[MEU 50º LIVRO]: BANCOS DE DADOS E ACESS - CURSO COMPLETO - DO BÁSICO AO VBA - 1602 páginas

Páginas: 1602 | Autor: Júlio Battisti | 40% de Desconto e 70h de Vídeo Aulas de Bônus

Você está em: PrincipalArtigosWindows 2003 Server › Capítulo 18 : 06
Quer receber novidades e e-books gratuitos?
›››
« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »
WINDOWS 2003 SERVER - CURSO COMPLETO
Autor: Júlio Battisti


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


Lição 163 - Capítulo 18 - Know-how em: Políticas de Restrição de Software via GPO

Pré-Requisitos: Teoria e prática sobre restrição de Software via GPO.
Metodologia: Implementação de uma política de Restrição de Software.
Técnica: Exemplos práticos, passo-a-passo.

As empresas trabalham em um ambiente completamente conectado em rede e a rede da empresa conectada com a Internet. O Windows é o sistema operacional amplamente dominante nas estações de trabalho da rede. Imagine uma rede com milhares de estações de trabalho, em cada uma um CD-ROM e um drive de disquete. Agora imagine que apenas uma pequena porcentagem dos usuários resolva começar a instalar programas por conta. Um instala um joguinho que veio em um CD de revista, outro instala um programinha de agenda que ele baixou da Internet e por aí vai.

Além dos graves riscos em relação à segurança, imagine os transtornos quando começam a chegar chamadas para a equipe de suporte, porque um dos programinhas que o usuário instalou está gerando um “Conflito de DLL”, que fez com que um software da empresa parasse de funcionar na máquina do usuário. Agora multiplique este problema por centenas, por milhares de usuários em toda a rede e você poderá ter uma idéia dos prejuízos que a falta de uma política de restrição de Software pode causar. Há, sem contar os problemas com vírus é claro e a questão de segurança.

O objetivo de uma política de restrição de software é impedir que os usuários possam instalar programas que não os explicitamente permitidos na política de restrição. Ou seja, o Administrador cria uma lista dos programas permitidos e tudo que não estiver nesta lista será, automaticamente, bloqueado nas estações de trabalho do usuário. Ou seja, se o usuário tentar instalar um programa que não faz parte da lista dos programas aprovados, o programa não será instalado ou se for instalado não será executado. Como as políticas de restrição podem ser aplicadas para usuários ou computadores e são aplicadas via GPO, o administrador pode definir diferentes políticas de restrição de software para diferentes grupos de usuários e comutadores, combinando a possibilidade de associar diferentes GPOs a diferentes unidades organizacionais e o recurso de definir uma lista de permissão de acesso a cada GPO.

A política de restrição de software pode trabalhar de duas maneiras: com uma lista branca ou com uma lista negra. Com uma lista branca, todos os softwares são proibidos, com exceção dos que estão na lista. Com a lista negra, todos os software são permitidos, com exceção dos que estão na lista. Na hora de acrescentar um software à lista (quer seja uma lista branca ou uma lista negra), o administrador terá que definir algumas regras que servem para identificar o software. Existem diferentes tipos de regras, sobre os quais falarei mais adiante. Os tipos de regras disponíveis são os seguintes:

• Hash rules
• Certificate rules
• Path rules (including caminhos da Registry)
• Internet zone rules

Uma política de restrição de software é constituída de uma nível de segurança padrão e de todas as regras aplicadas a GPO. As restrições de software podem ser aplicadas em todo o domínio, para computadores e para usuários. Com as políticas de restrição de software estão disponíveis diferentes maneiras para identificar um software, bem como as políticas que definem se o software poderá ser identificado ou não. Por exemplo, se o administrador quer criar uma política de restrição que empeça o Windows Media Player de ser executado nos computadores do domínio. Para criar esta política, primeiro ele terá que criar regras que identifiquem o Windows Média Player e depois as políticas que impedirão o Windows Media Player de ser executado nos computadores do domínio.

Com as políticas de restrição de software o administrador pode implementar as seguintes funcionalidades:

• Controlar quais programas podem e quais programas não podem ser executados em pontos específicos da rede. Por exemplo, para minimizar o problema de vírus recebidos via anexos de email, o administrador pode criar uma política de restrição que impede que determinados tipos de arquivos sejam executados no arquivo de anexos do cliente de correio eletrônico utilizado pelos usuários.

• Permitir o uso apenas de determinados arquivos, em computadores utilizados por mais de um usuário. Por exemplo, você pode definir um conjunto de programas que deve ser utilizado pelos funcionários e fazer com que qualquer programa que não faça parte do conjunto de programas autorizado, não possa ser executado nas estações de trabalho dos usuários.

• Aplicar as políticas para todos os usuários e computadores ou apenas para determinadas partes da rede, como por exemplo para um determinada OU.

• Impedir que um arquivo específico seja executado em qualquer computador do domínio. Por exemplo, quando surge um novo vírus. O nome do arquivo que contém o vírus pode até mudar, mas as suas características podem ser identificadas através da criação de regras e pode ser criada uma política de restrição de software que impeça este arquivo (independentemente do nome que ele tenha) de ser executado nos computadores do domínio.

 Importante: o uso de políticas de restrição de software não é, de maneira alguma, um substituto para o uso de um bom e atualizado anti-vírus. É apenas mais um recurso que pode ser uma auxiliar valioso no combate a estas verdadeiras “pestes eletrônicas”.

Níveis de segurança e regras de identificação de software:

Conforme descrito anteriormente, com o recurso de restrição de software é possível trabalhar com uma lista branca ou com uma lista negra. Para definir um ou outro tipo de lista, o Windows Server 2003 trabalha com o que chamamos de níveis de segurança. Porém a lista é em relação a cada programa individualmente. Existem dois diferentes níveis de segurança:

• Unrestricted (Irrestrito): O software é permitido por padrão. Porém podem ser criadas exceções. Por exemplo, pode ser criada uma política que permite o uso do Windows Media Player. Depois o administrador cria algumas exceções, proibindo o Windows Media Player para alguns pontos específicos da rede.

• Disallowed (Proibido): Por padrão o software é proibido, mas o administrador pode criar exceções. Por exemplo, o administrador pode criar uma política que proíbe o uso do Windows Media Player na empresa. Depois o administrador pode criar algumas exceções, liberando o Windows Media Player para alguns pontos específicos da rede.

Mais do que uma regra de exceção pode ser aplicada a um mesmo software. Neste caso haverá uma precedência que determina qual regra irá prevalecer, o que define se o software será permitido ou não.

Os seguintes tipos de regras podem ser criados em relação as políticas de restrição de software:

• Hash rule: Um hash é uma série de bytes, com um tamanho fixo, que identificam de maneira única o programa ou arquivo. O valor do hash é calculado por um algoritmo matemático. Quando uma regra do tipo hash rule é criada para um determinado programa, a política de restrição de software é responsável pelo cálculo do hash. Quando o usuário tenta executar o programa o hash do programa é comparado com as regras existentes (regras do tipo hash rule) nas políticas de restrição de software. O valor do hash de um determinado programa é sempre o mesmo e independe da pasta onde o programa foi instalado e do nome do arquivo. Contido se forem feitas alterações no arquivo executável ou em uma DLL do programa, o hash será alterado e não mais coincidirá com o hash da regra. Por exemplo, o administrador pode criar uma regra do tipo hash rule e definir o nível de segurança para Dissalowed (Proibido), para evitar que os usuários possam executar determinado programa. O programa poderá ser renomeado ou movido para uma outra pasta, mas ainda manterá o mesmo hash e será impedido de ser executado pelas políticas de restrição de software. Porém qualquer alteração feita no próprio arquivo, mudando o seu conteúdo, irá fazer com que o seu hash seja alterado e não mais estará sujeito as restrições das políticas de restrição de software.

• Certificate rule: Programas executáveis e components de software, como DLLs e controles ActiveX podem ser “assinados” com um Certificado Digital. As políticas de restrição de software também são capazes de identificar um programa pelo certificado utilizado para assinatura do programa. O administrador pode criar uma regra do tipo Certificate rule que identifica o programa e então permitir ou proibir a execução do programa, dependendo do nível de segurança que foi definido. Por exemplo, o administrador pode utilizar uma regra do tipo Certificate rule para automaticamente confiar em software de uma determinada fonte (identificada pelo seu Certificado), sem exibir a mensagem pedindo que o usuário confirme se a fonte é confiável ou não.

• Path rule: Uma regra deste tipo faz a identificação do programa pela pasta (caminho completo) onde o programa é instalado. Por exemplo, se o administrador definiu o nível padrão de segurança como Disallowed (proibido), é possível garantir acesso irrestrito para uma determinada pasta, para cada usuário que faz o logon no computador. O administrador criar uma regra do tipo Path rule, usando o caminho a ser liberado e definindo o nível de segurança associado com esta regra como Unrestricted (Permitido). O administrador pode usar as variáveis de ambiente para fazer referência a pastas padrão, tais como: %userprofile%, %windir%, %appdata%, %programfiles%, and %temp%. Também podem ser criadas regras para chaves da Registry. Como estas regras estão associadas a um determinado caminho, se o programa for instalado em um caminho diferente do definido na regra, as políticas de restrições não serão aplicadas.

• Internet zone rule: Estas regras se aplicam somente para pacotes do Windows Installer. Este tipo de regra é capaz de identificar um programa pelas zonas definidas pelo Internet Explorer. As zonas são: Internet, Intranet,  Restricted sites (Sites restritos), Trusted sites (Sites confiáveis) e My Computer (Meu computador).

Aplicando políticas de restrição de software.

Conforme descrito no item anterior, as políticas de restrição de software utilizam regras para identificar um software. Podem ser utilizadas regras do tipo hash, certificate, path ou pela zona da Internet onde o programa reside. Após o software ter sido identificado, o administrador irá aplicar um nível de segurança, definindo se o software poderá ser executado ou se será proibido.

As políticas de restrição de software podem ser aplicadas a computadores ou usuários, uma vez que são aplicadas via GPO. Se você usar a opção Computer Configuration, as políticas de restrição serão aplicadas aos computadores. Neste caso as políticas estarão em vigor para os computadores, independentemente do usuário que fizer o logon. Se você usar a opção User Configuration, as políticas de restrição serão aplicadas aos usuários. Com isso as políticas estarão em vigor para um determinado usuário, independentemente do computador no qual ele fizer o logon. Por exemplo, pode acontecer de o jsilva fazer o logon em um computador e não ter permissão de executar um determinado programa, porque uma política de restrição de software está aplicada à unidade organizacional na qual está a conta do jsilva. Já o usuário josepedro faz o logon neste mesmo computador e consegue executar o programa que o jsilva não conseguiu. Isso porque na OU onde está a conta do usuário josepedro, não foi aplicada nenhuma política de restrição de software em relação ao program que o josepedro executou.

As políticas de restrição de software são aplicadas via GPO. A GPO pode ser associada com um computador (GPO local) ou pode ser uma GPO associada com um site, domínio ou unidade organizacional, conforme detalhado anteriormente. Se mais de uma GPO estiver sendo aplicada, elas serão aplicadas na seguinte ordem, sendo que as GPOs aplicadas por último tem maior precedência, ou seja, valerá as configurações da GPO aplicada por último, em caso de conflitos de configuração com uma GPO aplicada anteriormente:

• GPO Local
• GPO do site
• GPO de domínio
• GPO da unidade organizacional

Por exemplo, imagine uma estação de trabalho que pertence ao domínio abc.com e cuja conta está na OU Vendas que está dentro da OU RegiaoSul, ou seja, temos o seguinte caminho: ABC\RegiaoSul\Vendas. Se houver uma GPO local configurada, esta GPO será aplicada em primeiro lugar. Vamos supor que na GPO local existe uma política de restrição de software que proíbe o uso do Windows Media Player. Então, por enquanto, está valendo esta política. Em seguida é aplicada a GPO do site ao qual pertence o computador. Vamos supor que não existe GPO associada ao site. Neste caso será aplicada a GPO associada ao domínio. Vamos supor que na GPO do domínio não existe política de restrição de software aplicada. Neste caso continua valendo as configurações da GPO local, ou seja, proibido o uso do Windows Media Player. Em seguida, se houver, será aplicada uma GPO associada a OU RegiaoSul. Vamos supor que nesta GPO está uma política de restrição de software que permite o uso do Windows Media Player. Neste caso as configurações desta GPO terão precedência em relação a GPO local (foram aplicadas depois) e o resultado efetivo é que o Windows Media Player está liberado. Por último, se estiver configurada, será aplicada a GPO da OU Vendas. Vamos supor que na GPO da OU Vendas esteja configurada uma política de restrição de software que proíbe o uso do Windows Media Player. Esta GPO terá precedência (foi aplicada por último) em relação a GPO aplicada a OU RegiaoSul. O resultado efetivo será que o uso do Windows Media Player está proibido. Observe que no caso de várias OUs, vão sendo aplicadas as GPOs no caminho até chegar a conta do computador ou do usuário, sendo que prevalece as configurações das GPOs aplicadas por último, em caso de conflitos com GPOs aplicadas anteriormente, a não ser que a opção No Override tenha sido marcada em uma das GPOs anteriores, conforme descrito no tópico teórico sobre GPO, no início do capítulo.

Nota: As configurações de polices são atualizadas cada vez que o computador é inicializada. Quando o administrador altera as configurações de polices, elas são atualizadas a cada 90 minutas nas estações de trabalho e Member Servers e a cada cinco minutos nos DCs. As configurações são também atualizadas a cada 16 horas, mesmo que não tenham sido alteradas. O usuário pode atualizar as polices manualmente, usando o comando gpudate e depois fazendo um log off e um log on. Mais adiante falarei sobre os comandos para gerenciamento de polices no Windows Server 2003.

Precedência na aplicação das regras das políticas de restrição de software

Conforme descrito anteriormente, podem ser aplicadas várias regras a uma política de restrição de software. As regras são aplicadas na seguinte ordem de precedência, da mais alta para a mais baixa precedência:

• Hash rule
• Certificate rule
• Path rule
• Internet zone rule

Por exemplo, se você cria uma regra do tipo hash rule com um nível de segurança Unrestricted (Permitido), para um programa que é instalado em uma pasta para a qual existe uma regra do tipo path rule, com um nível de segurança Disallowed (Desabilitado), o programa irá executar normalmente, pois a regra hash rule tem precedência sobre a regra path rule, com isso vale (prevalece) a definição da regra hash rule.

Se duas regras do tipo path rule forem atribuídas ao mesmo objeto, a mais específica terá precedência. Por exemplo, se for criada uma regra do tipo path rule para a pasta C:\Windows, com um nível de segurança Disallowed (Desabilitado), e mais uma regra do tipo path rule, para o caminho C:\Windows\System32, com um nível de segurança Unrestricted (Permitido), a regra para o caminho mais específico (C:\Windows\System32) terá precedência neste caminho. Neste caso, programas na pasta C:\Windows não poderão ser executados (existe somente a regra que proíbe), mas programas na pasta C:\Windows\System32 irão executar, pois a regra mais específica, associada com este caminho, permite a execução.

Se duas regras com diferentes níveis de segurança (uma com Unrestricted e outra com Disallowd), forem aplicadas ao mesmo software, a mais restritiva terá precedência. Por exemplo, se duas regras do tipo hash rule – uma com nível de segurança Disallowed e outra com o nível de segurança Unrestricted – são aplicadas ao mesmo software, a regra com nível de segurança Disallowed terá precedência e o programa não irá executar.

Definindo o nível de segurança padrão como Disallowed (Desabilitado)

O administrador pode configurar as políticas de restrição de software com um dos seguintes níveis de segurança: Unrestricted (Permitido) ou Disallowd (Desabilitado). Quando uma política de restrição de software é criada, a configuração padrão para o nível de segurança é Unrestricted. Em seguida o administrador aplica regras que restringem a execução do programa associado com a política de restrição de software. Existem quatro chaves da Registry que são automaticamente criadas para impedir que, por engano, o administrador crie uma política que impeça a execução de todos os programas do sistema ou até mesmo impeça a execução do próprio Windows. Neste caso o administrador teria que aplicar regras para todos os softwares que precisam ser executados.

As políticas de restrição de software são aplicadas pelo sistema operacional, com base nas políticas definidas em uma ou mais GPOs. Para que o Windows possa funcionar normalmente, uma série de arquivos e programas devem estar configurados para execução normal (Unrestricted). Se você resolver alterar o nível padrão para Disallowed (Proibido), considere os dados a seguir, sobre quais programas tem que ter permissão de serem executados para que  Windows Server 2003 possa funcionar corretamente:

• Quando o nível de segurança padrão é definido como Disallowed, quarto regras do tipo path rule são automaticamente criadas. Estas regras são criadas para garantir que os arquivos dos quais depende o Windows possam ser executados normalmente. Estas regras são criadas através das seguintes chaves da Registry:
 
1.         %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%

2.         %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\*.exe

3.         %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%\System32\*.exe
4.         %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\ CurrentVersion\ProgramFilesDir%

Estas regras são criadas como uma proteção, para impedir que o próprio Windows seja impedido de executar, por estarem bloqueados os arquivos dos quais ele dependem. Em resumo, não altere estas chaves da Registry nem por decreto (ou berros) do Presidente da empresa.

• Itens que são inicializados automaticamente, são informados na chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run. Para que estes itens possam ser executados, deve haver uma regra do tipo path rule, para os programas que são inicializados nesta chave.

• Se estiverem configurados scripts de logon/logoff, deve ser criada uma regra do tipo path rule para a pasta onde estão os scripts.

• Alguns programas chamam outros programas para executar tarefas específicas. Por exemplo, o Microsoft Word chama o Microsoft Graph para a criação de gráficos, o Microsoft Excel chama o Microsoft Query para fazer consultas em bancos de dados externos e assim por diante. Para que os programas possam executar normalmente e com um desempenho bom, é fundamental que todos os programas que possam ser utilizados em conjunto, tenham permissão para serem executados.

Observe que estas ações são necessárias somente quando você alterar o nível padrão de segurança para Disallowd (Desabilitado). Ou seja, tudo é proibido. Neste caso você precisa habilitar, através de regras, pelo menos, os arquivos dos quais depende o Windows Server 2003. Se isso não for feito, o Windows Server 2003 deixará de ser inicializado, ou seja, tudo mesmo está proibido, até o Windows Server 2003 não pode ser carregado.

Eventos gerados no log do sistema (System), pelas políticas de restrição de software.

Quando um usuário tenta executar um programa que foi desabilitado pelas políticas de restrição de software, são gerados eventos no log do sistema, conforme indicado a seguir:

ID        Descrição
865      A user attempted to run software that is disallowed by the default security level.
866      A user attempted to run software that is disallowed by a path rule. 
867      A user attempted to run software that is disallowed by a certificate rule.
868      A user attempted to run software that is disallowed by an Internet zone rule or a hash rule.

Muito bem, sobre a teoria das políticas de restrição de software era isso. Este é um novo recurso do Windows Server 2003 que pode ser um auxiliar valioso para o administrador implementar restrições ao uso indiscriminado de programas na rede da empresa. Eu, particularmente, ainda achei o recurso um pouco burocrático, com muitas etapas a serem configuradas. Mas nem por isso ele deixa de ser útil e eu acho que vale realmente dedicar um tempo para entender como funciona este recurso e para implementa-lo. A seguir passarei para as ações práticas de criação de políticas de restrição de software.

Criando uma nova política de restrição de software:

Neste item mostrarei como criar uma nova política de restrição de software. Neste exemplo criarei uma política de restrição de software associada a computadores (Computer Configuration). A política será criada na GPO padrão do domínio (Default Domain Policy), de tal maneira que a política de restrição de software seja aplicada a todos os computadores do domínio.

Exemplo: Para criar uma nova política de restrição de software siga os passos indicados a seguir:

1.         Faça o logon como Administrador ou com uma conta com permissão de administrador.
2.         Abra o console Active Directory Users and Computers (Usuários e computadores do Active Directory).
3.         Clique com o botão direito do mouse no domínio a ser configurado e, no menu de opções que é exibido, clique em Properties (Propriedades).
4.         Na janela de propriedades do domínio dê um clique na guia Group Policy.
5.         Clique na GPO Default Domain Policy e em seguida clique no botão Edit (Editar), para carregar esta GPO no console Group Policy Editor.
6.         Selecione a opção Computer Configuration -> Windows Settings -> Software Restriction Policies. Observe que, por padrão, nenhuma política é criada na GPO padrão do domínio, conforme indicado na Figura 18.46:


Figura 18.46 Por padrão, nenhuma política é criada.

7.         Clique com o botão direito do mouse na opção Software Restriction Policies e, no menu que é exibido, clique em New Software Restriction Polices (Nova Política de Restrição de Software).
8.         Diversas opções serão criadas abaixo de Software Restriction Policies, conforme indicado na Figura 18.47:


Figura 18.47 Novas opções criadas.

9.         Vamos dar um “passeio” pelas opções disponíveis.
10.       Clique em Software Restriction Policies no painel da esquerda para selecionar esta opção. No painel da direita são exibidos dois grupos de opções (Security Levels e Additional Rules) e três opções de configuração (Enforcement, Designated File Types e Trusted Publishers).
11.       Dê um clique duplo na opção Enforcement. Será aberta a janela Enforcement Properties, conforme indicado na Figura 18.48:


Figura 18.48 A janela Enforcement Properties.

12.       Nesta janela você pode definir se as políticas serão aplicadas a todos os arquivos, com exceção de arquivos DLL (All software files except libraries (such DLLs)) ou se serão aplicadas a todos os arquivos, inclusive DLLs (All software files). Nesta janela você também define se as políticas serão aplicadas a todos os usuários (All users) ou a todos os usuários com exceção dos usuários pertencentes ao grupo Administradores local de cada computador (All users except local administrators). Selecione as opções desejadas e clique em OK para aplica-las.
13.       Dê um clique duplo na opção Designated File Types. Será aberta a janela Designated File Types Properties, conforme indicado na Figura 18.49:


Figura 18.49 A janela Designated File Types Properties.

14.       Nesta janela o administrador define quais tipos de arquivos (identificados pela respectiva extensão) serão considerados arquivos de programa, sobre os quais se aplicam as políticas de restrição de software. Estão nesta lista, por padrão, uma série de extensões, como por exemplo: .bat, .cmd, .exe, .msi, .msp e assim por diante. Para remover uma das entradas da lista, basta clicar na entrada a ser removida e em seguida no botão Remove (Remover). Para adicionar uma nova entrada à lista, digite a extensão no campo File extension (Extensão do arquivo) e em seguida clique no botão Add (Adicionar). Faça as configurações desejadas e clique em OK para aplica-las.
15.       Dê um clique duplo na opção Trusted Publishers. Será aberta a janela Trusted Publishers Properties, conforme indicado na Figura 18.50:


Figura 18.50 A janela Trusted Publishers Properties.

16.       Nesta janela você pode definir se os usuários poderão adicionar entradas à lista de Publicadores Confiáveis (opção End users), se somente os usuários que pertencem ao grupo de administradores local terão esta permissão (Local computer administrators) ou se somente os usuários com permissão de Enterprise administrator terão esta permissão (Enterprise administrators). Um publicador confiável é, na prática, um fabricante de software. Por exemplo, todo programa criado pela Microsoft é assinado digitalmente com um Certificado digital que identifica a Microsoft. Se a Microsoft for adicionada à lista de publicadores confiáveis, todos os softwares da Microsoft passarão a ser identificados como sendo provenientes de um publicador confiável. Aí o administrador pode criar uma regra que, automaticamente libera a execução dos programas originários de publicadores cofiáveis. Nesta janela você também pode configurar quais informações deverão ser verificadas para determinar se o Certificado de um determinado publicador continua válido ou se foi revogado. Você pode marcar as opções Publisher e Timestamp (uma espécie de prazo de validade do certificado). Quando um Certificado Digital é emitido ele tem um prazo de validade. Um certificado também pode ser cancelado antes do prazo de expiração, com a publicação do certificado na Lista de Certificados Revogados (Revoked Certification List – RCL). Falarei mais sobre Certificados Digitais no Capítulo 20. Faça as configurações desejadas e clique em OK para aplica-las.
17.       Clique na opção Security Levels (Níveis de segurança). Nesta opção você define o nível padrão de segurança: Disallowed ou Unrestricted. O nível padrão é Unrestricted, ou seja, permitido. Com esse nível, o administrador criar regras para definir quais softwares serão proibidos, que não poderão ser executados (lista negra, ou seja, quem está na lista não poderá executar). Se você alterar o padrão para o nível Disallowed, tudo será proibido (inclusive os arquivos dos quais depende o Windows Server 2003. Por isso que são criadas as regras especiais, explicadas na parte teórica, para que o Windows possa continuar a funcionar normalmente, mesmo que o nível padrão seja alterado para Disallowed). A situação mais comum é trabalhar com o nível Unrestricted e criar regras para impedir a execução dos programas não permitidos na rede da empresa. Para alterar o nível de segurança padrão, basta clicar na opção desejada com o botão direito do mouse. No menu de opções que é exibido, clique em Set as default (Definir como padrão), conforme indicado na Figura 18.51:


Figura 18.51 Alterando o nível padrão de segurança.

18.       Será exibida uma janela pedindo confirmação para a alteração do nível padrão de segurança. Clique em Yes para confirmar a alteração.
19.       Clique na opção Additional rules. Nesta opção é que o administrador cria as regras descritas anteriormente. Por exemplo, se o nível padrão de segurança está configurado como Unrestricted, isto é, permite a execução de qualquer programa, o administrador criar regras para definir quais programas serão proibidos. Observe que já são exibidas as quatro regras citadas anteriormente, na parte teórica. Estas são as regras que garantem que o Windows Server 2003 continue funcionando normalmente, mesmo que o nível de segurança padrão seja alterado para Disallowed. Vamos criar uma nova regra para impedir a execução de um programa. Para criar uma nova regra, clique com o botão direito do mouse na opção Additional Rules. No menu de opções que é exibido, clique na opção correspondente ao tipo de regra que você deseja criar. Para o nosso exemplo, vamos criar uma nova regra do tipo hash rule. O nosso objetivo é proibir a execução do arquivo adminpak.msi, o qual instala o pacote de ferramenas administrativas. Esta proibição deve ser aplicada a todos os usuários, com exceção dos usuários pertencente ao grupo de administradores local de cada máquina. Observe que o nível de segurança padrão está configurado como Unrestricted, ou seja, por padrão, todos os programas são permitidos. O que faremos é criar uma regra para proibir a execução do arquivo adminpak.msi, permitindo esta execução apenas para os membros do grupo local administrators.
20.       Clique com o botão direito do mouse na opção Additional Rules e, no menu de opções que é exibido, clique em New Hash Rule.... Será aberta a janela New Hash Rule. Nesta janela você deve utilizar o botão Browse... (Procurar...), para localizar o arquivo que será gerenciado pela regra de restrição que está sendo criada. Você também pode digitar o caminho para o arquivo no campo File hash. Ao informar o caminho, o Windows Server 2003 acesso o arquivo e calcula o hash para o referido arquivo. Clique em Browse... (Procurar...) e localize o arquivo adminpak.msi (normalmente está na pasta %Windir%\System32, conforme exemplo da Figura 18.52:


Figura 18.52 Localizando o arquivo para o qual será aplicada a regra de restrição.

21.       Clique no arquivo adminpak.msi para marca-lo e, em seguida, clique em Open (Abrir). O Windows Server 2003 acessa o arquivo, calcula o hash e já retorna estas informações para a janela New Hash Rule. Nesta janela você deve definir se esta será uma regra para permitir a execução do arquivo adminpak.msi ou para proibi-la. Na lista Security level (Nível de segurança), selecione a opção Disallowed. No campo Description (Descrição) você pode digitar uma descrição para a regra que está sendo criada. Sua janela deve estar conforme indicado na Figura 18.53:


Figura 18.53 Criando uma nova regra do tipo hash rule.

22.       Clique em OK para criar a nova regra. A nova regra já será exibida no painel da direita. Observe que na coluna Type, é indicado o tipo hash. Bem, o nível padrão de segurança é unrestricted, ou seja, qualquer programa pode ser executado. Agora acabamos de criar uma regra para impedir que o arquivo adminpak.msi seja executado. O próximo passo, para completar o nosso exemplo, é liberar a execução deste arquivo para os membros do grupo administradores local.
23.       Para fazer com que esta restrição não seja aplicada aos membros do grupo administradores local, clique em Software Restrictions Policies. Nas opções que são exibidas no painel da direita, dê um clique duplo na opção Enforcement. Na janela de opções que é exibida, marque a opção All users except local administrators e clique em OK. Pronto, a regra será aplicada a todos os usuários, com exceção dos usuários pertencentes ao grupo administrators local.
24.       Feche o console Group Policy Administrator.
25.       Feito isso estará configurada a nossa política de restrição de software, com as seguintes características:

• Nível de segurança padrão: Allowed, ou seja, por padrão todos os programas são permitidos.
• Foi criada uma regra do tipo hash rule para proibir a execução do arquivo adminpak.msi.
• Foi marcada a opção All users except local administrators, da janela Enforcement, para que esta restrição não se aplique aos membros do grupo administrador local.

Práticas recomendadas em relação ao uso das políticas de restrição de software.

Neste item apresento algumas recomendações da Microsoft em relação ao uso das políticas de restrição de Software. São as chamadas “Best partices” (melhores práticas):

• Não modifique a GPO padrão do domínio – Default Domain Policy (exatamente o que eu fiz no exemplo prático. Mas o objetivo do exemplo era ilustrar a criação e configuração de políticas de restrição de software e as regras associadas): Se a GPO padrão do domínio não for alterada, o administrador sempre terá a opção de aplicá-la em todo o domínio, excluindo todas as demais GPOs, caso algum problema mais grave seja ocasionado pelo uso das GPOs.

• Cria uma nova GPO, a qual será utilizada apenas para configurar as políticas de restrição de software. Usando uma GPO somente para a política de restrição de software, você tem a opção de desabilita-la, caso alguns programas que deveriam estar funcionando estejam sendo bloqueados pelas políticas de restrição de software. Você pode desabilitar a GPO até que o problema possa ser identificado e corrigido. Nesta caso você desabilita apenas a GPO onde estão as políticas de restrição de software, podendo manter as demais GPOs configuradas e associadas ao domínio.

• Se você estiver enfrentando problemas devido a aplicação das políticas de restrição de software, reinicialize o computador no Modo Seguro (Safe Mode) As políticas de restrição de software não serão aplicadas quando o Windows é reinicializado no modo Seguro. Caso você tenha tornado inoperante uma estação de trabalho (por exemplo, alterando o modo padrão de segurança para Disallowed e excluído as quatro regras que garantem o funcionamento do Windows, conforme descrito anteriormente), devido a aplicação incorreta das políticas de restrição de software, reinicialize a estação de trabalho no Modo Seguro, faça o logon com uma conta com permissão de administrador local, faça as devidas alterações na GPO local, execute o comando gpudade, reinicialize o computador em modo normal e faça o logon normalmente.

• Seja muito cuidadoso ao alterar o modo padrão de segurança para Disallowed. Quando o modo de segurança é alterado para Disallowed, todos os softwares serão proibidos de executar, com exceção daqueles que forem explicitamente permitidos através da criação de uma regra. Cada arquivo que você precisará abrir, terá que ter uma regra associada, a qual permite que o referido arquivo seja aberto. Para evitar que os administradores bloqueiem a si mesmos, impedindo que o próprio Windows possa inicializar, o Windows Server 2003 cria, automaticamente, quatro regras que garantem o funcionamento do Windows. Como administrador você pode alterar ou excluir estas regras, mas definitivamente, este não é um procedimento recomendado.

• Para um nível de segurança ainda mais elevado, use o recurso de permissões de acesso (ACL – Access Control List) em conjunto com as políticas de restrição de software. Os usuários poderão fazer tentativas de “driblar” as políticas de restrição de software, usando artifícios tais como renomear ou mover arquivos ou sobrescrever arquivos restritos com versões diferentes, para alterar o hash do referido arquivo. Para evitar estes “artifícios”, você pode definir as permissões de acesso NTFS, de tal maneira que os usuários não tenham permissão para executar estas ações: renomear, mover ou sobrescrever arquivos. Lembre-se que com o uso das GPOs, conforme descrito anteriormente, é também possível definir a ACL para uma ou mais pastas nos computadores dos usuários. Combinando estes dois recursos, de uma maneira centralizada, usando GPOs, o administrador pode implementar um ambiente altamente seguro.

• Crie as GPOs, primeiro, em um ambiente de teste, em um laboratório. Somente após te-la testado exaustivamente, implemente a GPO no domínio. Considere os fatos a seguir:

-           As configurações feitas em uma GPO poderão produzir resultados diferentes dos esperados. É melhor que esta inconsistência seja verificada em um ambiente de teste do que diretamente no ambiente de produção.

-           Com um ambiente de testes você pode criar um domínio completamente separado da rede da sua empresa. Aí você pode “brincar” à vontade. O pior que pode acontecer é você ter que reinstalar o ambiente de teste. Muito menos traumático do que causar problemas diretamente no ambiente de produção.

-           Jamais defina restrições para programas e arquivos sem testar o efeito de desabilitar tais arquivos e programas. A desabilitação de certos programas e arquivos DLL, podem fazer com que o Windows deixe de funcionar, chegando até a não mais poder reinicializar, conforme descrito anteriormente.

• Aplique filtros baseados em grupos de usuários.

Utilize a guia Security (Segurança), da janela de propriedades da GPO, para definir a qual ou quais grupos a GPO irá ser aplicada. Este é um recurso muito útil quando o administrador deseja aplicar as configurações de uma GPO, apenas para um grupo específico de usuários ou computadores.

• Não faça a ligação de uma GPO criada em um domínio, com outros domínios ou sites, pois isso pode resultar em sérios problemas de performance.


Promoção: Livro Windows Server 2012 R2 e Active Directory - Curso Completo, 2100 Páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!

Promoção: Livro Windows Server 2012 R2 e Active Directory

Curso Completo, 2100 páginas. Tudo para você se tornar um administrador de redes altamente qualificado para o mercado de trabalho e levar a sua carreira para o próximo nível!


« Lição anterior Δ Página principal ¤ Capítulos Próxima lição »

Best Sellers de Excel do Julio Battisti

Todos com Vídeo Aulas, E-books e Planilhas de Bônus!

Aprenda com Júlio Battisti:
Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos - Passo a Passo

 Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

 

Autor: Júlio Battisti | Páginas: 540 | Editora: Instituto Alpha

 

[Livro]: Aprenda com Júlio Battisti: Excel 2010 Básico em 140 Lições - Através de Exemplos Práticos

Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 952 | Editora: Instituto Alpha

 

Livro: Aprenda com Júlio Battisti: Excel 2010 Avançado, Análise de Dados, Tabelas Dinâmicas, Funções Avançadas, Macros e Programação VBA - Passo a Passo

Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1124 | Editora: Instituto Alpha

 

[LIVRO]: Aprenda com Júlio Battisti: Macros e Programação VBA no Excel 2010 Através de Exemplos Práticos e Úteis - Passo a Passo

Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

 

Autor: Júlio Battisti | Páginas: 1338 | Editora: Instituto Alpha

 

[A BÍBLIA DO EXCEL]: Aprenda com Júlio Battisti: Excel 2010 - Curso Completo - Do Básico ao Avançado, Incluindo Macros e Programação VBA - Através de Exemplos Práticos Passo a Passo

Todos os livros com dezenas de horas de vídeo aulas de bônus, preço especial (alguns com 50% de desconto). Aproveite. São poucas unidades de cada livro e por tempo limitado.

Dúvidas?

Utilize a área de comentários a seguir.

Me ajude a divulgar este conteúdo gratuito!

Use a área de comentários a seguir, diga o que achou desta lição, o que está achando do curso.
Compartilhe no Facebook, no Google+, Twitter e Pinterest.

Indique para seus amigos. Quanto mais comentários forem feitos, mais lições serão publicadas.

Quer receber novidades e e-books gratuitos?
›››

Novidades e E-books grátis

Fique por dentro das novidades, lançamento de livros, cursos, e-books e vídeo-aulas, e receba ofertas de e-books e vídeo-aulas gratuitas para download.



Institucional

  • Quem somos
  • Garantia de Entrega
  • Formas de Pagamento
  • Contato
  • O Autor
  • Endereço

  • Júlio Battisti Livros e Cursos Ltda
  • CNPJ: 08.916.484/0001-25
  • Rua Vereador Ivo Cláudio Weigel, 537 Universitário
  • Santa Cruz do Sul/RS
  • CEP 96816-208
  • Todos os direitos reservados, Júlio Battisti 2001-2017 ®

    [LIVRO]: MACROS E PROGRAMAÇÃO VBA NO EXCEL 2010 - PASSO-A-PASSO

    APRENDA COM JULIO BATTISTI - 1124 PÁGINAS: CLIQUE AQUI