Política de Grupo do Windows É uma tecnologia de gerenciamento de configurações que faz parte do Windows Server Active Directory. Eles podem ser usados para definir configurações em sistemas operacionais de cliente e servidor Windows para garantir que você tenha uma configuração consistente e segura em vários dispositivos. Existem centenas de configurações disponíveis para uso durante a configuração de Objetos de Política de Grupo (GPOs), mas neste artigo, mostrarei algumas das configurações de política de grupo que você precisa definir corretamente para garantir a segurança básica em seu ambiente.
Se quiser mudar o comportamento do Windows, tendo mais controle da segurança ou desabilitando algumas das coisas que a Microsoft joga em você, você pode fazer isso Modificar configurações de política de grupo. Sim, você também pode fazer o mesmo em Editor de registro No entanto, a política de grupo tem alguns outros benefícios, por exemplo, que as configurações da política de grupo não serão alteradas após a atualização do Windows, ao contrário do registro. Mais importante ainda, você pode configurar a política de grupo localmente em seu sistema ou criar o Active Directory para aplicar configurações a vários sistemas em seu domínio. Portanto, isso é especialmente útil para escritórios e escolas que operam computadores Windows.
Melhores configurações de política de grupo
Antes de começar, vamos salientar que a Política de Grupo é uma ferramenta gráfica que permite modificar as configurações originais do sistema operacional, configurações do kernel, etc. No entanto, ajustar a política de grupo da maneira errada pode travar seu sistema operacional. Então, se você for fazer alguma alteração, certifique-se de Exportar configurações padrão Antes de fazer qualquer alteração.
Uma das maiores advertências sobre a política de grupo é que ela está disponível apenas em computadores que executam as edições Windows Professional, Education ou Enterprise. Mesmo que você esteja executando o Windows Home, você pode acessar a política de grupo, mas com algumas soluções alternativas, que explicarei a seguir.
Para acessar a Política de Grupo, existem várias maneiras, uma das maneiras mais fáceis é abrir Prompt de comando -> Digite “gpedit.msc” E clique Enter.
Embora a Diretiva de Grupo não faça parte da edição Windows Home, ainda há uma maneira de acessá-la. Tudo que você precisa fazer é instalar o editor de política de grupo de terceiros, baixando Arquivo de lote Esta. Você deve abri-lo com privilégios de administrador e ele começará a ser instalado no prompt de comando. A instalação demorará cerca de 2 a 3 minutos. Assim que o processo for concluído, abra o Prompt de Comando novamente e digite gpedit.msc Para alcançá-lo.
1. Desative a instalação de aplicativos
Ao não permitir que os usuários instalem aplicativos diferentes, você pode reduzir a quantidade de manutenção e limpeza necessária ao instalar algo ruim, pois também é uma das possíveis causas da chegada de malware. Isso é especialmente útil em escolas, onde você deseja que os alunos acessem apenas o que eles precisam usar.
Se você deseja impedir que os usuários instalem ou executem aplicativos, você pode definir isso abrindo a Política de Grupo e indo para Configurações do computador> Modelos administrativos> Componentes do Windows> Windows Installer Você deve clicar duas vezes em uma opção Desligue o Windows Installer. Altere a configuração para Habilitar E certifique-se de que a opção diz “Apenas para aplicativos não gerenciados”, Para que o usuário possa instalar todos os aplicativos permitidos pela administração. Agora clique em Inscrição Reinicie o computador para fazer as alterações.
Bloqueie a execução de aplicativos específicos
Banir a instalação de todos os aplicativos é um exagero em muitas situações. Se tudo o que você deseja é bloquear apenas alguns aplicativos, você pode fazer essas alterações de política de grupo.
Abra a política de grupo e vá para Configuração do usuário> Modelos administrativos> Sistema E clique duas vezes em uma opção Não execute aplicativos específicos do Windows. Altere a configuração para Habilitar E clique no botão mostrar. Agora você pode inserir a lista de aplicativos que deseja bloquear e que não deseja que os usuários acessem e deve clicar Está bem. Agora clique Inscrição Reinicie o sistema para fazer as alterações.
2. Bloqueie o acesso ao painel de controle
É importante colocar algumas restrições em torno do painel de controle, principalmente em ambientes de negócios, porque dá a você controle sobre todo o sistema. Você pode bloquear o acesso completamente ou restringir o acesso a algumas páginas.
Para bloquear o acesso, abra a política de grupo e vá para Configuração do usuário> Modelos administrativos> Painel de controle E clique duas vezes Acesso proibido painel de controle e configurações do PC E clique em Habilitar وInscrição. As mudanças serão implementadas imediatamente.
Mostrar apenas páginas específicas do painel de controle
O processo acima impede o acesso total ao painel de controle. Mas se você quiser limitar o uso. Você pode fazer isso abrindo uma política de grupo e indo para Configuração do usuário> Modelos administrativos> Painel de controle E clique duas vezes Mostrar apenas itens especificados do painel de controle E clique Habilitar. Agora clique em uma opção Display Para selecionar cada opção do painel de controle a ser exibida. Se a opção não estiver nesta lista, ela não aparecerá para o usuário.
Isso significa que você precisará escolher e escrever cuidadosamente cada um dos elementos do painel de controle que deseja incluir. Você pode encontrar Nomes de todos os itens do painel de controle no site da Microsoft.
3. Desative o prompt de comando
O Prompt de Comando é, sem dúvida, muito útil e também um pesadelo ao mesmo tempo que dá aos usuários a oportunidade de executar comandos e aplicativos que você não deseja acessar. Também pode ser uma ferramenta perigosa em mãos inexperientes. Há muitos motivos para desativar o Prompt de Comando, talvez você tenha filhos usando um computador da família ou permitindo que convidados usem seu computador quando estão com você. Ou talvez você esteja executando um computador comercial e precise desativá-lo.
Para desativar o Prompt de Comando, abra a Política de Grupo e vá para Configuração do usuário> Modelos administrativos> Sistema E clique duas vezes Impedir o acesso ao prompt de comando. Você deve alterar a política para Habilitar E clicando em Inscrição. Agora você precisa reiniciar o computador para fazer as alterações.
4. Desative o Editor de registro do Windows
Como o Prompt de Comando, o Editor de Registro do Windows pode travar o sistema quando modificado incorretamente, bem como contornar algumas restrições de política de grupo. Portanto, para proteger as configurações, você pode abrir a Política de Grupo, ir para Configuração do Usuário> Modelos Administrativos> Sistema, clicar duas vezes em Impedir acesso às ferramentas de edição do registro e habilitar a política. Agora clique em Inscrição Reinicie o computador para fazer as alterações.
5. Bloqueie o acesso a dispositivos de mídia removíveis
Unidades USB ou outras formas de dispositivos de mídia removíveis podem ser perigosos para o seu computador. Se alguém acidental ou intencionalmente se conectar a um dispositivo de armazenamento infectado por vírus, isso pode afetar o computador ou até mesmo todo o alcance. Ao operar muitos computadores, permitir o acesso a dispositivos de mídia externos dificulta o gerenciamento do armazenamento. O acesso a dispositivos de mídia removíveis geralmente é bloqueado em muitas escolas e faculdades.
Para bloquear o acesso a dispositivos de mídia externos, abra a política de grupo e vá para Configuração do usuário> Modelos administrativos> Sistema> Acesso ao armazenamento removível E clique duas vezes Discos removíveis: negar acesso de leitura. Agora clique em uma opção Fortalecimento E clique Inscrição Reinicie o computador para fazer as alterações.
Opção de gravação de bloco
A opção acima fará com que o PC não leia os arquivos do dispositivo externo. Mas você ainda pode copiar arquivos para o dispositivo externo. Se você deseja proteger os arquivos, também precisa bloquear a opção de gravação. Essa configuração geralmente é implementada em ambientes de negócios.
Para bloquear a opção de escrita, abra a política de grupo e vá para Configuração do usuário> Modelos administrativos> Sistema> Acesso ao armazenamento removível E clique duas vezes Discos removíveis: negar acesso de gravação. Agora habilite a opção e selecione Inscrição Para aplicar as mudanças.
Alternativamente, você pode usar o Todas as classes de armazenamento removível: negar todo o acesso Para bloquear as opções de leitura e gravação ao mesmo tempo.
6. Ocultar partições de computador
Se houver alguma informação sensível nos sistemas, você pode querer ocultá-la dos usuários designados para ter acesso a ela. Você pode fazer isso nas configurações de política de grupo. Mas lembre-se de que essa configuração apenas o ocultará do Explorador de Arquivos e de alguns outros aplicativos, mas as pessoas ainda podem acessá-lo no Prompt de Comando.
No entanto, você pode ocultar partições no disco abrindo a política de grupo e indo para Configuração do usuário> Modelos administrativos> Componentes do Windows> Windows Explorer E clique duas vezes em Ocultar essas unidades especificadas em Meu computador E selecione uma opção Fortalecimento. Depois de habilitado, clique no menu suspenso no painel de opções e selecione as unidades que deseja ocultar. As unidades serão ocultadas quando clicadas Está bem.
7. Aumente o comprimento mínimo da senha
O comprimento padrão da senha do Windows é 8 e você precisa usar pelo menos uma letra maiúscula e minúscula e um número ou caractere especial. Na verdade, está bem protegido. Mas você pode melhorar a segurança aumentando o comprimento da senha. Você pode configurá-lo com até 14 caracteres usando letras maiúsculas e minúsculas, números ou caracteres especiais.
Você pode alterar isso abrindo uma política de grupo e indo para Configuração do computador> Configurações do Windows> Configurações de segurança> Políticas de conta> Política de senha E clique duas vezes em uma política Comprimento mínimo da senha Especifique um valor para Comprimento e clique em Inscrição.
8. Acompanhe os logins
Com a política de grupo, você pode forçar o Windows a rastrear todos os logins bem-sucedidos e com falha no computador. Você pode configurá-lo em um computador específico ou em um usuário específico. De qualquer forma, isso seria útil para rastrear pessoas não autorizadas que tentam fazer login. Você pode habilitar esta configuração abrindo uma política de grupo e indo para Configuração do computador> Configurações do Windows> Configurações de segurança> Políticas locais> Política de auditoria E clique duas vezes Auditar eventos de logon.
Aqui, marque a caixa de seleção ao lado de Opções ”RESULTADOS" E a "Falha“. Quando você clicaEstá bem”, O Windows começará a manter um registro dos logins do seu PC.
Para ver esses logins, abra a caixa de diálogo Executar pressionando Win + R E entrar eventvwr Para abrir o Visualizador de eventos do Windows. Agora expanda Registros do Windows e selecione Opção de segurança. No painel central, você pode dar uma olhada em todas as tentativas de login. Você pode dar uma olhada na conta que tentou fazer login e na data e hora também. Mas o sucesso e as tentativas fracassadas são símbolos.
9. Desative o OneDrive
Você pode querer usar o OneDrive ou odiar totalmente usá-lo. Se você ou sua organização não usa o OneDrive ou apenas deseja removê-lo do seu computador, você pode fazer isso usando a política de grupo. Abra a política de grupo e vá para Configuração do computador> Modelos administrativos> Componentes do Windows> OneDrive E clique duas vezes Impedir o uso de OneDrive para armazenamento de arquivos. Agora habilite a configuração e clique em Inscrição. Você precisa reiniciar o computador para fazer as alterações.
10. Manter as mudanças na política do grupo sob controle
No entanto, essas alterações podem ser normalizadas usando a Diretiva de Grupo da mesma forma, mas redefinidas para desativá-las. Você permanece responsável pela política do grupo usando Auditoria de objeto de política de grupo. Para manter um caminho contínuo de mudanças nos objetos de política de grupo, tente Repórter de Mudança de Lepide.
Encapsulamento
Depois de terminar de ajustar as configurações da política de grupo, você precisa transferir as configurações para o computador do grupo em Active Directory Você pode definir o diretório para cada computador no domínio. Você também pode definir Políticas de grupo específicas Para usuários individuais ou computadores apenas. Agora, tudo o que você precisa fazer é baixar a política de grupo do Active Directory do aplicativo. Quaisquer alterações no Active Directory serão aplicadas automaticamente aos sistemas individuais.
