Você está na página 1de 6

Gerenciando restries de hardware por meio de Diretiva de grupo

Viso geral:

Restringindo instalaes de hardware

Restringindo dispositivos especficos

Restringindo classes de dispositivos

Voc sabe que verdade: aqueles pen drives USB e todos os outros dispositivos removveis tornam a sua vida pessoal
mais fcil, mas tambm dificultam a sua vida profissional. Voc precisa de uma forma de controlar os
dispositivos de hardware que podem ser instalados e os que no podem. Felizmente, com a Diretiva de grupo do
Windows Vista e da prxima verso do Windows Server, cujo codinome "Longhorn", voc tem a opo de
aprovar a conexo de um mouse USB mas desaprovar os pen drives USB, permitir leitores de CD-ROM, mas no
gravadores de DVD ou permitir Bluetooth e impedir a conexo de PCMCIA.
Duas sees da Diretiva de grupo podem ajud-lo a proteger o seu hardware: Configurao do Computador |
Modelos Administrativos | Sistema | Acesso de Armazenamento Removvel (consulte a Figura 1) e Configurao do
Computador | Modelos Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo
(consulte a Figura 2).

Figura 1 Restries de hardware predefinidas da Diretiva de grupo (Clique na imagem para aumentar a exibio)

Figura 2 Personalize os tipos de hardware que voc deseja restringir (Clique na imagem para aumentar a exibio)
O primeiro conjunto (Acesso de Armazenamento Removvel) bastante auto-explicativo: se voc habilitar uma
definio de diretiva para aquele tipo de armazenamento removvel (CD/DVD, disquete, entre outros), poder

restringir a leitura e/ou a gravao para todo o tipo de dispositivo, se desejado. Mas ele no possui os superpoderes de
Restries de Instalao de Dispositivo.
Em Acesso de armazenamento removvel, h grupos de definio de diretiva chamados Classes personalizadas:
Negar acesso de leitura e Classes personalizadas: Negar acesso de gravao. Isso parece bom, mas a diretiva Acesso
de Armazenamento Removvel no evita que os drivers sejam instalados o driver da classe j estar instalado
quando o hardware for detectado. O que a diretiva faz evitar que haja leitura ou gravao no dispositivo. Na prxima
seo, onde vou explorar as configuraes da diretiva Restries de Instalao de Dispositivo, impedirei a utilizao
do prprio driver.
Manipulando classes e IDs
Primeiro, o mais importante: voc precisa saber o que deseja restringir. possvel pensar grande ou pensar
pequeno. Ou seja, voc pode restringir uma "classe" de dispositivos especfica ou obter uma super-especfica e
restringir um nico tipo de hardware. Ou pode fazer o contrrio e permitir somente algumas classes especficas de
dispositivo, como um mouse USB. No entanto, este o truque: para ser realmente eficiente, voc precisa rastrear o
hardware que deseja restringir.
Assim, se voc quer dizer "Nenhum driver de joystick pode ser instalado" e "O nico mouse que poder ser
instalado o USB", precisa encontrar um joystick e um mouse USB. A alternativa usar a Internet para rastrear a ID
do Hardware, a identificao compatvel ou a classe de dispositivo. Entretanto, ser muito mais fcil se voc tiver um
desses dispositivos na sua frente. Dessa forma, voc poder conect-lo sua mquina e verificar o ID do Hardware, a
identificao compatvel ou a classe de dispositivo. Depois de descobrir essa informao, voc saber exatamente
como restringi-los (ou como disponibiliz-los).
No exemplo a seguir, impedirei a utilizao de uma famlia especfica de placas de som: uma Creative AutoPCI
ES1371/ES1373. Se voc quiser restringir algum outro recurso especfico (como dispositivos USB, portas USB etc.),
basta acompanhar o procedimento e substituir pelo dispositivo desejado.
Abra o Gerenciador de dispositivos em uma mquina que j tenha os itens de hardware instalados. Quando
encontrar o dispositivo, clique-o com o boto direito do mouse e selecione Propriedades e a guia Detalhes. Por padro,
voc ver uma "Descrio do dispositivo"; ela interessante, mas no muito til. Selecione a lista suspensa
Propriedade e escolha "IDs de Hardware", como mostrado na Figura 3.

Figura 3 A guia Detalhes do dispositivo (Clique na imagem para aumentar a exibio)


A pgina IDs de Hardware exibe, de cima para baixo, as identificaes de dispositivo da mais especfica para a
menos especfica. Se voc examinar mais de perto o item superior da lista de valores IDs de Hardware, ver que esta

placa de som , especificamente, uma Ver 2 da placa de som ES1371. Isso bastante especfico. medida que
percorremos a lista, a descrio vai se tornando menos especfica para englobar toda a famlia.
Alm disso, voc pode alterar a Propriedade para identificaes compatveis. Elas tambm descrevem o hardware e
so consideradas menos especficas do que as IDs de Hardware. Voc pode optar por utilizar as informaes das
identificaes compatveis e tentar obter mais tipos de hardware que sejam similares aos presentes em sua lista dos
que no podem ser usados uma vez que elas so menos especficas e podem capturar mais resultados. A
desvantagem que voc pode restringir algo que no deveria ser restringido.
E, finalmente, a categoria menos especfica pode ser encontrada por meio da seleo de Classe de Dispositivo na
lista suspensa Propriedade. No meu caso, a placa de som exibida simplesmente como Mdia. Mas alguns itens
podem ser considerados como Mdia e, novamente, ao optar pelo menos especfico, voc deve tomar ainda mais
cuidado.
Depois de decidir o valor a ser usado, clique sobre ele com o boto direito do mouse, selecione Copiar e cole-o no
Bloco de notas. O fato de copi-lo diretamente, como apresentado, importante, j que nas prximas etapas o valor
precisar ser inserido com exatido. Todos os caracteres em maisculas e minsculas do valor devem ser transferidos
com preciso.
Se voc quiser utilizar um comando da linha de comando em vez de usar o Gerenciador de dispositivos para
capturar os IDs de Hardware ou as classes de dispositivo, consulte o utilitrio de linha de comando Devcom em
support.microsoft.com/kb/311272. Observe que a Microsoft possui alguns identificadores para classes comuns que
podem ser teis caso voc no tenha acesso fsico ao dispositivo; consulte as informaes em
go.microsoft.com/fwlink/?LinkId=52665.
Controle de acesso ao hardware por meio de Diretiva de grupo
Mesmo explorando todas as configuraes de diretiva de Configurao do Computador | Modelos Administrativos |
Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo (mostrado na Figura 2), s uma delas
ser necessria para concluirmos este primeiro exemplo.
Primeiro, crie um GPO (Objeto de diretiva de grupo) e vincule-o a uma OU (ou a um domnio, entre outros) que
contenha mquinas com o Windows Vista que voc deseja controlar. Agora edite o GPO e v at Configurao do
Computador | Modelos Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo |
Impedir a instalao de dispositivos que correspondam a qualquer destas identificaes de dispositivo. Selecione
Habilitado na configurao da diretiva, clique em Mostrar (tambm na configurao da diretiva) e selecione Adicionar
na caixa de dilogo "Mostrar contedo". Em seguida, na caixa de dilogo "Adicionar item", cole as informaes do
dispositivo salvas anteriormente como mostrado na Figura 4.

Figura 4 Cole a identificao do dispositivo para capturar a sua descrio exata (Clique na imagem para aumentar a
exibio)
Aqui temos o problema. Se uma mquina j tiver o dispositivo instalado, ela no o desinstalar e restringir o
acesso a ele em um passe de mgica. Assim, ser voc quiser restringir o hardware, ter de fazer isso antes da
implementao do seu Windows Vista. No entanto, preciso observar que o Windows Vista far uma nova verificao
sempre que um dispositivo for removido e reinstalado. Portanto, itens como pen drives USB (que so removidos e
reinseridos novamente) so excelentes candidatos para esse processo. Uma vez que o Windows Vista s faz uma nova
verificao quando o dispositivo reconectado, o dispositivo ser restringido nesse momento (mesmo que o seu driver
j tenha sido carregado na mquina). O problema mais difcil est relacionado aos dispositivos que vm com a
mquina e que no so removidos e reconectados. Para eles, no h uma soluo instantaneamente bvia.
Quando voc liga uma mquina que nunca viu o dispositivo de hardware antes, o Windows tentar instal-lo,
oferecendo as informaes de status medida que for progredindo. Se voc configurou uma diretiva restringindo esses
dispositivos, obter o resultado mostrado na Figura 5.

Figure 5Figura 5 A instalao de um dispositivo foi impedida (Clique na imagem para aumentar a exibio)
Mais restries de hardware
No exemplo anterior, ns restringimos somente um dispositivo. Se quisesse, voc poderia ter tomado o caminho
inverso, restringindo todo o hardware por padro e ento permitindo somente alguns. Novamente, voc pode ver uma
lista dessas configuraes de diretiva na Figura 2, que mostra a ramificao Configurao do Computador | Modelos
Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo da Diretiva de grupo.
possvel escolher entre diversas configuraes disponveis.
Primeiro, h "Permitir que os administradores substituam as diretivas de Restrio de Instalao de Dispositivos".
Por padro, os administradores locais do Windows Vista devem seguir as restries configuradas. Se voc habilitar
essa configurao, os administradores locais podero substituir a restrio e instalar qualquer hardware que desejarem.
Em seguida, h "Permitir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao
de dispositivo". Ao inserir descries de dispositivo nessa configurao de diretiva, voc est permitindo

expressamente que esses dispositivos de hardware sejam instalados no sistema. Observe que essa configurao de
diretiva considera somente as classes de instalao, e no as identificaes de dispositivo (como as usadas no
exemplo).
Para obter o efeito contrrio, voc pode definir "Impedir a instalao de dispositivos usando drivers que
correspondam a essas classes de instalao de dispositivo".
As duas configuraes "Exibir uma mensagem personalizada quando a instalao for impedida pela diretiva (texto
do balo)" e "Exibir uma mensagem personalizada quando a instalao for impedida pela diretiva (ttulo do balo)"
ajudam na personalizao da mensagem, como mostrado na Figura 5.
Como mencionado anteriormente, a forma menos especfica de descrever o hardware se baseia na classe de
hardware. Devemos observar que a configurao de diretiva "Permitir a instalao de dispositivos que correspondam a
qualquer destas identificaes de dispositivo" no considera as descries de identificao de classe. Para usar as
descries de identificao de classe, voc pode escolher "Permitir a instalao de dispositivos usando drivers que
correspondam a essas classes de instalao de dispositivo" ou "Impedir a instalao de dispositivos usando drivers que
correspondam a essas classes de instalao de dispositivo". Essa ltima diretiva melhor quando usada em conjunto
com a configurao "Impedir a instalao de dispositivos no descritos por outras configuraes de diretiva". Ao
impedir tudo (por padro) e ento optar por essa configurao, voc poder especificar, com preciso, quais so os
dispositivos que deseja permitir.
No exemplo, utilize a diretiva "Impedir a instalao de dispositivos que correspondam a qualquer destas
identificaes de dispositivo" para restringir um tipo especfico de hardware com base nas identificaes de
dispositivo". Se voc quiser implementar restries usando as classes de dispositivo, deve utilizar outras
configuraes de diretiva especficas, como "Permitir a instalao de dispositivos usando drivers que correspondam a
essas classes de instalao de dispositivo" ou "Impedir a instalao de dispositivos usando drivers que correspondam a
essas classes de instalao de dispositivo".
"Impedir a instalao de dispositivos removveis" uma forma rpida e genrica de restringir qualquer dispositivo
de hardware que se descreva como removvel, incluindo os dispositivos USB. Essa configurao bem geral, por isso
melhor no us-la com muita freqncia. Em vez dela, utilize as tcnicas descritas anteriormente para obter
identificaes de dispositivo moderadamente restritivas e para bloquear os dispositivos de forma especfica.
Finalmente, "Impedir a instalao de dispositivos no descritos por outras configuraes de diretiva" a
configurao geral de diretiva que, basicamente, restringe todos os dispositivos de hardware, a menos que voc
informe que alguns deles podero ser instalados. Essa diretiva, em conjunto com as vrias diretivas "Permitir" (como
"Impedir a instalao de dispositivos que correspondam a qualquer destas identificaes de dispositivo"), formam uma
ferramenta realmente poderosa que permitir a voc instalar em seu ambiente somente o hardware desejado.
Concluso
A Diretiva de grupo do Windows Vista possui alguns superpoderes, extremamente teis e que permitiro a voc
instalar em seu ambiente somente o hardware desejado. Basta implementar as configuraes de diretiva antes da sua
implementao para que o hardware indesejado que esteja em sua rede nunca encontre uma forma de se conectar.
Jeremy Moskowitz, MCSE e MVP em Diretiva de grupo, administra o GPanswers.com, um frum comunitrio sobre
Diretivas de grupo. Ele tambm ministra uma srie de workshops de treinamento intensivo sobre Diretiva de grupo.
Seu livro mais recente foi lanado pela editora Sybex em 2007 e se chama Group Policy: Management,
Troubleshooting and Security (Diretiva de grupo: gerenciamento, soluo de problemas e segurana). Entre em
contato com Jeremy pelo endereo www.GPanswers.com.

Da June 2007 edio de TechNet Magazine.


Agradecemos seus comentrios. Fique vontade para enviar-nos seus comentrios.