UNIVERSIDADE ESTCIO DE S PS-GRADUAO EM SEGURANA DE REDES DE COMPUTADORES

ALEX SANDRO BASTOS CRISTIANO CARVALHO PATRICIA GONALVES

GPO Group Police Objects

Rio de Janeiro RJ 2012

GPO Group Police Objects

ALEX SANDRO BASTOS CRISTIANO CARVALHO PATRICIA GONALVES

Trabalho apresentado como requisito para avaliao na disciplina Sistemas de Controle de Acesso do curso de ps-graduao em Segurana de Redes de Computadores da Universidade Estcio de S.

Professor: Cassio Ramos

Rio de Janeiro RJ 2012

Introduo

Uma das maiores tarefas de um administrador de sistemas gerenciar usurios, grupos e computadores da rede. Imagine voc tendo um parque de mquinas com 1500 desktops para gerenciar e precisa mudar uma configurao em todas elas. A princpio voc deve pensar que gastar no mnimo um ms para terminar essa tarefa, mas se voc estiver em ambiente Windows com Active Directory, essa tarefa no levar mais que alguns minutos atravs de um recurso chamado Group Policy (GPO). A Group Policy (GPO) capaz de mudar configuraes, restringir aes ou at mesmo distribuir aplicaes em seu ambiente de rede. As vantagens so muitas e podem ser aplicadas em sites, domnios e unidades organizacionais (OUs). Se voc criou uma OU para cada departamento da sua empresa, poder ento, fazer diferentes configuraes de GPO para cada departamento. As GPOs so baseadas em templates que possuem uma lista de opes configurveis de forma amigvel. A maioria dos itens de uma GPO tem 3 diferentes opes: Enable: Especifica que aquele item ser ativado. Disable: Especifica que aquele item ser desativado. Not Configured: Deixa a opo neutra, nem ativa e nem desativa o item, ou seja, fica como est agora. Esta a configurao padro. As configuraes das GPOs podem ser aplicadas em dois tipos de objetos do Active Directory: Usurios e Computadores, desde que estejam em uma OU. Se houver algum conflito entre as configuraes dos computadores e dos usurios, as configuraes dos usurios vo prevalecer, infelizmente no possvel aplicar uma GPO em um grupo de segurana ou distribuio. Os tipos de configuraes que podem ser feitas esto descritas abaixo: Software Settings: Nesta categoria, um administrador pode, por exemplo, distribuir aplicaes para usurios finais. Windows Settings: Permite ao administrador customizar as configuraes do Windows. Estas opes so diferentes para usurios e computadores. Por exemplo: Nos computadores, eu posso criar um script para ser executado no Startup e Shutdown. Nos usurios eu crio scripts para rodar no Logon e Logoff. Alm disso, nos usurios posso mudar configuraes do Internet Explorer, redirecionar pastas, etc. Administrative Templates: Tambm so diferentes as opes para computadores e usurios. Por exemplo: Nos computadores eu posso configurar itens do Sistema e nos usurios, posso configurar o Menu Iniciar e Barra de Tarefas.

Hierarquia das GPOs Outro conceito importe saber a hierarquia das GPOs que podem ser aplicadas em 3 nveis diferentes: sites, domnios e OUs.

Sites: O mais alto nvel. Todas as configuraes feitas no site sero aplicadas a todos os domnios que fazem parte dele. Domnios: o segundo nvel. Configuraes feitas aqui afetaro todos os usurios e grupos dentro do domnio. OUs: O que se aplica nas OUs afetaro todos os usurios dentro dela. importante lembrar que as opes so cumulativas por padro. Sendo assim, se eu sou um usurio da OU Engenharia, posso receber configuraes que vem do Site, Domnio e da minha prpria OU.

Exemplo: No Site foi configurada uma GPO para os usurios mudarem a senha a cada 50 dias. No Domnio, foi configurada outra GPO desativando o prompt de Comando e na OU Engenharia, foi configurada outra GPO para especificar o papel de parede padro do meu desktop. Quando eu me logar sero aplicadas as trs GPOs.

Heranas de Group Policy Pegando o exemplo acima, o que aconteceria se fosse configurada uma GPO no Domnio para mudar a senha a cada 30 dias? Haveria um conflito de GPOs, pois no Site est configurado para mudar a senha a cada 50 dias. Por isso importante entender como ocorrem s heranas de GPOs. Por default, quem est mais prximo do usurio tem preferncia na aplicao da GPO sobre as configuraes mais genricas. No nosso exemplo, a GPO do Domnio ser aplicada. Entretanto, o Administrador do Sistema pode alterar esse comportamento atravs de duas opes descritas abaixo:

Block Policy Inheritance (Bloquear heranas de polticas) Especifica que as configuraes da GPO para um objeto no ser herdada do nvel superior. Isso muito usado quando se tem uma OU dentro de outra e voc quer aplicar uma configurao especfica para aquela OU.

Force Policy Inheritance (Forar herana de polticas) Especifica que voc no permitir que nveis filhos possam sobrescrever suas configuraes de GPO. Por exemplo: Sou administrador de um site da minha empresa e criei uma poltica de senha forte atravs de GPO com 9 caracteres e no quero que o Administrador do Domnio e nem o das OUs dos domnios possam sobrescrever minha poltica. Neste caso eu crio minha GPO, aplico ao Site e marco a opo de Force Policy Inheritance. Agora que j entendemos como funcionam as Group Polices ou Politicas de grupo, vamos a alguns exemplos prticos de como aplic-las. Aps os exemplos voc ver que muito fcil a implementao das polticas de grupo e poder explorar este universo criando suas prprias polticas nas mais diversas reas do sistema de acordo com suas necessidades. Criando as polticas de grupo

Podemos criar de uma nica poltica diversas alteraes/restries para o sistema operacional ou podemos criar uma poltica para cada alterao/restrio. Para fins didticos e melhor entendimento do assunto, vamos criar uma alterao/restrio por poltica. Neste momento vamos apenas criar a poltica de grupo, mas ainda no vamos aplic-la para nenhum site, domnio ou OU.

Para abrir o console de gerenciamento de poltica de grupo: Iniciar > Ferramentas administrativas > Gerenciamento de Diretivas de Grupo.

Figura 1 - Abrindo a console do GPMC

Console de Gerenciamento de Polticas de Grupo

Figura 2 - Console de Gerenciamento de Polticas de Grupo

Vamos comear criando uma poltica para desabilitar o acesso ao painel de controle do computador, esta poltica ser uma poltica de usurios, ou seja, em todo computador que este usurio logar a poltica ser aplicada. Para criar esta poltica devemos fazer o seguinte:

Clicar com o boto direito do mouse em cima de Objeto de diretiva de grupo e depois em Novo.

Figura 3 - Criando uma nova poltica de grupo

Aps isso devemos dar um nome a nossa GPO, escolhi desabilitando o painel de controle, sempre bom dar um nome que facilite lembrar o que aquela GPO faz, pois isso vai facilitar a sua manuteno e administrao.

Figura 4 - Nomeando a poltica

Feito isso poderemos editar nossa poltica, para isso devemos clicar com o boto direto do mouse sob a poltica criada e sem seguida em editar.

Figura 5 - Editando a Poltica de Grupo

Desabilitando o painel de controle via GPO: Configurao do Usurio > Modelos Administrativos > Painel de Controle, clicar duas vezes sobre Proibir acesso ao Painel de Controle e em seguida escolher a opo Habilitado, Aplicar e OK.

Figura 6 - Desabilitando o acesso ao Painel de Controle

Feito isto nossa poltica para bloqueio ao painel de controle esta pronta, basta agora aplicarmos esta poltica nas UOs (Unidades Organizacionais), Domnios ou Sites de nosso interesse. Vamos dizer que esta poltica deve ser aplica em todo o nosso domnio, devemos ento clicar com o boto direito do mouse sobre o domnio em meu caso Posgrad.edu e em seguida em vincular com GPO existente .

Figura 7 - Vinculando GPO existente ao Domnio

Em seguida devemos marcar a GPO que queremos aplicar e clicar em OK.

Figura 8 - Escolhendo a GPO

Assim a GPO est aplicada para o Domnio, conforme figura abaixo:

Figura 9 - GPO vinculada

Agora vamos dar um exemplo de uma poltica para computadores, ou seja, ser aplicada a todos os computadores a que a poltica estiver vinculada, independente do usurio que esteja logado. Vamos dizer que queremos que em todos os desktops o firewall esteja ativado para o perfil do domnio, que todas as conexes de entrada sejam negadas e que todas as conexes de sada sejam permitidas. Para isto vamos criar uma nova poltica (Figura 3), dar o nome de configuraes de firewall (Figura 4) e editar esta GPO (Figura 5).

Para fazermos as configuraes acima vamos em: Configuraes do computador > Diretivas > Configuraes do Windows > Configuraes de Segurana > Firewall do Windows > Firewall do Windows e depois clicar em Propriedades do Firewall do Windows.

Figura 10 - Configurando a Poltica do Firewall

Na janela que vai se abrir vamos escolher as opes para o perfil de Domnio: Estado do Firewall: Habilitado. Conexes de entrada: Bloquear todas as conexes. Conexes de sada: Permitir (padro). Depois, aplicar e OK.

Figura 11 - Configuando as opes de firewall

Feito isto basta vincularmos a GPO ao nosso domnio (Figuras 7 e 8).

Figura 12 - GPO de Firewall vinculada

Agora que mostramos como criar polticas para usurios e para computadores e como vincul-las aos Sites, Domnios e OUs, voc pode criar suas prprias polticas de acordor com suas necessidades. Abaixo vamos listar uma srie de polticas que podem ser aplicadas em seu domnio para reforar a segurana da sua empresa.

Exemplos de polticas de segurana: GPOs do Windows Explorer

Abaixo seguem GPOs para voc poder controlar o comportamento, aparncia e a segurana do Windows Explorer. Antes de colocar em produo executem testes em uma rea controlada.

Para desabilitar o Meus Locais de Rede.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar rea de trabalho; 3. Clicar duas vezes na GPO "Ocultar o cone Locais de rede na rea de trabalho"; 4. Selecionar Habilitado, clicar no boto OK. Para Ocultar Todos os cones da rea de Trabalho.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows, selecionar rea de trabalho; 3. Clicar duas vezes na GPO "Ocultar e desabilitar todos os cones da rea de trabalho"; 4. Selecionar Habilitado, clicar no boto OK.

Restringindo acesso a Escutveis Perigosos

Para Desabilitar o Regedit.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Sistema; 3. Clicar duas vezes na GPO "Impedir acesso a ferramenta de edio de registro"; 4. Selecionar Habilitado, clicar no boto OK. Para Desabilitar o Prompt de Comando.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Sistema; 3. Clicar duas vezes na GPO "Impedir o acesso ao prompt de comando"; 4. Selecionar Habilitado, clicar no boto OK. Para Desabilitar o Gerenciador de Tarefas.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Sistema > selecionar Ctrl+Alt+Del Opes; 3. Clicar duas vezes na GPO "Remove gerenciador de tarefas"; 4. Selecionar Habilitado, clicar no boto OK.

Modificando as Configuraes do Menu Iniciar

Para Desabilitar o Menu Configuraes.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO "Remover programas no menu configuraes"; 4. Selecionar Habilitado, clicar no boto OK.

Para Desabilitar e Remover o Link do Windows Update.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO "Remove links e acessos ao Windows Update"; 4. Selecionar Habilitado, clicar no boto OK. Para Adicionar Logoff no Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO "Adicionar Fazer Logoff ao menu iniciar"; 4. Selecionar Habilitado, clicar no boto OK. Para Remover Comando Desligar do Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO Remover Desligar do menu iniciar; 4. Selecionar Habilitado, clicar no boto OK. Para Remover Menu Pesquisa do Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO "Remover pesquisar do menu iniciar"; 4. Selecionar Habilitado, clicar no boto OK. Para Remover Menu Executar do Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO "Remover Executar do menu iniciar"; 4. Selecionar Habilitado, clicar no boto OK.

Para Remover Menu Ajuda do Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO Remove Ajuda do menu iniciar; 4. Selecionar Habilitado, clicar no boto OK. Para Remover Menu Favoritos do Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO Remover Favoritos do menu iniciar; 4. Selecionar Habilitado, clicar no boto OK. Para Remover Menu Documentos do Menu Iniciar.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO Remover Meus Documentos do menu iniciar; 4. Selecionar Habilitado, clicar no boto OK. Para Remover Menu Barra de tarefas e menu iniciar do Menu Iniciar > Configuraes.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Menu Iniciar e barra de tarefas; 3. Clicar duas vezes na GPO Impedir alteraes nas configuraes de Barra de tarefas e menu iniciar; 5. Selecionar Habilitado, clicar no boto OK.

Restrigindo Acesso a Unidades Locais

Para Restringir Acesso a Unidades Locais no Windows Explorer.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows, Windows Explorer;

3. Clicar duas vezes na GPO "Impedir acesso a unidades de Meu Computador"; 4. Selecionar Habilitado e selecionar Restringir unidades A, B, C, e D, clicar no boto OK. Para Permitir Apenas Executveis Aprovados.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos, selecionar Sistema; 3. Clicar duas vezes na GPO "Executar apenas aplicativos do Windows especificados"; 5. Selecionar Habilitado e clicar no boto Exibir; 6. Digitar os aplicativos aprovados. Exemplo: Winword.exe e Powerpnt.exe; 7. Clicar no boto OK e novamente OK. Restringindo Acesso do MMC para os Usurios Comuns Para Restringir Acesso do MMC para os Usurios.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows, selecionar Console de Gerenciamento Microsoft; 3. Clicar duas vezes na GPO Impedir que o usurio entre no modo de Autor; 4. Selecionar Habilitado e clicar no OK; 5. Clicar com o boto direito do mouse no Poltica de Grupo que voc criou para restringir o MMC, selecionar o menu Propriedades; 6. Clicar na guia Segurana e Adicionar o grupo Administradores do Domnio; 7. Na permisso Aplicar Poltica de Grupo, selecionar Negar e clicar no boto OK; 8. Aparecer um Alerta de Segurana e clicar no boto OK.

GPOs de Internet Explorer

Abaixo segue GPOs para voc poder controlar o comportamento, aparncia e a segurana do Internet Explorer.

Alterando Titulo e Links

Para Alterar o Titulo.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Componentes do Windows > Internet Explorer, selecionar as Configuraes do Usurio;

3. Clicar duas vezes na GPO Titulo do Bowser; 4. Digitar o nome e clicar no boto OK; 5. Clicar com o boto direito do mouse na Poltica de Grupo que voc criou para restringir o MMC, selecionar o menu propriedades; 6. Clicar na guia Segurana e Adicionar o grupo Administradores do Domnio; 7. Na permisso Aplicar Poltica de Grupo, selecionar Negar e clicar no boto OK; 8. Aparecer um Alerta de Segurana e clicar no boto OK. Para Alterar URLs.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Componentes do Windows > Internet Explorer, selecionar URLs; 3. Clicar duas vezes na GPO URLs Importantes; 4. Na caixa de dialogo URLs Importantes, selecione Customize Home Page URL e digite o endereo da URL: http://www.microsoft.com.br; 5. Selecione Customizar URL de busca e digite o nome da URL de busca: http://www.msn.com.br; 6. Selecione Customizar URL e pgina de suporte e digite o nome da URL de suporte: http://support.microsoft.com; 7. Clique no boto OK.

Configurando a Zonas Internet do Internet Explorer

Para Alterar a Zona Internet do Internet Explore.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Componentes do Windows > Manuteno do Internet Explorer, selecionar Segurana; 3. Clicar duas vezes na GPO Zonas de segurana e Classificao de Contedo; 4. Na caixa de dialogo Zonas de segurana e Classificao de Contedo, selecionar Importar as configuraes atuais das zonas de segurana e privacidade; 5. Clicar em Modificar Configuraes, na caixa de dialogo Segurana, selecionar Internet e clicar no boto Nivel de segurana; 6. Na caixa de dialogo Configuraes de segurana, altere o campo Alterar o nvel padro, clique no boto Reset, clique no boto Sim, para confirmar e clique no boto OK.

7. Clique no boto OK para fechar a caixa de dialogo Segurana; 8. Clicar com o boto direito do mouse na Poltica de Grupo que voc criou para restringir o MMC, selecionar o Menu Propriedades.

Prevenindo Alteraes nas Configuraes do Internet Explorer

Para Desabilitar a Alterao das Configuraes de Proxy.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows, selecionar Internet Explorer; 3. Clicar duas vezes na GPO "Desabilitar alterao nas configuraes de proxy"; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar o Assistente para Conexo com a Internet. 1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows, selecionar Internet Explorer; 3. Clicar duas vezes no Desabilitar assistente de conexo da Internet; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Geral do Internet Explorer.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet; 3. Clicar duas vezes no Desativar a pgina geral; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Segurana do Internet Explorer. 1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet; 3. Clicar duas vezes no Desativar a pgina segurana; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Contedo do Internet Explorer.

1. Abrir o Editor de Poltica de Grupo;

2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet; 3. Clicar duas vezes no Desativar a pgina contedo; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Conexes do Internet Explorer.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet; 3. Clicar duas vezes no Desativar a pgina conexes; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Programas do Internet Explorer.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet; 3. Clicar duas vezes no Desativar a pgina programas; 4. Selecionar Habilitado e clicar no OK. Para Desabilitar a Pagina Avanado do Internet Explorer.

1. Abrir o Editor de Poltica de Grupo; 2. Expandir > Configuraes de usurio > Modelos Administrativos > Componentes do Windows > Internet Explorer, selecionar Painel de Controle da Internet; 3. Clicar duas vezes no Desativar a pgina avanada; 4. Selecionar Habilitado e clicar no OK.

Concluso
A necessidade de melhorar o gerenciamento e diminuir o custo operacional da rea do suporte das empresas ocasionou o surgimento de timos aplicativos para os administradores de redes no ambiente Windows. A unio do AD com as polticas de grupos acabaram se tornando um fato relevante, pois as polticas de grupos atribuem um timo benefcio a um baixo custo operacional, trazem muitas possibilidades aos gerenciadores de uma rede de computadores, sua implantao rpida e cada vez mais simplificada.

Referencias bibliogrficas: http://technet.microsoft.com/pt-br/library/cc668545.aspx http://www.andersonpatricio.org/Tutoriais/AP505_b.html http://www.inf.furb.br/tcc/index.php?cd=9&tcc=1040