Gpo

UNIVERSIDADE ESTÁCIO DE SÁ

PÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES

ALEX SANDRO BASTOS

CRISTIANO CARVALHO

PATRICIA GONÇALVES

GPO – Group Police Objects

Rio de Janeiro – RJ

2012

GPO – Group Police Objects

ALEX SANDRO BASTOS

CRISTIANO CARVALHO

PATRICIA GONÇALVES

Trabalho apresentado como requisito para avaliação na disciplina Sistemas de Controle de Acesso do curso de pós-graduação em Segurança de Redes de Computadores da Universidade Estácio de Sá.

Professor: Cassio Ramos

Rio de Janeiro – RJ

2012

Introdução

Uma das maiores tarefas de um administrador de sistemas é gerenciar usuários,

grupos e computadores da rede. Imagine você tendo um parque de máquinas com 1500

desktops para gerenciar e precisa mudar uma configuração em todas elas.

A princípio você deve pensar que gastará no mínimo um mês para terminar essa

tarefa, mas se você estiver em ambiente Windows com Active Directory, essa tarefa não

levará mais que alguns minutos através de um recurso chamado Group Policy (GPO).

A Group Policy (GPO) é capaz de mudar configurações, restringir ações ou até

mesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas e podem

ser aplicadas em sites, domínios e unidades organizacionais (OUs). Se você criou uma OU

para cada departamento da sua empresa, poderá então, fazer diferentes configurações de

GPO para cada departamento.

As GPOs são baseadas em templates que possuem uma lista de opções

configuráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções:

Enable: Especifica que aquele item será ativado.

Disable: Especifica que aquele item será desativado.

Not Configured: Deixa a opção neutra, nem ativa e nem desativa o item, ou seja,

fica como está agora. Esta é a configuração padrão.

As configurações das GPOs podem ser aplicadas em dois tipos de objetos do Active

Directory: Usuários e Computadores, desde que estejam em uma OU. Se houver algum

conflito entre as configurações dos computadores e dos usuários, as configurações dos

usuários vão prevalecer, infelizmente não é possível aplicar uma GPO em um grupo de

segurança ou distribuição.

Os tipos de configurações que podem ser feitas estão descritas abaixo:

Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuir

aplicações para usuários finais.

Windows Settings: Permite ao administrador customizar as configurações do

Windows. Estas opções são diferentes para usuários e computadores.

Por exemplo: Nos computadores, eu posso criar um script para ser executado no

Startup e Shutdown. Nos usuários eu crio scripts para rodar no Logon e Logoff. Além disso,

nos usuários posso mudar configurações do Internet Explorer, redirecionar pastas, etc.

Administrative Templates: Também são diferentes as opções para computadores e

usuários.

Por exemplo: Nos computadores eu posso configurar itens do Sistema e nos

usuários, posso configurar o Menu Iniciar e Barra de Tarefas.

Hierarquia das GPOs

Outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em

3 níveis diferentes: sites, domínios e OUs.

Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas a

todos os domínios que fazem parte dele.

Domínios: É o segundo nível. Configurações feitas aqui afetarão todos os usuários e

grupos dentro do domínio.

OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela.

É importante lembrar que as opções são cumulativas por padrão. Sendo assim, se

eu sou um usuário da OU Engenharia, posso receber configurações que vem do Site,

Domínio e da minha própria OU.

Exemplo:

No Site foi configurada uma GPO para os usuários mudarem a senha a cada 50 dias.

No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OU

Engenharia, foi configurada outra GPO para especificar o papel de parede padrão do meu

desktop. Quando eu me logar serão aplicadas as três GPOs.

Heranças de Group Policy

Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO no

Domínio para mudar a senha a cada 30 dias? Haveria um conflito de GPOs, pois no Site

está configurado para mudar a senha a cada 50 dias. Por isso é importante entender como

ocorrem às heranças de GPOs.

Por default, quem está mais próximo do usuário tem preferência na aplicação da

GPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio será

aplicada. Entretanto, o Administrador do Sistema pode alterar esse comportamento através

de duas opções descritas abaixo:

Block Policy Inheritance (Bloquear heranças de políticas)

Especifica que as configurações da GPO para um objeto não será herdada do nível

superior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicar

uma configuração específica para aquela OU.

Force Policy Inheritance (Forçar herança de políticas)

Especifica que você não permitirá que níveis filhos possam sobrescrever suas

configurações de GPO. Por exemplo: Sou administrador de um site da minha empresa e

criei uma política de senha forte através de GPO com 9 caracteres e não quero que o

Administrador do Domínio e nem o das OUs dos domínios possam sobrescrever minha

política. Neste caso eu crio minha GPO, aplico ao Site e marco a opção de Force Policy

Inheritance.

Agora que já entendemos como funcionam as Group Polices ou Politicas de grupo,

vamos a alguns exemplos práticos de como aplicá-las. Após os exemplos você verá que é

muito fácil a implementação das políticas de grupo e poderá explorar este universo criando

suas próprias políticas nas mais diversas áreas do sistema de acordo com suas

necessidades.

Criando as políticas de grupo

Podemos criar de uma única política diversas alterações/restrições para o sistema

operacional ou podemos criar uma política para cada alteração/restrição. Para fins didáticos

e melhor entendimento do assunto, vamos criar uma alteração/restrição por política.

Neste momento vamos apenas criar a política de grupo, mas ainda não vamos

aplicá-la para nenhum site, domínio ou OU.

Para abrir o console de gerenciamento de política de grupo:

Iniciar > Ferramentas administrativas > Gerenciamento de Diretivas de Grupo.

Figura 1 - Abrindo a console do GPMC

Console de Gerenciamento de Políticas de Grupo

Figura 2 - Console de Gerenciamento de Políticas de Grupo

Vamos começar criando uma política para desabilitar o acesso ao painel de controle

do computador, esta política será uma política de usuários, ou seja, em todo computador

que este usuário logar a política será aplicada. Para criar esta política devemos fazer o

seguinte:

Clicar com o botão direito do mouse em cima de Objeto de diretiva de grupo e depois

em Novo.

Figura 3 - Criando uma nova política de grupo

Após isso devemos dar um nome a nossa GPO, escolhi “desabilitando o painel de

controle”, é sempre bom dar um nome que facilite lembrar o que aquela GPO faz, pois isso

vai facilitar a sua manutenção e administração.

Figura 4 - Nomeando a política

Feito isso poderemos editar nossa política, para isso devemos clicar com o botão

direto do mouse sob a política criada e sem seguida em editar.

Figura 5 - Editando a Política de Grupo

Desabilitando o painel de controle via GPO:

Configuração do Usuário > Modelos Administrativos > Painel de Controle, clicar duas vezes

sobre “Proibir acesso ao Painel de Controle” e em seguida escolher a opção “Habilitado”,

Aplicar e OK.

Figura 6 - Desabilitando o acesso ao Painel de Controle

Feito isto nossa política para bloqueio ao painel de controle esta pronta, basta agora

aplicarmos esta política nas UOs (Unidades Organizacionais), Domínios ou Sites de nosso

interesse.

Vamos dizer que esta política deve ser aplica em todo o nosso domínio, devemos

então clicar com o botão direito do mouse sobre o domínio em meu caso “Posgrad.edu” e

em seguida em “vincular com GPO existente” .

Figura 7 - Vinculando GPO existente ao Domínio

Em seguida devemos marcar a GPO que queremos aplicar e clicar em OK.

Figura 8 - Escolhendo a GPO

Assim a GPO está aplicada para o Domínio, conforme figura abaixo:

Figura 9 - GPO vinculada

Agora vamos dar um exemplo de uma política para computadores, ou seja, será

aplicada a todos os computadores a que a política estiver vinculada, independente do

usuário que esteja logado. Vamos dizer que queremos que em todos os desktops o firewall

esteja ativado para o perfil do domínio, que todas as conexões de entrada sejam negadas e

que todas as conexões de saída sejam permitidas. Para isto vamos criar uma nova política

(Figura 3), dar o nome de “configurações de firewall” (Figura 4) e editar esta GPO (Figura 5).

Para fazermos as configurações acima vamos em:

Configurações do computador > Diretivas > Configurações do Windows > Configurações de Segurança > Firewall do Windows > Firewall do Windows e depois clicar em “Propriedades do Firewall do Windows”.

Figura 10 - Configurando a Política do Firewall

Na janela que vai se abrir vamos escolher as opções para o perfil de Domínio:

Estado do Firewall: Habilitado.

Conexões de entrada: Bloquear todas as conexões.

Conexões de saída: Permitir (padrão).

Depois, aplicar e OK.

Figura 11 - Configuando as opções de firewall

Feito isto basta vincularmos a GPO ao nosso domínio (Figuras 7 e 8).

Figura 12 - GPO de Firewall vinculada

Agora que mostramos como criar políticas para usuários e para computadores e

como vinculá-las aos Sites, Domínios e OUs, você pode criar suas próprias políticas de

acordor com suas necessidades.

Abaixo vamos listar uma série de políticas que podem ser aplicadas em seu domínio

para reforçar a segurança da sua empresa.

Exemplos de políticas de segurança:

GPOs do Windows Explorer

Abaixo seguem GPOs para você poder controlar o comportamento, aparência e a

segurança do Windows Explorer. Antes de colocar em produção executem testes em uma

área controlada.

Para desabilitar o Meus Locais de Rede.

1. Abrir o Editor de Política de Grupo;

2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Área de trabalho;

3. Clicar duas vezes na GPO "Ocultar o ícone Locais de rede na Área de trabalho";

4. Selecionar Habilitado, clicar no botão OK.

Para Ocultar Todos os Ícones da Área de Trabalho.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do Windows, selecionar Área de trabalho;

3. Clicar duas vezes na GPO "Ocultar e desabilitar todos os ícones da Área de trabalho";


Restringindo acesso a Escutáveis Perigosos

Para Desabilitar o Regedit.


2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Sistema;

3. Clicar duas vezes na GPO "Impedir acesso a ferramenta de edição de registro";


Para Desabilitar o Prompt de Comando.



3. Clicar duas vezes na GPO "Impedir o acesso ao prompt de comando";


Para Desabilitar o Gerenciador de Tarefas.


2. Expandir > Configurações de usuário > Modelos Administrativos > Sistema > selecionar Ctrl+Alt+Del Opções;

3. Clicar duas vezes na GPO "Remove gerenciador de tarefas";


Modificando as Configurações do Menu Iniciar

Para Desabilitar o Menu Configurações.


2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas;

3. Clicar duas vezes na GPO "Remover programas no menu configurações";


Para Desabilitar e Remover o Link do Windows Update.



3. Clicar duas vezes na GPO "Remove links e acessos ao Windows Update";


Para Adicionar Logoff no Menu Iniciar.



3. Clicar duas vezes na GPO "Adicionar Fazer Logoff ao menu iniciar";


Para Remover Comando Desligar do Menu Iniciar.



3. Clicar duas vezes na GPO “Remover Desligar do menu iniciar”;


Para Remover Menu Pesquisa do Menu Iniciar.



3. Clicar duas vezes na GPO "Remover pesquisar do menu iniciar";


Para Remover Menu Executar do Menu Iniciar.



3. Clicar duas vezes na GPO "Remover Executar do menu iniciar";


Para Remover Menu Ajuda do Menu Iniciar.



3. Clicar duas vezes na GPO “Remove Ajuda do menu iniciar”;


Para Remover Menu Favoritos do Menu Iniciar.



3. Clicar duas vezes na GPO “Remover Favoritos do menu iniciar”;


Para Remover Menu Documentos do Menu Iniciar.



3. Clicar duas vezes na GPO “Remover Meus Documentos do menu iniciar”;


Para Remover Menu Barra de tarefas e menu iniciar do Menu Iniciar > Configurações.



3. Clicar duas vezes na GPO “Impedir alterações nas configurações de Barra de tarefas e menu iniciar”;


Restrigindo Acesso a Unidades Locais

Para Restringir Acesso a Unidades Locais no Windows Explorer.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do Windows, Windows Explorer;

3. Clicar duas vezes na GPO "Impedir acesso a unidades de Meu Computador";

4. Selecionar Habilitado e selecionar Restringir unidades A, B, C, e D, clicar no botão OK.

Para Permitir Apenas Executáveis Aprovados.



3. Clicar duas vezes na GPO "Executar apenas aplicativos do Windows especificados";

5. Selecionar Habilitado e clicar no botão Exibir;

6. Digitar os aplicativos aprovados. Exemplo: Winword.exe e Powerpnt.exe;

7. Clicar no botão OK e novamente OK.

Restringindo Acesso do MMC para os Usuários Comuns

Para Restringir Acesso do MMC para os Usuários.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do Windows, selecionar Console de Gerenciamento Microsoft;

3. Clicar duas vezes na GPO “Impedir que o usuário entre no modo de Autor”;

4. Selecionar Habilitado e clicar no OK;

5. Clicar com o botão direito do mouse no Política de Grupo que você criou para restringir o MMC, selecionar o menu Propriedades;

6. Clicar na guia Segurança e Adicionar o grupo Administradores do Domínio;

7. Na permissão Aplicar Política de Grupo, selecionar Negar e clicar no botão OK;

8. Aparecerá um Alerta de Segurança e clicar no botão OK.

GPOs de Internet Explorer

Abaixo segue GPOs para você poder controlar o comportamento, aparência e a

segurança do Internet Explorer.

Alterando Titulo e Links

Para Alterar o Titulo.


2. Expandir > Configurações de usuário > Componentes do Windows > Internet Explorer, selecionar as Configurações do Usuário;

3. Clicar duas vezes na GPO “Titulo do Bowser”;

4. Digitar o nome e clicar no botão OK;

5. Clicar com o botão direito do mouse na Política de Grupo que você criou para restringir o MMC, selecionar o menu propriedades;

6. Clicar na guia Segurança e Adicionar o grupo Administradores do Domínio;

7. Na permissão Aplicar Política de Grupo, selecionar “Negar” e clicar no botão OK;

8. Aparecerá um Alerta de Segurança e clicar no botão OK.

Para Alterar URLs.


2. Expandir > Configurações de usuário > Componentes do Windows > Internet Explorer, selecionar URLs;

3. Clicar duas vezes na GPO “URLs Importantes”;

4. Na caixa de dialogo URLs Importantes, selecione Customize Home Page URL e digite o endereço da URL: http://www.microsoft.com.br;

5. Selecione “Customizar URL de busca e digite o nome da URL de busca”: http://www.msn.com.br;

6. Selecione “Customizar URL” e página de suporte e digite o nome da URL de suporte: http://support.microsoft.com;

7. Clique no botão OK.

Configurando a Zonas Internet do Internet Explorer

Para Alterar a Zona Internet do Internet Explore.


2. Expandir > Configurações de usuário > Componentes do Windows > Manutenção do Internet Explorer, selecionar Segurança;

3. Clicar duas vezes na GPO “Zonas de segurança e Classificação de Conteúdo”;

4. Na caixa de dialogo “Zonas de segurança e Classificação de Conteúdo”, selecionar “Importar as configurações atuais das zonas de segurança e privacidade”;

5. Clicar em “Modificar Configurações”, na caixa de dialogo “Segurança”, selecionar “Internet” e clicar no botão “Nivel de segurança”;

6. Na caixa de dialogo “Configurações de segurança”, altere o campo “Alterar o nível padrão”, clique no botão “Reset”, clique no botão “Sim”, para confirmar e clique no botão OK.

7. Clique no botão OK para fechar a caixa de dialogo Segurança;

8. Clicar com o botão direito do mouse na Política de Grupo que você criou para restringir o MMC, selecionar o Menu Propriedades.

http://support.microsoft.com/

http://www.msn.com.br/

Prevenindo Alterações nas Configurações do Internet Explorer

Para Desabilitar a Alteração das Configurações de Proxy.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do Windows, selecionar Internet Explorer;

3. Clicar duas vezes na GPO "Desabilitar alteração nas configurações de proxy";

4. Selecionar Habilitado e clicar no OK.

Para Desabilitar o Assistente para Conexão com a Internet.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do Windows, selecionar Internet Explorer;

3. Clicar duas vezes no “Desabilitar assistente de conexão da Internet”;


Para Desabilitar a Pagina Geral do Internet Explorer.


2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet;

3. Clicar duas vezes no “Desativar a página geral”;


Para Desabilitar a Pagina Segurança do Internet Explorer.



3. Clicar duas vezes no “Desativar a página segurança”;


Para Desabilitar a Pagina Conteúdo do Internet Explorer.



3. Clicar duas vezes no “Desativar a página conteúdo”;


Para Desabilitar a Pagina Conexões do Internet Explorer.



3. Clicar duas vezes no “Desativar a página conexões”;


Para Desabilitar a Pagina Programas do Internet Explorer.



3. Clicar duas vezes no “Desativar a página programas”;


Para Desabilitar a Pagina Avançado do Internet Explorer.



3. Clicar duas vezes no “Desativar a página avançada”;


Conclusão

A necessidade de melhorar o gerenciamento e diminuir o custo operacional da área

do suporte das empresas ocasionou o surgimento de ótimos aplicativos para os

administradores de redes no ambiente Windows. A união do AD com as políticas de grupos

acabaram se tornando um fato relevante, pois as políticas de grupos atribuem um ótimo

benefício a um baixo custo operacional, trazem muitas possibilidades aos gerenciadores de

uma rede de computadores, sua implantação é rápida e cada vez mais simplificada.

Referencias bibliográficas:

http://technet.microsoft.com/pt-br/library/cc668545.aspx

http://www.andersonpatricio.org/Tutoriais/AP505_b.html

http://www.inf.furb.br/tcc/index.php?cd=9&tcc=1040

http://www.inf.furb.br/tcc/index.php?cd=9&tcc=1040

http://www.andersonpatricio.org/Tutoriais/AP505_b.html

http://technet.microsoft.com/pt-br/library/cc668545.aspx

Gpo

Documents

Transcript of Gpo