• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Gpo
 

Gpo

on

  • 6,497 views

 

Statistics

Views

Total Views
6,497
Views on SlideShare
5,510
Embed Views
987

Actions

Likes
1
Downloads
179
Comments
0

4 Embeds 987

http://cassioaramos.blogspot.com.br 910
http://www.cassioaramos.blogspot.com.br 68
http://cassioaramos.blogspot.com 8
http://cassioaramos.blogspot.ru 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft Word

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Gpo Gpo Document Transcript

    • UNIVERSIDADE ESTÁCIO DE SÁPÓS-GRADUAÇÃO EM SEGURANÇA DE REDES DE COMPUTADORES ALEX SANDRO BASTOS CRISTIANO CARVALHO PATRICIA GONÇALVES GPO – Group Police Objects Rio de Janeiro – RJ 2012
    • GPO – Group Police Objects ALEX SANDRO BASTOS CRISTIANO CARVALHO PATRICIA GONÇALVES Trabalho apresentado como requisito para avaliação na disciplina Sistemas de Controle de Acesso do curso de pós-graduação em Segurança de Redes de Computadores da Universidade Estácio de Sá.Professor: Cassio Ramos Rio de Janeiro – RJ 2012
    • Introdução Uma das maiores tarefas de um administrador de sistemas é gerenciar usuários,grupos e computadores da rede. Imagine você tendo um parque de máquinas com 1500desktops para gerenciar e precisa mudar uma configuração em todas elas. A princípio você deve pensar que gastará no mínimo um mês para terminar essatarefa, mas se você estiver em ambiente Windows com Active Directory, essa tarefa nãolevará mais que alguns minutos através de um recurso chamado Group Policy (GPO). A Group Policy (GPO) é capaz de mudar configurações, restringir ações ou atémesmo distribuir aplicações em seu ambiente de rede. As vantagens são muitas e podemser aplicadas em sites, domínios e unidades organizacionais (OUs). Se você criou uma OUpara cada departamento da sua empresa, poderá então, fazer diferentes configurações deGPO para cada departamento. As GPOs são baseadas em templates que possuem uma lista de opçõesconfiguráveis de forma amigável. A maioria dos itens de uma GPO tem 3 diferentes opções: Enable: Especifica que aquele item será ativado. Disable: Especifica que aquele item será desativado. Not Configured: Deixa a opção neutra, nem ativa e nem desativa o item, ou seja,fica como está agora. Esta é a configuração padrão. As configurações das GPOs podem ser aplicadas em dois tipos de objetos do ActiveDirectory: Usuários e Computadores, desde que estejam em uma OU. Se houver algumconflito entre as configurações dos computadores e dos usuários, as configurações dosusuários vão prevalecer, infelizmente não é possível aplicar uma GPO em um grupo desegurança ou distribuição. Os tipos de configurações que podem ser feitas estão descritas abaixo: Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuiraplicações para usuários finais. Windows Settings: Permite ao administrador customizar as configurações doWindows. Estas opções são diferentes para usuários e computadores. Por exemplo: Nos computadores, eu posso criar um script para ser executado noStartup e Shutdown. Nos usuários eu crio scripts para rodar no Logon e Logoff. Além disso,nos usuários posso mudar configurações do Internet Explorer, redirecionar pastas, etc. Administrative Templates: Também são diferentes as opções para computadores eusuários. Por exemplo: Nos computadores eu posso configurar itens do Sistema e nosusuários, posso configurar o Menu Iniciar e Barra de Tarefas.
    • Hierarquia das GPOs Outro conceito importe é saber a hierarquia das GPOs que podem ser aplicadas em3 níveis diferentes: sites, domínios e OUs. Sites: O mais alto nível. Todas as configurações feitas no site serão aplicadas atodos os domínios que fazem parte dele. Domínios: É o segundo nível. Configurações feitas aqui afetarão todos os usuários egrupos dentro do domínio. OUs: O que se aplica nas OUs afetarão todos os usuários dentro dela. É importante lembrar que as opções são cumulativas por padrão. Sendo assim, seeu sou um usuário da OU Engenharia, posso receber configurações que vem do Site,Domínio e da minha própria OU. Exemplo: No Site foi configurada uma GPO para os usuários mudarem a senha a cada 50 dias.No Domínio, foi configurada outra GPO desativando o prompt de Comando e na OUEngenharia, foi configurada outra GPO para especificar o papel de parede padrão do meudesktop. Quando eu me logar serão aplicadas as três GPOs.Heranças de Group Policy Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO noDomínio para mudar a senha a cada 30 dias? Haveria um conflito de GPOs, pois no Siteestá configurado para mudar a senha a cada 50 dias. Por isso é importante entender comoocorrem às heranças de GPOs. Por default, quem está mais próximo do usuário tem preferência na aplicação daGPO sobre as configurações mais genéricas. No nosso exemplo, a GPO do Domínio seráaplicada. Entretanto, o Administrador do Sistema pode alterar esse comportamento atravésde duas opções descritas abaixo: Block Policy Inheritance (Bloquear heranças de políticas) Especifica que as configurações da GPO para um objeto não será herdada do nívelsuperior. Isso é muito usado quando se tem uma OU dentro de outra e você quer aplicaruma configuração específica para aquela OU.
    • Force Policy Inheritance (Forçar herança de políticas) Especifica que você não permitirá que níveis filhos possam sobrescrever suasconfigurações de GPO. Por exemplo: Sou administrador de um site da minha empresa ecriei uma política de senha forte através de GPO com 9 caracteres e não quero que oAdministrador do Domínio e nem o das OUs dos domínios possam sobrescrever minhapolítica. Neste caso eu crio minha GPO, aplico ao Site e marco a opção de Force PolicyInheritance. Agora que já entendemos como funcionam as Group Polices ou Politicas de grupo,vamos a alguns exemplos práticos de como aplicá-las. Após os exemplos você verá que émuito fácil a implementação das políticas de grupo e poderá explorar este universo criandosuas próprias políticas nas mais diversas áreas do sistema de acordo com suasnecessidades.Criando as políticas de grupo Podemos criar de uma única política diversas alterações/restrições para o sistemaoperacional ou podemos criar uma política para cada alteração/restrição. Para fins didáticose melhor entendimento do assunto, vamos criar uma alteração/restrição por política. Neste momento vamos apenas criar a política de grupo, mas ainda não vamosaplicá-la para nenhum site, domínio ou OU. Para abrir o console de gerenciamento de política de grupo: Iniciar > Ferramentas administrativas > Gerenciamento de Diretivas de Grupo.
    • Figura 1 - Abrindo a console do GPMCConsole de Gerenciamento de Políticas de GrupoFigura 2 - Console de Gerenciamento de Políticas de Grupo Vamos começar criando uma política para desabilitar o acesso ao painel de controledo computador, esta política será uma política de usuários, ou seja, em todo computadorque este usuário logar a política será aplicada. Para criar esta política devemos fazer oseguinte:
    • Clicar com o botão direito do mouse em cima de Objeto de diretiva de grupo e depoisem Novo.Figura 3 - Criando uma nova política de grupo Após isso devemos dar um nome a nossa GPO, escolhi “desabilitando o painel decontrole”, é sempre bom dar um nome que facilite lembrar o que aquela GPO faz, pois issovai facilitar a sua manutenção e administração.Figura 4 - Nomeando a política
    • Feito isso poderemos editar nossa política, para isso devemos clicar com o botãodireto do mouse sob a política criada e sem seguida em editar.Figura 5 - Editando a Política de GrupoDesabilitando o painel de controle via GPO:Configuração do Usuário > Modelos Administrativos > Painel de Controle, clicar duas vezessobre “Proibir acesso ao Painel de Controle” e em seguida escolher a opção “Habilitado”,Aplicar e OK.Figura 6 - Desabilitando o acesso ao Painel de Controle
    • Feito isto nossa política para bloqueio ao painel de controle esta pronta, basta agoraaplicarmos esta política nas UOs (Unidades Organizacionais), Domínios ou Sites de nossointeresse. Vamos dizer que esta política deve ser aplica em todo o nosso domínio, devemosentão clicar com o botão direito do mouse sobre o domínio em meu caso “Posgrad.edu” eem seguida em “vincular com GPO existente” .Figura 7 - Vinculando GPO existente ao Domínio Em seguida devemos marcar a GPO que queremos aplicar e clicar em OK.Figura 8 - Escolhendo a GPO
    • Assim a GPO está aplicada para o Domínio, conforme figura abaixo:Figura 9 - GPO vinculada Agora vamos dar um exemplo de uma política para computadores, ou seja, seráaplicada a todos os computadores a que a política estiver vinculada, independente dousuário que esteja logado. Vamos dizer que queremos que em todos os desktops o firewallesteja ativado para o perfil do domínio, que todas as conexões de entrada sejam negadas eque todas as conexões de saída sejam permitidas. Para isto vamos criar uma nova política(Figura 3), dar o nome de “configurações de firewall” (Figura 4) e editar esta GPO (Figura 5). Para fazermos as configurações acima vamos em:Configurações do computador > Diretivas > Configurações do Windows > Configurações deSegurança > Firewall do Windows > Firewall do Windows e depois clicar em “Propriedadesdo Firewall do Windows”.
    • Figura 10 - Configurando a Política do Firewall Na janela que vai se abrir vamos escolher as opções para o perfil de Domínio: Estado do Firewall: Habilitado. Conexões de entrada: Bloquear todas as conexões. Conexões de saída: Permitir (padrão). Depois, aplicar e OK.Figura 11 - Configuando as opções de firewall
    • Feito isto basta vincularmos a GPO ao nosso domínio (Figuras 7 e 8).Figura 12 - GPO de Firewall vinculada Agora que mostramos como criar políticas para usuários e para computadores ecomo vinculá-las aos Sites, Domínios e OUs, você pode criar suas próprias políticas deacordor com suas necessidades. Abaixo vamos listar uma série de políticas que podem ser aplicadas em seu domíniopara reforçar a segurança da sua empresa.Exemplos de políticas de segurança:GPOs do Windows Explorer Abaixo seguem GPOs para você poder controlar o comportamento, aparência e asegurança do Windows Explorer. Antes de colocar em produção executem testes em umaárea controlada. Para desabilitar o Meus Locais de Rede.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Área detrabalho;3. Clicar duas vezes na GPO "Ocultar o ícone Locais de rede na Área de trabalho";4. Selecionar Habilitado, clicar no botão OK. Para Ocultar Todos os Ícones da Área de Trabalho.
    • 1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows, selecionar Área de trabalho;3. Clicar duas vezes na GPO "Ocultar e desabilitar todos os ícones da Área de trabalho";4. Selecionar Habilitado, clicar no botão OK.Restringindo acesso a Escutáveis Perigosos Para Desabilitar o Regedit.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Sistema;3. Clicar duas vezes na GPO "Impedir acesso a ferramenta de edição de registro";4. Selecionar Habilitado, clicar no botão OK. Para Desabilitar o Prompt de Comando.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Sistema;3. Clicar duas vezes na GPO "Impedir o acesso ao prompt de comando";4. Selecionar Habilitado, clicar no botão OK. Para Desabilitar o Gerenciador de Tarefas.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Sistema > selecionarCtrl+Alt+Del Opções;3. Clicar duas vezes na GPO "Remove gerenciador de tarefas";4. Selecionar Habilitado, clicar no botão OK.Modificando as Configurações do Menu Iniciar Para Desabilitar o Menu Configurações.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO "Remover programas no menu configurações";4. Selecionar Habilitado, clicar no botão OK.
    • Para Desabilitar e Remover o Link do Windows Update.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO "Remove links e acessos ao Windows Update";4. Selecionar Habilitado, clicar no botão OK. Para Adicionar Logoff no Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO "Adicionar Fazer Logoff ao menu iniciar";4. Selecionar Habilitado, clicar no botão OK. Para Remover Comando Desligar do Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO “Remover Desligar do menu iniciar”;4. Selecionar Habilitado, clicar no botão OK. Para Remover Menu Pesquisa do Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO "Remover pesquisar do menu iniciar";4. Selecionar Habilitado, clicar no botão OK. Para Remover Menu Executar do Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO "Remover Executar do menu iniciar";4. Selecionar Habilitado, clicar no botão OK.
    • Para Remover Menu Ajuda do Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO “Remove Ajuda do menu iniciar”;4. Selecionar Habilitado, clicar no botão OK. Para Remover Menu Favoritos do Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO “Remover Favoritos do menu iniciar”;4. Selecionar Habilitado, clicar no botão OK. Para Remover Menu Documentos do Menu Iniciar.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO “Remover Meus Documentos do menu iniciar”;4. Selecionar Habilitado, clicar no botão OK. Para Remover Menu Barra de tarefas e menu iniciar do Menu Iniciar > Configurações.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Menu Iniciare barra de tarefas;3. Clicar duas vezes na GPO “Impedir alterações nas configurações de Barra de tarefas emenu iniciar”;5. Selecionar Habilitado, clicar no botão OK.Restrigindo Acesso a Unidades Locais Para Restringir Acesso a Unidades Locais no Windows Explorer.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows, Windows Explorer;
    • 3. Clicar duas vezes na GPO "Impedir acesso a unidades de Meu Computador";4. Selecionar Habilitado e selecionar Restringir unidades A, B, C, e D, clicar no botão OK. Para Permitir Apenas Executáveis Aprovados.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos, selecionar Sistema;3. Clicar duas vezes na GPO "Executar apenas aplicativos do Windows especificados";5. Selecionar Habilitado e clicar no botão Exibir;6. Digitar os aplicativos aprovados. Exemplo: Winword.exe e Powerpnt.exe;7. Clicar no botão OK e novamente OK.Restringindo Acesso do MMC para os Usuários Comuns Para Restringir Acesso do MMC para os Usuários.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows, selecionar Console de Gerenciamento Microsoft;3. Clicar duas vezes na GPO “Impedir que o usuário entre no modo de Autor”;4. Selecionar Habilitado e clicar no OK;5. Clicar com o botão direito do mouse no Política de Grupo que você criou para restringir oMMC, selecionar o menu Propriedades;6. Clicar na guia Segurança e Adicionar o grupo Administradores do Domínio;7. Na permissão Aplicar Política de Grupo, selecionar Negar e clicar no botão OK;8. Aparecerá um Alerta de Segurança e clicar no botão OK.GPOs de Internet Explorer Abaixo segue GPOs para você poder controlar o comportamento, aparência e asegurança do Internet Explorer.Alterando Titulo e Links Para Alterar o Titulo.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Componentes do Windows > Internet Explorer,selecionar as Configurações do Usuário;
    • 3. Clicar duas vezes na GPO “Titulo do Bowser”;4. Digitar o nome e clicar no botão OK;5. Clicar com o botão direito do mouse na Política de Grupo que você criou para restringir oMMC, selecionar o menu propriedades;6. Clicar na guia Segurança e Adicionar o grupo Administradores do Domínio;7. Na permissão Aplicar Política de Grupo, selecionar “Negar” e clicar no botão OK;8. Aparecerá um Alerta de Segurança e clicar no botão OK. Para Alterar URLs.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Componentes do Windows > Internet Explorer,selecionar URLs;3. Clicar duas vezes na GPO “URLs Importantes”;4. Na caixa de dialogo URLs Importantes, selecione Customize Home Page URL e digite oendereço da URL: http://www.microsoft.com.br;5. Selecione “Customizar URL de busca e digite o nome da URL de busca”:http://www.msn.com.br;6. Selecione “Customizar URL” e página de suporte e digite o nome da URL de suporte:http://support.microsoft.com;7. Clique no botão OK.Configurando a Zonas Internet do Internet Explorer Para Alterar a Zona Internet do Internet Explore.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Componentes do Windows > Manutenção doInternet Explorer, selecionar Segurança;3. Clicar duas vezes na GPO “Zonas de segurança e Classificação de Conteúdo”;4. Na caixa de dialogo “Zonas de segurança e Classificação de Conteúdo”, selecionar“Importar as configurações atuais das zonas de segurança e privacidade”;5. Clicar em “Modificar Configurações”, na caixa de dialogo “Segurança”, selecionar“Internet” e clicar no botão “Nivel de segurança”;6. Na caixa de dialogo “Configurações de segurança”, altere o campo “Alterar o nívelpadrão”, clique no botão “Reset”, clique no botão “Sim”, para confirmar e clique no botãoOK.
    • 7. Clique no botão OK para fechar a caixa de dialogo Segurança;8. Clicar com o botão direito do mouse na Política de Grupo que você criou para restringir oMMC, selecionar o Menu Propriedades.Prevenindo Alterações nas Configurações do Internet Explorer Para Desabilitar a Alteração das Configurações de Proxy.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows, selecionar Internet Explorer;3. Clicar duas vezes na GPO "Desabilitar alteração nas configurações de proxy";4. Selecionar Habilitado e clicar no OK.Para Desabilitar o Assistente para Conexão com a Internet.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows, selecionar Internet Explorer;3. Clicar duas vezes no “Desabilitar assistente de conexão da Internet”;4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Geral do Internet Explorer.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows > Internet Explorer, selecionar Painel de Controle da Internet;3. Clicar duas vezes no “Desativar a página geral”;4. Selecionar Habilitado e clicar no OK.Para Desabilitar a Pagina Segurança do Internet Explorer.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows > Internet Explorer, selecionar Painel de Controle da Internet;3. Clicar duas vezes no “Desativar a página segurança”;4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Conteúdo do Internet Explorer.1. Abrir o Editor de Política de Grupo;
    • 2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows > Internet Explorer, selecionar Painel de Controle da Internet;3. Clicar duas vezes no “Desativar a página conteúdo”;4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Conexões do Internet Explorer.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows > Internet Explorer, selecionar Painel de Controle da Internet;3. Clicar duas vezes no “Desativar a página conexões”;4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Programas do Internet Explorer.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows > Internet Explorer, selecionar Painel de Controle da Internet;3. Clicar duas vezes no “Desativar a página programas”;4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Avançado do Internet Explorer.1. Abrir o Editor de Política de Grupo;2. Expandir > Configurações de usuário > Modelos Administrativos > Componentes doWindows > Internet Explorer, selecionar Painel de Controle da Internet;3. Clicar duas vezes no “Desativar a página avançada”;4. Selecionar Habilitado e clicar no OK.Conclusão A necessidade de melhorar o gerenciamento e diminuir o custo operacional da áreado suporte das empresas ocasionou o surgimento de ótimos aplicativos para osadministradores de redes no ambiente Windows. A união do AD com as políticas de gruposacabaram se tornando um fato relevante, pois as políticas de grupos atribuem um ótimobenefício a um baixo custo operacional, trazem muitas possibilidades aos gerenciadores deuma rede de computadores, sua implantação é rápida e cada vez mais simplificada.
    • Referencias bibliográficas:http://technet.microsoft.com/pt-br/library/cc668545.aspxhttp://www.andersonpatricio.org/Tutoriais/AP505_b.htmlhttp://www.inf.furb.br/tcc/index.php?cd=9&tcc=1040