Por Wellington Agápto

/ Em Segurança da Informação /

Postado em

jan 28, 2021

10 Políticas de Grupo (voltadas à Segurança) que todo analista de TI deve conhecer

Por meio da diretiva de grupo, você pode impedir que os usuários acessem recursos específicos, executem scripts ou executem tarefas simples, como alterar o papel de parede. Todavia existem algumas políticas de grupo que se implementadas ajudam a aumentar a segurança do seu ambiente de Active Directory. Por isso escrevi este artigo visando compartilhar com vocês 10 políticas de grupo (Group Policy) que visam melhorar a segurança do seu ambiente.

1. Evitar que o Windows armazene o hash do gerenciador de LAN

O Windows gera e armazena senhas de contas de usuários em “hashes”. O Windows gera um hash do LAN Manager (LM hash) e um hash do Windows NT (NT hash) de senhas. Ele os armazena no banco de dados local do SAM (Security Accounts Manager) ou no Active Directory.

Execute as seguintes etapas para evitar que o Windows armazene o hash do gerenciador de LAN:

1) Navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança;

2) No painel direito, clique duas vezes em Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha;

3) Marque a caixa de seleção “Definir esta configuração de política” e clique em Ativado;

4) Clique em Aplicar e OK.

2. Proibir acesso ao painel de controle

1) Navegue até Configuração do Usuário > Modelos Administrativos > Painel de Controle;

2) Clique em Proibir acesso ao painel de controle e configurações do PC;

3) Habilite as três opções;

4) Clique em Aplicar e OK.

3. Defina a idade máxima da senha para limites mais baixos

A idade máxima padrão da senha do Windows está definida para 42 dias. Execute os seguintes passos para alterar essa configuração:

1) Navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Diretivas de Conta > Diretiva de Senha;

2) No painel direito, clique duas vezes na diretiva Duração máxima da senha;

3) Marque a caixa de seleção Definir esta configuração de política e especifique um valor;

4) Clique em Aplicar e OK.

4. Controlar o acesso ao prompt de comando

Os Prompts de Comando podem ser usados ​​para executar comandos que fornecem acesso de alto nível aos usuários e evitam outras restrições no sistema. Portanto, para garantir a segurança dos recursos do sistema, é aconselhável desativar o Prompt de Comando:

1) Navegue até Configuração do Usuário > Configurações do Windows > Políticas > Modelos Administrativos > Sistema;

2) No painel direito, clique duas vezes na diretiva Impedir acesso ao prompt de comando;

3) Clique em Ativado para aplicar a política;

4) Clique em Aplicar e OK.

5. Não permitir unidades de mídia removível, DVDs, CDs e unidades de disquete

As unidades de mídia removível são muito propensas a infecções e podem conter um vírus ou malware. Para bloquear o acesso a unidades de mídias removíveis faça o seguinte:

1) Navegue até Configuração do Usuário > Políticas > Modelos Administrativos > Sistema > Acesso a Armazenamento Removível;

2) No painel direito, clique duas vezes em Todas as classes de armazenamento removíveis: negar todos os acessos;

3) Clique em Ativado para aplicar a política;

4) Clique em Aplicar e OK.

6. Desativar enumeração SID anônima

O Active Directory atribui um número exclusivo a todos os objetos de segurança no Active Directory – incluindo usuários, grupos e outros –  chamados números de identificadores de segurança (SID). Nas versões mais antigas do Windows, os usuários podiam consultar os SIDs para identificar usuários e grupos importantes. Esta disposição pode ser explorada por hackers para obter acesso não autorizado aos dados. Garanta que a enumeração de SID anônima esteja desativada através da seguinte política de grupo:

1) Navegue até Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança;

2) No painel direito, clique duas vezes em configuração de diretiva Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM;

3) Marque a caixa de seleção Definir esta configuração de política e clique em Desativar para desativá-la.

4) Clique em Aplicar e OK.

7. Restringir instalações de software

Quando você dá aos usuários a liberdade de instalar software, eles podem instalar aplicativos indesejados que comprometem o seu sistema. Para restringir essas instalações crie a seguinte política de grupo:

1) Navegue até Configuração do Computador > Modelos Administrativos > Componente do Windows > Windows Installer;

2) No painel direito, clique duas vezes na política Proibir instalação do usuário;

3) Clique em Ativado para ativar a política;

4) Clique em Aplicar e OK.

8. Desativar reinicializações forçadas do sistema

Reinicializações forçadas do sistema são comuns. Por exemplo, você pode enfrentar uma situação em que estava trabalhando em seu computador e o Windows exibe uma mensagem informando que seu sistema precisa ser reiniciado devido a uma atualização de segurança.

Para desabilitar o reinício forçado por meio do GPO, execute as seguintes etapas:

1) Navegue até Configuração do Computador > Modelos Administrativos > Componente do Windows > Windows Update;

2) No painel direito, clique duas vezes na diretiva Nenhuma reinicialização automática com usuários conectados para instalações de atualizações automáticas agendadas;

3) Clique em Ativado para aplicar a política;

4) Clique em Aplicar e OK.

9. Desabilitar conta de convidado

Por meio de uma conta de convidado, os usuários podem obter acesso a dados confidenciais. Essas contas concedem acesso a um computador Windows e não exigem senha. Para garantir que estas contas estejam desativadas crie a seguinte política de grupo:

1) Navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança;

2) No painel direito, clique duas vezes na política Contas: status da conta de convidado;

3) Marque a caixa de seleção Definir esta configuração de política e clique em Desativado;

4) Clique em Aplicar e OK.

10. Defina o comprimento mínimo da senha

A configuração padrão é “zero” caracteres, então recomendados que você especifique um número:

1) Navegue até Configuração do Computador > Configurações do Windows > Configurações de Segurança > Diretivas de Conta > Diretiva de Senha;

2) No painel direito, clique duas vezes na diretiva Comprimento mínimo da senha, marque a caixa de seleção Definir esta configuração de diretiva;

3) Especifique um valor para o comprimento da senha;

4) Clique em Aplicar e OK.

0

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *