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções:
Enable: Especifica que aquele item será ativado.
Disable: Especifica que aquele item será desativado.
Not Configured: Deixa a opção neutra, nem ativa e nem desativa o item, ou seja,
fica como está agora. Esta é a configuração padrão.
As configurações das GPOs podem ser aplicadas em dois tipos de objetos do Active
Directory: Usuários e Computadores, desde que estejam em uma OU. Se houver algum
conflito entre as configurações dos computadores e dos usuários, as configurações dos
usuários vão prevalecer, infelizmente não é possível aplicar uma GPO em um grupo de
segurança ou distribuição.
Os tipos de configurações que podem ser feitas estão descritas abaixo:
Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuir
aplicações para usuários finais.
Windows Settings: Permite ao administrador customizar as configurações do
Windows. Estas opções são diferentes para usuários e computadores.
Por exemplo: Nos computadores, eu posso criar um script para ser executado no
Startup e Shutdown. Nos usuários eu crio scripts para rodar no Logon e Logoff. Além disso,
nos usuários posso mudar configurações do Internet Explorer, redirecionar pastas, etc.
Administrative Templates: Também são diferentes as opções para computadores e
usuários.
Por exemplo: Nos computadores eu posso configurar itens do Sistema e nos
usuários, posso configurar o Menu Iniciar e Barra de Tarefas.

Hierarquia das GPOs

Outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em
3 níveis diferentes: sites, domínios e OUs.

Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a
todos os domínios que fazem parte dele.
Domínios: É o segundo nível. Configurações feitas aqui afetarão todos os usuários e
grupos dentro do domínio.
OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela.
É importante lembrar que as opções são cumulativas por padrão. Sendo assim, se
eu sou um usuário da OU Engenharia, posso receber configurações que vem do Site,
Domínio e da minha própria OU.

Exemplo:
No Site foi configurada uma GPO para os usuários mudarem a senha a cada 50 dias.
No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OU
Engenharia, foi configurada outra GPO para especificar o papel de parede padrão do meu
desktop. Quando eu me logar serão aplicadas as três GPOs.

Heranças de Group Policy

Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO no
Domínio para mudar a senha a cada 30 dias? Haveria um conflito de GPOs, pois no Site
está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como
ocorrem às heranças de GPOs.
Por default, quem está mais próximo do usuário tem preferência na aplicação da
GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será
aplicada. Entretanto, o Administrador do Sistema pode alterar esse comportamento através
de duas opções descritas abaixo:

Block Policy Inheritance (Bloquear heranças de políticas)
Especifica que as configurações da GPO para um objeto não será herdada do nível
superior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicar
uma configuração específica para aquela OU.

Force Policy Inheritance (Forçar herança de políticas)
Especifica que você não permitirá que níveis filhos possam sobrescrever suas
configurações de GPO. Por exemplo: Sou administrador de um site da minha empresa e
criei uma política de senha forte através de GPO com 9 caracteres e não quero que o
Administrador do Domínio e nem o das OUs dos domínios possam sobrescrever minha
política. Neste caso eu crio minha GPO, aplico ao Site e marco a opção de Force Policy
Inheritance.
Agora que já entendemos como funcionam as Group Polices ou Politicas de grupo,
vamos a alguns exemplos práticos de como aplicá-las. Após os exemplos você verá que é
muito fácil a implementação das políticas de grupo e poderá explorar este universo criando
suas próprias políticas nas mais diversas áreas do sistema de acordo com suas
necessidades.

Criando as políticas de grupo

Podemos criar de uma única política diversas alterações/restrições para o sistema
operacional ou podemos criar uma política para cada alteração/restrição. Para fins didáticos
e melhor entendimento do assunto, vamos criar uma alteração/restrição por política.
Neste momento vamos apenas criar a política de grupo, mas ainda não vamos
aplicá-la para nenhum site, domínio ou OU.

Para abrir o console de gerenciamento de política de grupo:
Iniciar > Ferramentas administrativas > Gerenciamento de Diretivas de Grupo.

Figura 1 - Abrindo a console do GPMC

Console de Gerenciamento de Políticas de Grupo

Figura 2 - Console de Gerenciamento de Políticas de Grupo

Vamos começar criando uma política para desabilitar o acesso ao painel de controle
do computador, esta política será uma política de usuários, ou seja, em todo computador
que este usuário logar a política será aplicada. Para criar esta política devemos fazer o
seguinte:

Clicar com o botão direito do mouse em cima de Objeto de diretiva de grupo e depois
em Novo.

Figura 3 - Criando uma nova política de grupo

Após isso devemos dar um nome a nossa GPO, escolhi “desabilitando o painel de
controle”, é sempre bom dar um nome que facilite lembrar o que aquela GPO faz, pois isso
vai facilitar a sua manutenção e administração.

Figura 4 - Nomeando a política

Feito isso poderemos editar nossa política, para isso devemos clicar com o botão
direto do mouse sob a política criada e sem seguida em editar.

Figura 5 - Editando a Política de Grupo

Desabilitando o painel de controle via GPO:

Configuração do Usuário > Modelos Administrativos > Painel de Controle, clicar duas vezes
sobre “Proibir acesso ao Painel de Controle” e em seguida escolher a opção “Habilitado”,
Aplicar e OK.

Figura 6 - Desabilitando o acesso ao Painel de Controle

Feito isto nossa política para bloqueio ao painel de controle esta pronta, basta agora
aplicarmos esta política nas UOs (Unidades Organizacionais), Domínios ou Sites de nosso
interesse.
Vamos dizer que esta política deve ser aplica em todo o nosso domínio, devemos
então clicar com o botão direito do mouse sobre o domínio em meu caso “Posgrad.edu” e
em seguida em “vincular com GPO existente” .

Figura 7 - Vinculando GPO existente ao Domínio

Em seguida devemos marcar a GPO que queremos aplicar e clicar em OK.

Figura 8 - Escolhendo a GPO

Assim a GPO está aplicada para o Domínio, conforme figura abaixo:

Figura 9 - GPO vinculada

Agora vamos dar um exemplo de uma política para computadores, ou seja, será
aplicada a todos os computadores a que a política estiver vinculada, independente do
usuário que esteja logado. Vamos dizer que queremos que em todos os desktops o firewall
esteja ativado para o perfil do domínio, que todas as conexões de entrada sejam negadas e
que todas as conexões de saída sejam permitidas. Para isto vamos criar uma nova política
(Figura 3), dar o nome de “configurações de firewall” (Figura 4) e editar esta GPO (Figura 5).

Para fazermos as configurações acima vamos em:
Configurações do computador > Diretivas > Configurações do Windows > Configurações de
Segurança > Firewall do Windows > Firewall do Windows e depois clicar em “Propriedades
do Firewall do Windows”.

Figura 10 - Configurando a Política do Firewall

Na janela que vai se abrir vamos escolher as opções para o perfil de Domínio:
Estado do Firewall: Habilitado.
Conexões de entrada: Bloquear todas as conexões.
Conexões de saída: Permitir (padrão).
Depois, aplicar e OK.

Figura 11 - Configuando as opções de firewall

Feito isto basta vincularmos a GPO ao nosso domínio (Figuras 7 e 8).

Figura 12 - GPO de Firewall vinculada

Agora que mostramos como criar políticas para usuários e para computadores e
como vinculá-las aos Sites, Domínios e OUs, você pode criar suas próprias políticas de
acordor com suas necessidades.
Abaixo vamos listar uma série de políticas que podem ser aplicadas em seu domínio
para reforçar a segurança da sua empresa.

Exemplos de políticas de segurança:

GPOs do Windows Explorer

Abaixo seguem GPOs para você poder controlar o comportamento, aparência e a
segurança do Windows Explorer. Antes de colocar em produção executem testes em uma
área controlada.

Para desabilitar o Meus Locais de Rede.

1. Abrir o Editor de Política de Grupo;

2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Área de
trabalho;

3. Clicar duas vezes na GPO "Ocultar o ícone Locais de rede na Área de trabalho";

4. Selecionar Habilitado, clicar no botão OK.

Para Ocultar Todos os Ícones da Área de Trabalho.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do
Windows, selecionar Área de trabalho;

3. Clicar duas vezes na GPO "Ocultar e desabilitar todos os ícones da Área de trabalho";


Restringindo acesso a Escutáveis Perigosos

Para Desabilitar o Regedit.


2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Sistema;

3. Clicar duas vezes na GPO "Impedir acesso a ferramenta de edição de registro";


Para Desabilitar o Prompt de Comando.



3. Clicar duas vezes na GPO "Impedir o acesso ao prompt de comando";


Para Desabilitar o Gerenciador de Tarefas.


2. Expandir > Configurações de usuário > Modelos Administrativos > Sistema > selecionar
Ctrl+Alt+Del Opções;

3. Clicar duas vezes na GPO "Remove gerenciador de tarefas";


Modificando as Configurações do Menu Iniciar

Para Desabilitar o Menu Configurações.


2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciar
e barra de tarefas;

3. Clicar duas vezes na GPO "Remover programas no menu configurações";


Para Desabilitar e Remover o Link do Windows Update.


e barra de tarefas;

3. Clicar duas vezes na GPO "Remove links e acessos ao Windows Update";


Para Adicionar Logoff no Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO "Adicionar Fazer Logoff ao menu iniciar";


Para Remover Comando Desligar do Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO “Remover Desligar do menu iniciar”;


Para Remover Menu Pesquisa do Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO "Remover pesquisar do menu iniciar";


Para Remover Menu Executar do Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO "Remover Executar do menu iniciar";


Para Remover Menu Ajuda do Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO “Remove Ajuda do menu iniciar”;


Para Remover Menu Favoritos do Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO “Remover Favoritos do menu iniciar”;


Para Remover Menu Documentos do Menu Iniciar.


e barra de tarefas;

3. Clicar duas vezes na GPO “Remover Meus Documentos do menu iniciar”;


Para Remover Menu Barra de tarefas e menu iniciar do Menu Iniciar >
Configurações.


e barra de tarefas;

3. Clicar duas vezes na GPO “Impedir alterações nas configurações de Barra de tarefas e
menu iniciar”;


Restrigindo Acesso a Unidades Locais

Para Restringir Acesso a Unidades Locais no Windows Explorer.


Windows, Windows Explorer;

3. Clicar duas vezes na GPO "Impedir acesso a unidades de Meu Computador";

4. Selecionar Habilitado e selecionar Restringir unidades A, B, C, e D, clicar no botão OK.

Para Permitir Apenas Executáveis Aprovados.



3. Clicar duas vezes na GPO "Executar apenas aplicativos do Windows especificados";

5. Selecionar Habilitado e clicar no botão Exibir;

6. Digitar os aplicativos aprovados. Exemplo: Winword.exe e Powerpnt.exe;

7. Clicar no botão OK e novamente OK.

Restringindo Acesso do MMC para os Usuários Comuns

Para Restringir Acesso do MMC para os Usuários.


Windows, selecionar Console de Gerenciamento Microsoft;

3. Clicar duas vezes na GPO “Impedir que o usuário entre no modo de Autor”;

4. Selecionar Habilitado e clicar no OK;

5. Clicar com o botão direito do mouse no Política de Grupo que você criou para restringir o
MMC, selecionar o menu Propriedades;

6. Clicar na guia Segurança e Adicionar o grupo Administradores do Domínio;

7. Na permissão Aplicar Política de Grupo, selecionar Negar e clicar no botão OK;

8. Aparecerá um Alerta de Segurança e clicar no botão OK.

GPOs de Internet Explorer

Abaixo segue GPOs para você poder controlar o comportamento, aparência e a
segurança do Internet Explorer.

Alterando Titulo e Links

Para Alterar o Titulo.


2. Expandir > Configurações de usuário > Componentes do Windows > Internet Explorer,
selecionar as Configurações do Usuário;

3. Clicar duas vezes na GPO “Titulo do Bowser”;

4. Digitar o nome e clicar no botão OK;

5. Clicar com o botão direito do mouse na Política de Grupo que você criou para restringir o
MMC, selecionar o menu propriedades;

6. Clicar na guia Segurança e Adicionar o grupo Administradores do Domínio;

7. Na permissão Aplicar Política de Grupo, selecionar “Negar” e clicar no botão OK;

8. Aparecerá um Alerta de Segurança e clicar no botão OK.

Para Alterar URLs.


2. Expandir > Configurações de usuário > Componentes do Windows > Internet Explorer,
selecionar URLs;

3. Clicar duas vezes na GPO “URLs Importantes”;

4. Na caixa de dialogo URLs Importantes, selecione Customize Home Page URL e digite o
endereço da URL: http://www.microsoft.com.br;

5. Selecione “Customizar URL de busca e digite o nome da URL de busca”:
http://www.msn.com.br;

6. Selecione “Customizar URL” e página de suporte e digite o nome da URL de suporte:
http://support.microsoft.com;

7. Clique no botão OK.

Configurando a Zonas Internet do Internet Explorer

Para Alterar a Zona Internet do Internet Explore.


2. Expandir > Configurações de usuário > Componentes do Windows > Manutenção do
Internet Explorer, selecionar Segurança;

3. Clicar duas vezes na GPO “Zonas de segurança e Classificação de Conteúdo”;

4. Na caixa de dialogo “Zonas de segurança e Classificação de Conteúdo”, selecionar
“Importar as configurações atuais das zonas de segurança e privacidade”;

5. Clicar em “Modificar Configurações”, na caixa de dialogo “Segurança”, selecionar
“Internet” e clicar no botão “Nivel de segurança”;

6. Na caixa de dialogo “Configurações de segurança”, altere o campo “Alterar o nível
padrão”, clique no botão “Reset”, clique no botão “Sim”, para confirmar e clique no botão
OK.

7. Clique no botão OK para fechar a caixa de dialogo Segurança;

8. Clicar com o botão direito do mouse na Política de Grupo que você criou para restringir o
MMC, selecionar o Menu Propriedades.

Prevenindo Alterações nas Configurações do Internet Explorer

Para Desabilitar a Alteração das Configurações de Proxy.


Windows, selecionar Internet Explorer;

3. Clicar duas vezes na GPO "Desabilitar alteração nas configurações de proxy";

4. Selecionar Habilitado e clicar no OK.

Para Desabilitar o Assistente para Conexão com a Internet.


Windows, selecionar Internet Explorer;

3. Clicar duas vezes no “Desabilitar assistente de conexão da Internet”;


Para Desabilitar a Pagina Geral do Internet Explorer.


Windows > Internet Explorer, selecionar Painel de Controle da Internet;

3. Clicar duas vezes no “Desativar a página geral”;


Para Desabilitar a Pagina Segurança do Internet Explorer.



3. Clicar duas vezes no “Desativar a página segurança”;


Para Desabilitar a Pagina Conteúdo do Internet Explorer.



3. Clicar duas vezes no “Desativar a página conteúdo”;


Para Desabilitar a Pagina Conexões do Internet Explorer.



3. Clicar duas vezes no “Desativar a página conexões”;


Para Desabilitar a Pagina Programas do Internet Explorer.



3. Clicar duas vezes no “Desativar a página programas”;


Para Desabilitar a Pagina Avançado do Internet Explorer.



3. Clicar duas vezes no “Desativar a página avançada”;


Conclusão

A necessidade de melhorar o gerenciamento e diminuir o custo operacional da área
do suporte das empresas ocasionou o surgimento de ótimos aplicativos para os
administradores de redes no ambiente Windows. A união do AD com as políticas de grupos
acabaram se tornando um fato relevante, pois as políticas de grupos atribuem um ótimo
benefício a um baixo custo operacional, trazem muitas possibilidades aos gerenciadores de
uma rede de computadores, sua implantação é rápida e cada vez mais simplificada.

Referencias bibliográficas:

http://technet.microsoft.com/pt-br/library/cc668545.aspx

http://www.andersonpatricio.org/Tutoriais/AP505_b.html

http://www.inf.furb.br/tcc/index.php?cd=9&tcc=1040

GPO Configura Firewall e Bloqueia Painel de Controle

Empfohlen

Empfohlen

Weitere ähnliche Inhalte

Was ist angesagt?

Was ist angesagt? (20)

Ähnlich wie GPO Configura Firewall e Bloqueia Painel de Controle

Ähnlich wie GPO Configura Firewall e Bloqueia Painel de Controle (20)

Mehr von Cassio Ramos

Mehr von Cassio Ramos (20)

GPO Configura Firewall e Bloqueia Painel de Controle