Práticas Recomendadas de Política de Grupo – Configurações de Segurança de GPO

Tutoriais

Práticas Recomendadas de Política de Grupo – Configurações de Segurança do GPO. Embarcar em uma administração de rede eficaz exige uma compreensão apurada dos Objetos de Política de Grupo (GPOs). Esta exploração se concentra nas configurações de segurança do GPO, desvendando princípios fundamentais e estratégias para fortalecer ambientes do Active Directory. Este artigo discute mais sobre várias práticas recomendadas de Política de Grupo.

Leia Também Como Criar e Vincular um GPO no Active Directory (Passo a Passo)

Práticas Recomendadas de Política de Grupo – Configurações de Segurança do GPO

Certas configurações de Política de Grupo simples, quando configuradas corretamente, têm o potencial de mitigar o risco de violações de dados. Aprimorando a segurança e o comportamento operacional de computadores dentro de nossa organização, ajustando configurações no registro do computador por meio da Política de Grupo. Esta ferramenta poderosa nos permite restringir o acesso do usuário a recursos específicos, executar scripts e realizar tarefas rotineiras, como impor uma página inicial designada para cada usuário na rede.

Também leia Estratégias e Ferramentas de Backup do Active Directory (Melhores Práticas)

Moderação de Acesso ao Painel de Controle

Estabelecer limites no Painel de Controle de um computador cria um ambiente de negócios mais seguro. Através do Painel de Controle, controlamos todos os aspectos do nosso computador. Portanto, ao moderar quem tem acesso ao computador, mantemos os dados e outros recursos seguros. Execute as seguintes etapas:

  1. No Editor de Gerenciamento de Diretiva de Grupo (aberto para uma GPO criada pelo usuário), navegue até Configuração do Usuário>Modelos Administrativos>Painel de Controle.
  2. Clique duas vezes na Política de Proibir acesso ao Painel de Controle e configurações do PC no painel direito para revelar suas propriedades.
  3. Selecione Habilitado entre as três opções.
  4. CliqueAplicar e OK.

Também Leia Experimente a Ferramenta de Relatórios do Active Directory InfraSOS

Impedir o Windows de Armazenar o Hash do Gerenciador de LAN

O Windows gera e armazena senhas de contas de usuário em hashes. O Windows gera tanto um hash do Gerenciador de LAN (hash LM) quanto um hash do Windows NT (hash NT) das senhas. Ele os armazena no banco de dados local do Gerenciador de Contas de Segurança (SAM) ou no Active Directory.

O hash LM é fraco e propenso a hacking. Portanto, devemos impedir que o Windows armazene um hash LM de nossas senhas. Execute as seguintes etapas para fazer isso:

  1. Localize Opções de Segurança emConfiguração do Computador>Configurações do Windows>Configurações de Segurança>Diretivas Locais no Editor de Gerenciamento de Diretivas de Grupo que apareceu para uma GPO personalizada.
  2. Na tela direita, clique duas vezes emNão armazenar o valor do hash do LAN Manager na próxima troca de senha política.
  3. Selecione a caixa de seleção paraDefinir esta configuração de política e clique emHabilitado.
  4. Clique emAplicar eOK.

Controlar Acesso ao Prompt de Comando

Usamos prompts de comando para executar comandos que dão aos usuários acesso de alto nível e evitam outras restrições no sistema. Portanto, para garantir a segurança dos recursos do sistema, é prudente desativar o Prompt de Comando.

Após desativarmos o Prompt de Comando e alguém tentar abrir uma janela de comando, o sistema exibirá uma mensagem informando que algumas configurações impedem essa ação. Siga as seguintes etapas:

  1. Na janela do Editor de Gerenciamento de Diretiva de Grupo (aberto para uma GPO personalizada), vá para Configuração do Usuário>Configurações do Windows>Políticas>Modelos Administrativos>Sistema.
  2. No painel direito, clique duas vezes em Impedir acesso ao prompt de comando política.
  3. Clique em Habilitado para aplicar a política.
  4. Clique Aplicar e OK.

Também leia Como Monitorar e Auditar Seu Servidor Windows para Eventos de Segurança

Desativar Reinicializações Forçadas do Sistema

Reiniciar um sistema à força é frequente. Por exemplo, encontramo-nos em um cenário em que precisamos usar nosso computador. Uma notificação aparece no Windows informando que uma atualização de segurança exige que reiniciemos nosso sistema.

O computador muitas vezes reinicia por si só, e perdemos trabalho essencial não salvo se ignorarmos o alerta ou demorarmos a reagir. Para desativar a continuação forçada através do GPO, execute os seguintes passos:

  1. Para acessar Atualização do Windows, navegue até Configuração do Computador>Modelos Administrativos>Componente do Windows na janela do Editor de Gerenciamento de Política de Grupo que foi aberta para um GPO personalizado.
  2. Na janela da direita, clique duas vezes emNão reiniciar automaticamente com usuários logados para instalações programadas de atualizações automáticas política.
  3. Clique emHabilitado para habilitar a política.
  4. Clique emAplicar eOK.

Leia também Práticas recomendadas de segurança do Active Directory: Proteja seu ambiente

Impedir Unidades de Mídia Removível

Unidades de mídia removível são muito propensas a infecções e também podem conter vírus ou malware. Se um usuário conectar uma unidade infectada a um computador em rede, isso afeta toda a rede. Da mesma forma, DVDs, CDs e até mesmo unidades de disquete, apesar de sua antiguidade, ainda são propensos a infecções.

Portanto, é melhor desativar completamente todas essas unidades. Execute as seguintes etapas para fazer isso:

  1. Na janela do Editor de Gerenciamento de Diretiva de Grupo (aberta para uma GPO personalizada), vá para Configuração do Usuário>Políticas>Modelos Administrativos>Sistema>Acesso a Armazenamento Removível.
  2. No painel direito, clique duas vezes em Todas as classes de armazenamento removível: Negar todos os acessos política.
  3. Clique em Ativado para ativar a política.
  4. Clique em Aplicar e OK.

Restringir Instalações de Software

Quando damos aos usuários a liberdade de instalar software, eles podem instalar aplicativos indesejados que comprometem nosso sistema. Os administradores de sistema geralmente precisam fazer manutenção e limpeza desses sistemas rotineiramente. É aconselhável prevenir instalações de software através da Política de Grupo:

  1. No Editor de Gerenciamento de Diretiva de Grupo (aberto para uma GPO personalizada), vá para Configuração do Computador>Modelos Administrativos>Componente do Windows>Instalador do Windows.
  2. Na janela da direita, clique duas vezes na política Proibir Instalação de Usuário .
  3. Clique em Habilitado para ativar a política.
  4. Clique em Aplicar e OK.

Desativar Conta de Convidado

Através de uma Conta de Convidado, os usuários têm acesso a dados sensíveis. Tais contas concedem acesso a um computador com Windows e não exigem uma senha. Habilitar esta conta significa que qualquer pessoa pode abusar do acesso aos nossos sistemas.

Felizmente, podemos desativar essas contas por padrão. É melhor verificar se este é o caso em nosso ambiente de TI, pois, se esta conta estiver habilitada em nosso domínio, desativá-la impede que as pessoas abusem do acesso:

  1. No Editor de Gerenciamento de Diretiva de Grupo (aberto para uma GPO personalizada), vá para Configuração do Computador>Configurações do Windows>Configurações de Segurança>Políticas Locais>Opções de Segurança.
  2. Na janela à direita, clique duas vezes na política Status da Conta de Convidado.
  3. Selecione a caixa de seleção Definir esta configuração de política e clique em Desativado.
  4. Clique em Aplicar e OK.

Leia também Experimente a Ferramenta de Relatórios GPO do Active Directory InfraSOS

Definir Comprimento Mínimo da Senha para Limites Mais Altos

Defina o comprimento mínimo da senha para limites mais altos. Por exemplo, para contas elevadas, devemos definir as senhas com pelo menos 15 caracteres e, para contas regulares, pelo menos 12 caracteres. Definir um valor menor para o comprimento mínimo da senha cria riscos desnecessários. A configuração padrão é de “zero” caracteres, então temos que especificar um número:

  1. Na janela do Editor de Gerenciamento de Política de Grupo (aberta para um GPO personalizado), vá para Configuração do Computador>Configurações do Windows>Configurações de Segurança>Políticas de Conta>Política de Senha.
  2. Dê um duplo clique no comprimento mínimo da senha na política do painel direito, e então marque a caixa de seleção Definir esta configuração de política.
  3. Especifique um valor para o comprimento da senha.
  4. Clique Aplicar e OK.

Defina a Idade Máxima da Senha para Limites Inferiores

Se definirmos a idade de expiração da senha para um período longo, os usuários só terão que alterá-la ocasionalmente, o que significa que é mais provável que uma senha seja roubada. Períodos de expiração de senha mais curtos são sempre preferidos.

O Windows define a idade máxima padrão da senha para 42 dias. A captura de tela a seguir mostra a configuração de política para configurar Idade Máxima da Senha. Execute os seguintes passos:

  1. Vá paraConfiguração do Computador>Configurações do Windows>Configurações de Segurança>Políticas de Conta>Política de Senhas na caixa do Editor de Gerenciamento de Política de Grupo que aparece (aberta para um GPO personalizado).
  2. No painel direito, clique duas vezes na política Idade máxima da senha.
  3. Selecione a caixa de seleção Definir esta configuração de política e especifique um valor.
  4. Clique em Aplicar e OK.

Desativar Enumeração de SID Anônima

O Active Directory atribui um número único a todos os objetos de segurança no Active Directory, incluindo Usuários, Grupos e outros, chamados de números de Identificadores de Segurança (SID). Em versões mais antigas do Windows, os usuários podiam consultar os SIDs para identificar usuários e grupos essenciais. Hackers exploram essa disposição para obter acesso não autorizado a dados.

Por padrão, essa configuração está desativada. Garanta que permaneça dessa forma. Realize as seguintes etapas:

  1. Navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança na janela do Editor de Gerenciamento de Política de Grupo.
  2. Clique duas vezes em Acesso à Rede no painel direito. Não permitir a enumeração de contas SAM e comunicar anonimamente configurações de política.
  3. Escolha Habilitado e, em seguida, clique em Aplicar e OK para salvar nossas configurações.

Se configurarmos corretamente essas configurações de Política de Grupo, a segurança de nossa organização será automaticamente melhorada. Esta lista pode não estar completa, mas é um excelente guia inicial para fortalecer a segurança em nosso ambiente de domínio.

Leia também: Melhores práticas para grupos de segurança do Active Directory

Melhores práticas de política de grupo – Conclusão das configurações de segurança do GPO

Concluindo, navegar pelas complexidades das melhores práticas de Política de Grupo é fundamental para fortalecer a segurança e a eficiência de qualquer ambiente de rede. Ao seguir essas diretrizes, os administradores não apenas reforçam a resiliência de seus sistemas, mas também garantem uma configuração coesa e padronizada em toda a organização. À medida que o cenário digital evolui, a adoção dessas práticas recomendadas se torna imperativa para proteger dados, aprimorar a integridade operacional e manter uma base sólida para uma administração de rede eficaz.

Source:
https://infrasos.com/group-policy-best-practices-gpo-security-settings/