TOP 5 GPO´s – Group Policy Objects
As GPOs são um recurso utilizado no sistema operacional Windows para administrar configurações de políticas em computadores em uma rede. Elas fazem parte da arquitetura de Diretiva de Grupo do Active Directory, que é uma ferramenta de gerenciamento de rede da Microsoft.
Os administradores podem definir políticas para grupos de computadores ou usuários, garantindo consistência e conformidade em toda a rede. Isso facilita a implementação de políticas de segurança, restrições de acesso, instalação de software e outras configurações que são importantes para a gestão eficaz de uma rede corporativa baseada no Windows.
.
Criando uma GPO
Para criar uma Group Policy Object (GPO) apontada para uma Unidade Organizacional (OU) no Active Directory, siga os passos abaixo:
1 .Abra o Editor de Gerenciamento de Diretiva de Grupo (Group Policy Management Console – GPMC) em um servidor que tenha a função de Serviços de Domínio do Active Directory instalada.
2. No Editor de Gerenciamento de Diretiva de Grupo, expanda a floresta e o domínio para encontrar a Unidade Organizacional (OU) à qual você deseja vincular a GPO.
3. Clique com o botão direito na OU desejada e escolha “Criar um GPO neste domínio e vinculá-lo aqui”.
4. Dê um nome significativo à sua GPO e clique em “OK”.
5. Com a nova GPO selecionada, clique na guia “Editar” para abrir o Editor de Gerenciamento de Diretiva de Grupo.
6. No Editor de Diretiva de Segurança de Grupo, você pode configurar várias configurações da GPO conforme necessário. Por exemplo, você pode configurar políticas de segurança, configurações de área de trabalho remota, scripts de logon/logoff, entre outros.
7. Após fazer as configurações desejadas, feche o Editor de Diretiva de Segurança de Grupo.
Volte para o Editor de Gerenciamento de Diretiva de Grupo e certifique-se de que a GPO que você acabou de criar está selecionada.
Você pode vincular a GPO a mais OUs, se necessário. Para fazer isso, clique com o botão direito na OU à qual deseja vincular a GPO, escolha “Vincular um GPO existente” e selecione a GPO recém-criada.
Lembre-se de que as alterações nas GPOs podem levar algum tempo para serem replicadas em toda a sua infraestrutura. Você pode forçar uma atualização das políticas usando o comando gpupdate /force nos computadores clientes ou aguardar o intervalo de atualização normal. Certifique-se também de testar as políticas em um ambiente de teste antes de aplicá-las em um ambiente de produção.
.
Listarei aqui 5 GPO´s imprescindíveis para administração de uma Estrutura Corporativa
1. Impedir que o Windows armazene um hash do gerenciador de LAN de sua senha no Active Directory e bancos de dados SAM
O Windows não armazena sua senha de conta de usuário em texto não criptografado. Em vez disso, ele gera e armazena senhas de conta de usuário usando duas representações de senha diferentes, conhecidas como hashes. Quando você define ou altera a senha de uma conta de usuário para uma senha que contém menos de 15 caracteres, o Windows gera um hash LM e um hash Windows NT (hash NT) da senha. Esses hashes são armazenados no banco de dados SAM local ou no Active Directory. (fonte: Microsoft)
Abaixo, os passos para evitar que o Windows armazene o hash do gerenciador de LAN:
1. Vá até “Configuração do Computador”/ “Configurações do Windows”/ “Configurações de Segurança”/ “Políticas Locais”/ “Opções de Segurança”.
2. No painel direito, clique duas vezes em “Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha”.
3. Marque a caixa de seleção “Definir esta configuração de política” e clique em “Enabled”.
4. Clique em “Apply” e “OK”.
2. Proibir acesso ao painel de controle
1) Vá até “Configuração do Usuário”/ “Modelos Administrativos”/ “Painel de Controle”.
2) Clique em “Proibir acesso ao painel de controle e configurações do PC”.
4) Clique em “Aplicar” e “OK”.
3. Tempo máximo e mínimo de duração de uma senha
Execute os seguintes passos: para alterar esta configuração:
1. Vá até Configuração do computador / Configurações do Windows / Configurações de Segurança / Políticas de Conta / Política de Senha
2. No painel direito, clique duas vezes na diretiva “Duração máxima da senha”.
3. Marque a caixa de seleção “Definir esta configuração de política” e especifique um valor.
4. Clique em “Aplicar” e “OK”.
4. Forçar estações de trabalho com papel de parede padronizado
Ter um papel de parede padronizado nas estações de trabalho, além de transmitir organização e informação, funciona como uma excelente campanha de Marketing internamente ou externamente.
-
- Configuração do Papel de Parede:
-
- Vá para Configuração do Usuário -> Modelos Administrativos -> Área de Trabalho -> Papel de Parede da Área de Trabalho.
-
- Configuração do Papel de Parede:
-
- Ative a Configuração de Papel de Parede:
-
- Selecione “Ativar”.
-
- Insira o caminho para a imagem do papel de parede no campo “Nome do Arquivo” (por exemplo,
\\servidor\compartilhamento\wallpaper.jpg).
- Insira o caminho para a imagem do papel de parede no campo “Nome do Arquivo” (por exemplo,
-
- Ative a Configuração de Papel de Parede:
-
- Configure as Permissões de Acesso ao Arquivo:
-
- Certifique-se de que os usuários tenham permissões de leitura no local especificado.
-
- Configure as Permissões de Acesso ao Arquivo:
5. Não permitir Unidades de Mídia Removível / USB / DVD
As unidades de mídia removível são muito propensas a infecções e também podem conter um vírus ou malware. Para bloquear o acesso a unidades de mídias removíveis faça o seguinte:
1. Vá até “Configuração do Usuário”, “Políticas”, “Modelos Administrativos”, “Sistema”, “Acesso a Armazenamento Removível”.
2. No painel direito, clique duas vezes em “Todas as classes de armazenamento removíveis: negar todos os acessos”
3. Clique em “Ativado” para ativar a política.
4. Clique em “Aplicar” e “OK”.
