domingo, 15 de fevereiro de 2009

Elevando a Segurança Usando GPO

Neste artigo, explicarei em como elevar a segurança dos computadores em um domínio utilizando group policy.

Introdução

Com Group Policy, você pode controlar o comportamento, aparência e a segurança e também podendo padronizar e restringir muita das características do Windows Explorer como:

• Restringir ícones do desktop;
• Limitar um número de programas a serem executados;
• Ocultar unidades;
• Restringir características do Active Desktop;
• Remover características desnecessárias;

Aplicando Group Policy, ajuda prevenir que os usuários alterem as configurações acidentalmente, com isso diminuindo o risco e o downtime na operação dos computadores. Isso aplica para ambiente de único usuário ou de múltiplos usuários “Terminal Server” onde dependendo da alteração, acaba afetando todos os usuários.
Você pode começar a aplicar o conceito de Gerenciamento de Identidade usando Group Policy, pois é possível definir grupo de aplicativos que o usuário poderá executar e alem disso você aumenta a segurança, pois impede que o usuário execute acidentalmente um aplicativo de código malicioso.
Não só aplicável nos componentes do Windows, mas também podendo ser usado para controlar o Internet Explorer. Há dois caminhos para você restringir ou definir configurações:

• \User Configuration\Windows Settings\Internet Explorer Maintenance
As configurações do Internet Explorer Maintenance controlam Home Page, Zonas, Rating, e outros.
• \User Configuration\Administrative Templates\Windows Components\Internet Explorer

As configurações do Internet Explorer permitem você desabilitar componentes do Internet Explorer.
Mas para uma maior segurança, utilize o Microsoft Internet Security Accelerator (o famoso ISA), que tem a capacidade de fazer analise de protocolo, restringir acesso a paginas não autorizadas, e outros.

Limitações

Se você restringir algum componente do Windows e os usuários abaixarem da internet uma ferramenta similar, o group policy não conseguirá aplicar a restrição nesta ferramenta.
Outro exemplo, você restringiu a caixa de dialogo Opções da Internet do Internet Explorer, mas usuários conseguem alterar as configurações pelo Painel de Controle.
Por estas razões, realize rigorosos testes antes de aplicar no ambiente de produção.

GPOs do Windows Explorer

Abaixo segue GPOs para você poder controlar o comportamento, aparência e a segurança do Windows Explorer.
Realize rigorosos testes antes de aplicar no ambiente de produção.

Removendo Acesso dos Ícones de Configuração

Para desabilitar o Painel de Controle.
1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Control Painel;
3. Clicar duas vezes na gpo Disable Control Painel;
4. Selecionar Enabled, clicar no botão OK.

Para desabilitar o Meus Locais de Rede.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Desktop;
3. Clicar duas vezes na gpo Hide My Network Places Icon on Desktop;
4. Selecionar Enabled, clicar no botão OK.

Para Ocultar Todos os Ícones da Área de Trabalho.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates > Windows Components, selecionar Desktop;
3. Clicar duas vezes na gpo Hide All Icons On Desktop;
4. Selecionar Enabled, clicar no botão OK.

Restringindo acesso a Escutáveis Perigosos

Para Desabilitar o Regedit.

1. Abrir o Editor de Group Policy;
5. Expandir > User Configuration > Administrative Templates, selecionar System;
6. Clicar duas vezes na gpo Disable Registry Editing Tools;
7. Selecionar Enabled, clicar no botão OK.

Para Desabilitar o Prompt de Commando.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar System;
3. Clicar duas vezes na gpo Disable The Command Prompt;
4. Selecionar Enabled, clicar no botão OK.

Para Desabilitar o Task Manager.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates > System > selecionar Logon/Logoff;
3. Clicar duas vezes na gpo Disable Task Manager;
4. Selecionar Enabled, clicar no botão OK.

Modificando as Configurações do Menu Iniciar

Para Desabilitar o Menu Configurações.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Disable Programs On Settings;
4. Selecionar Enabled, clicar no botão OK.

Para Desabilitar e Remover o Link do Windows Update.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Disable And Remove Links To Windows Update dialog box;
4. Selecionar Enabled, clicar no botão OK.

Para Adicionar o Logoff no Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Add Logoff On The Start Menu;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Comando ShutDown do Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Disable And Remove The ShutDown Command;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Menu Pesquisa do Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Remove Search Menu From Start Menu;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Menu Executar do Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Remove Rum Menu From Start Menu;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Menu Ajuda do Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Remove Help Menu From Start Menu;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Menu Favoritos do Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Remove Favorites Menu From Start Menu;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Menu Documentos do Menu Iniciar.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Remove Documents Menu From Start Menu;
4. Selecionar Enabled, clicar no botão OK.

Para Remover o Menu Barra de tarefas e menu iniciar do Menu Iniciar > Configurações.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Start Menu & Taskbar;
3. Clicar duas vezes na gpo Disable Changes To Taskbar And Start Menu Settings;
5. Selecionar Enabled, clicar no botão OK.

Restrigindo Acesso a Unidades Locais

Para Restringir o Acesso a Unidades Locais no Windows Explorer

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Windows Components;
3. Clicar duas vezes na gpo Hide These Specified Drivers In My Computer;
4. Selecionar Enabled e selecionar Restrict A, B, C, and D Drivers, clicar no botão OK.

Para Restringir o Acesso aos Drivers no Meu Computador.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar Windows Components;
3. Clicar duas vezes na gpo Prevent Acess to Drivers From My Computer;
4. Selecionar Enabled e selecionar Restrict A, B, C, and D Drivers, clicar no botão OK.

Permitindo Apenas Programas “Executáveis” Aprovados

Para Permitir Apenas Executáveis Aprovados.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates, selecionar System;
3. Clicar duas vezes na gpo Run Only Allowed Windows Applications;
5. Selecionar Enabled e clicar no botão Show;
6. Digitar os aplicativos aprovados. Exemplo: Winword.exe e Powerpnt.exe;
7. Clicar no botão OK e novamente OK.

Restringindo o Acesso do MMC para os Usuários Comuns

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrative Templates Windows Components, selecionar Microsoft Management Console;
3. Clicar duas vezes na gpo Restrict The User From Entering Author Mode;
4. Selecionar Enabled e clicar no OK;
5. Clicar com o botão direito do mouse no group policy que você criou para restringir o MMC, selecionar o menu Propriedades;
6. Clicar na guia Security e Adicionar o grupo Domain Admins;
7. Na permissão Apply Group Policy, selecionar Deny e clicar no botão OK;
8. Aparecerá um Alerta de Segurança e clicar no botão OK.

GPOs de Internet Explorer

Abaixo segue GPO para você pode controlar o comportamento, aparência e a segurança do Internet Explorer.
Realize rigorosos testes antes de aplicar no ambiente de produção.

Alterando Titulo e Links

Para Alterar o Titulo.
1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Windows Settings > Internet Explorer Maintenance, selecionar o Browser User Interface;
3. Clicar duas vezes na gpo Bowser Title;
4. Digitar o nome e clicar no botão OK;
5. Clicar com o botão direito do mouse no group policy que você criou para restringir o MMC, selecionar o menu Propriedades;
6. Clicar na guia Security e Adicionar o grupo Domain Admins;
7. Na permissão Apply Group Policy, selecionar Deny e clicar no botão OK;
8. Aparecerá um Alerta de Segurança e clicar no botão OK.

Para Alterar URLs.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Windows Settings > Internet Explorer Maintenance, selecionar URLs;
3. Clicar duas vezes na gpo Important URLs;
4. Na caixa de dialogo Importants URLs, selecione Customize Home Page URL e digite o endereço da URL: http://www.microsoft.com.br;
5. Selecione Customize Search Bar URL e digite o nome da URL de busca: http://www.msn.com.br;
6. Selecione Customize Online Support Page URL e digite o nome da URL de suporte: http://support.microsoft.com;
7. Clique no botão OK.

Configurando a Zonas Internet do Internet Explorer

Para Alterar a Zona Internet do Internet Explore.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Windows Settings > Internet Explorer Maintenance, selecionar Security;
3. Clicar duas vezes na gpo Security Zones And Content Ratings;
4. Na caixa de dialogo Security Zones And Content Ratings, selecionar Import Current Security Zone Settings;
5. Clicar em Modify Settings, na caixa de dialogo Security, selecionar Internet e clicar no botão Custom Level...;
6. Na caixa de dialogo Security Settings, altere o campo Reset to para High, clique no botão Reset, clique no botão Yes para confirmar e clique no botão OK.
7. Clique no botão OK para fechar a caixa de dialogo Security;
8. Clique no botão OK para fechar a caixa de dialogo Security Zones And Content Ratings;
9. Clicar com o botão direito do mouse no group policy que você criou para restringir o MMC, selecionar o menu Propriedades.

Prevenindo Alterações nas Configurações do Internet Explorer

Para Desabilitar a Alteração das Configurações de Proxy.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components, selecionar Internet Explorer;
3. Clicar duas vezes no Disable Changing Proxy Settings;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar o Assistente para Conexão com a Internet.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components, selecionar Internet Explorer;
3. Clicar duas vezes no Disable Internet Connection Wizard;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar a Pagina Geral do Internet Explorer.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
3. Clicar duas vezes no Disable The General Page;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar a Pagina Segurança do Internet Explorer.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
3. Clicar duas vezes no Disable The Security Page;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar a Pagina Conteúdo do Internet Explorer.


1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
3. Clicar duas vezes no Disable The Content Page;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar a Pagina Conexões do Internet Explorer.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
3. Clicar duas vezes no Disable The Connections Page;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar a Pagina Programas do Internet Explorer.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
3. Clicar duas vezes no Disable The Programs Page;
4. Selecionar Enabled e clicar no OK.

Para Desabilitar a Pagina Avançado do Internet Explorer.

1. Abrir o Editor de Group Policy;
2. Expandir > User Configuration > Administrativo Templates > Windows Components > Internet Explorer, selecionar Internet Control Painel;
3. Clicar duas vezes no Disable The Advanced Page;
4. Selecionar Enabled e clicar no OK.

Nenhum comentário: