Controle em rede corporativa X Modem 3g
23 views
Skip to first unread message
caio...@gmail.com
Feb 9, 2009, 3:00:37 PM2/9/09
to Segurança e Rede
Mais um problema do Operador Bastardo do Inferno:
Como fazer malditos usuários não conectarem os seus modems 3g nos
computadores de uma corporação?
Ou seja; Atualmente a dificuldade no controle de dispositivos
USB, modem e Pendrive, acarreta prejuízo as corporações, tanto em
tempo disperdiçado pelos funcionários, quanto em soluções antivirus e
atuação técnica em problemas causados pelo usuário.
Uma solução para este problema traria economia as corporações,
portanto, seria uma solução comercial.
Aguardo as sugestões...
marc...@gmail.com
Feb 9, 2009, 5:59:29 PM2/9/09
to Segurança e Rede
O modem em si... é meio difícil...
Porém ele precisa instalar o software, que em determinadas condições
executa até mesmo como usuário.
Olha mandei em texto... só que como contém imagens... acesse a página
que é melhor.
http://www.microsoft.com/brasil/security/guidance/prodtech/winxp/secmod65.mspx
Segue abaixo instruções Sobre Diretivas de Restrição de Software.
------------------------------------------------------------------------------------------------
Centro de orientações de segurança
Diretivas de restrição de software para clientes Windows XP:
Atualizado em: 07 de Abril de 2004
Nesta página Neste módulo
Objetivos
Aplicação
Como usar este módulo
Diretivas de Restrição de Software
Arquitetura de Diretivas de Restrição de Software
Neste módulo
O Microsoft Windows XP Professional e o Microsoft Windows Server™ 2003
oferecem um recurso chamado Diretivas de Restrição de Software, que
permite aos administradores controlar a capacidade de execução do
software em um computador local. Ele também permite impedir que os
usuários executem software não–autorizado e oferece proteção adicional
contra vírus e cavalos de Tróia. As Diretivas de Restrição de Software
estão integradas às Diretivas de Grupo, possibilitando a implantação
em domínios do serviço de diretório Microsoft Active Directory®. As
Diretivas de Restrição de Software também podem ser implantadas em
computadores autônomos.
Início da página
Objetivos
Utilize este módulo para:•
Projetar e implantar uma Diretiva de Restrição de Software.
•
Selecionar o tipo de regra apropriada e usá–la para identificar o
software.
•
Controlar o nível de verificação utilizado pela Diretiva de Restrição
de Software.
•
Configurar a diretiva de Restrição de Software para sempre permitir
que os administradores executem o software.
Início da página
Aplicação
Este módulo aplica–se aos seguintes produtos e tecnologias:•
Clientes Windows XP Professional Service Pack (SP) 1 nos domínios do
Windows Server 2003
•
Clientes autônomos do Windows XP Professional SP1
Início da página
Como usar este módulo
Este módulo oferece uma descrição detalhada das Diretivas de Restrição
de Software e sua utilização no controle da capacidade de execução do
software em um computador local.
Para aproveitar ao máximo este módulo:•
Leia o módulo "Configurando a infra–estrutura de domínios do Active
Directory." Ele descreve como implantar as Diretivas de Grupo que
incorporam as Diretivas de Restrição de Software.
•
Use a lista de verificação. A Lista de verificação: O módulo Diretiva
de Restrição de Software para Clientes Windows XP." fornece uma versão
de impressão para referência rápida. Use a lista de verificação
baseada em tarefas para avaliar rapidamente o escopo das etapas
necessárias e para ajudá–lo a trabalhar em cada uma delas.
Início da página
Diretivas de Restrição de Software
As diretivas de restrição de software fornecem aos administradores um
mecanismo acionado por diretiva para identificar o software e
controlar sua capacidade de execução no computador local. Elas
protegem computadores executando o Windows XP Professional em seu
ambiente contra conflitos conhecidos e defendem os computadores contra
vírus mal–intencionados e cavalos de Tróia. As diretivas de restrição
de software se integram totalmente com o Active Directory e com as
Diretivas de Grupo. Elas também podem ser usadas em computadores
autônomos.
Este módulo possui uma estrutura diferente dos outros módulos do guia,
devido à natureza das diretivas de restrição de software. Em vez de
configurar as opções de definições das Diretivas de Grupo baseadas nas
recomendações indicadas em módulos anteriores, primeiro o
administrador define o conjunto de aplicativos com permissão de
execução nos clientes de seu ambiente e, em seguida, determina as
restrições que a diretiva aplicará aos clientes.
As diretivas de restrição de software consistem inicialmente no nível
de segurança padrão para configurações irrestritas ou não permitidas e
regras definidas por um objeto de GPO (Diretiva de Grupo). As
diretivas podem ser aplicadas a um domínio, a computadores locais ou a
usuários no seu ambiente. As diretivas de restrição de software
oferecem várias maneiras de identificar o software, bem como uma infra–
estrutura baseada em diretivas para reforçar as regras de execução do
software identificado. Quando os usuários executam programas de
software, devem aderir às diretivas de restrição de software
estabelecidas pelo administrador do ambiente.
As diretivas de restrição de software podem ser usadas para as
seguintes finalidades:•
Controlar quais softwares podem ser executados em clientes do
ambiente.
•
Restringir o acesso de usuários a arquivos específicos em computadores
usados por vários usuários.
•
Decidir quem pode adicionar editores confiáveis aos clientes.
•
Definir se as diretivas afetam todos os usuários ou um subgrupo de
usuários nos clientes.
•
Evitar a execução de arquivos executáveis no computador local, na OU
(unidade organizacional), no site ou no domínio.
Início da página
Arquitetura de Diretivas de Restrição de Software
A arquitetura de diretivas de restrição de software oferece os
seguintes recursos:•
Aplicação de diretivas baseadas em domínio ou computador local. Os
administradores criam as diretivas e, em seguida, definem quais
aplicativos são ou não são confiáveis. As diretivas são aplicadas em
tempo de execução, sendo que os usuários não recebem prompts que lhes
permitam escolher entre executar ou não arquivos executáveis.
•
Diretivas que se aplicam a outros arquivos, além dos executáveis. A
definição sobre o que compõe o software é ambígua. As diretivas
oferecem controle sobre o Microsoft Visual Basic® Scripting Edition
(VBScript), Microsoft JScript® e outras linguagens de script. Elas
também se integram ao recurso do Windows Installer para oferecer
controle sobre quais pacotes podem ser instalados nos clientes. Esse
recurso inclui uma API (Interface de Programação de Aplicativo) que
pode ser usada para coordenar o tempo de execução da diretiva e outros
tempos de execução.
•
Diretivas escalonáveis. As diretivas devem ser administradas em uma
empresa de grande porte com uma ampla variedade de tipos de máquinas e
aplicativos, mas também devem ser executadas em um ambiente autônomo.
As diretivas de restrição de software incentivam a gerenciabilidade do
Active Directory e das Diretivas de Grupo. As diretivas são
armazenadas em um GPO. Este recurso de diretiva também pode ser usado
em um ambiente autônomo não vinculado a domínio, armazenando o GPO
como o objeto de diretiva do computador local.
•
Diretivas flexíveis. Os administradores podem proibir a execução de
scripts não–autorizados, configurar os controles do Microsoft ActiveX®
ou bloquear clientes.
•
Diretivas que capacitam uma criptografia efetiva na identificação de
software. As diretivas podem identificar o software que estiver usando
um hash, um certificado ou uma assinatura.
A implementação da arquitetura de diretivas de restrição de software
consiste em três fases:
1.
O administrador ou a autoridade responsável cria a diretiva usando o
snap–in do MMC (Microsoft Management Console) de Diretiva de Grupo
para o site, domínio ou OU. A Microsoft recomenda a criação de um
objeto de diretiva de grupo individual para as Diretivas de Restrição
de Software.
Observação: Para criar uma nova diretiva de restrição de software em
um computador local autônomo, é preciso ser membro do grupo
Administradores no computador local. Para configurar essas definições,
clique em Configurações do Windows, Configurações de Segurança e, em
seguida, em Diretivas de Restrição de Software.
2.
A diretiva no nível de computador é baixada e passa a vigorar após a
inicialização. As diretivas de usuários passam a valer assim que o
usuário faz logon no sistema ou domínio. Para atualizar a diretiva,
acesse–a usando o comando gpupdate.exe/force.
3.
Quando um usuário inicia um programa ou script, o sistema operacional
ou host de script, a diretiva determina se o programa ou script pode
ser executado de acordo com as regras precedentes por ela aplicadas.
Configurações Irrestrito ou Não Permitido
Uma diretiva de restrição de software é constituída de duas partes:•
Uma regra padrão para a execução de programas selecionados.
•
Um inventário de exceções para a regra padrão.
Você pode definir a regra padrão para identificar o software
comoIrrestrito ou Não Permitido, basicamente: executar ou não
executar.
Ao definir a regra padrão como Irrestrito, ela permite que um
administrador defina exceções ou um conjunto de programas cuja
execução não é permitida. Use a configuração padrão Irrestrito em um
ambiente com clientes administrados de forma livre. Por exemplo, é
possível impedir os usuários de instalar um programa que causará
conflito com programas existentes criando uma regra para bloqueá–lo.
Uma abordagem mais segura é definir a regra padrão para Não Permitido
e, então, permitir a execução somente de um grupo específico de
programas. Na configuração padrão Não Permitido, o administrador
precisa definir todas as regras para cada aplicação e assegurar que o
usuário possui as configurações corretas de segurança em seus
computadores para acessar os aplicativos que lhes são permitidos
executar. A configuração padrão Não Permitido é a configuração padrão
preferencial para proteger os clientes Windows XP.
Quatro regras para a identificação de software
As regras em uma diretiva de restrição de software identificam um ou
mais aplicativos para especificar se eles podem ou não ser executados.
Criar regras consiste basicamente em identificar aplicativos e defini–
los como exceções à configuração padrão Não Permitido. Cada regra pode
incluir comentários para descrever sua finalidade. O mecanismo de
aplicação interno do Windows XP consulta as regras na diretiva de
restrição de software antes de permitir a execução de um programa.
Uma diretiva de restrição de software utiliza as quatro regras
seguintes para a identificação de software:•
Regra do Hash — Usa uma impressão digital criptográfica dos arquivos
executáveis.
•
Regra de Certificação — Usa um certificado com assinatura digital de
um editor de software para um arquivo .exe.
•
Regra de Caminho — Usa os caminhos local, UNC (Convenção de
Nomenclatura Universal) ou registro do caminho do arquivo .exe.
•
Regra de Zona — Usa a Zona da Internet que originou o arquivo
executável (caso o download tenha sido feito usando o Microsoft
Internet Explorer).
Regra de Hash
Um hash é uma impressão digital que identifica exclusivamente um
programa de software ou arquivo executável, mesmo que o programa ou
arquivo tenha sido movido ou renomeado. Desta maneira, um
administrador pode usar um hash para localizar uma versão específica
de um arquivo executável ou programa que deseja ou não permitir que os
usuários o executem. Pode ser esse o caso se um programa possui
vulnerabilidades de segurança ou privacidade, ou pode comprometer a
estabilidade do sistema.
Com uma regra de hash, os programas de software permanecem
exclusivamente identificáveis porque a correspondência da regra de
hash é baseada no cálculo criptográfico envolvendo o conteúdo do
arquivo. Os únicos tipos de arquivos afetados pelas regras de hash são
aqueles relacionados na seção Tipos de arquivo designados do painel de
detalhes das Diretivas de Restrição de Software.
As regras de hash funcionam bem em um ambiente estático. Se o software
nos clientes é atualizado freqüentemente, o hash precisa ser aplicado
novamente no arquivo executável para cada programa atualizado. As
regras de hash funcionam muito bem em ambientes em que as alterações e
atualizações não foram aplicadas nos arquivos executáveis para seus
respectivos programas.
Uma regra de hash é composta por três partes de dados, separados por
vírgulas:•
O MD5 ou valor de hash do algoritmo Secure Hash Algorithm (SHA–1).
•
O tamanho do arquivo.
•
O número de identificação do algoritmo de hash.
Arquivos com assinatura digital usam o valor de hash contido na
assinatura, que pode ser MD5 ou SHA–1. Arquivos executáveis que não
possuem assinatura digital usam o valor de hash MD5.
As regras de hash são formatadas da seguinte maneira:
[valor hash MD5 ou SHA1]:[tamanho do arquivo]:[identificação do
algoritmo de hash]
O exemplo de regra de hash a seguir é para um arquivo longo de 126
bytes com conteúdos que coincidem com o valor de hash MD5 (indicado
pelo identificador 32771 do algoritmo de hash) e pelo algoritmo de
hash 7bc04acc0d6480af862d22d724c3b049:
7bc04acc0d6480af862d22d724c3b049:126:32771
Cada arquivo que o administrador desejar restringir ou permitir
precisa conter uma regra de hash. Depois que o software é atualizado,
o administrador deve criar uma nova regra de hash para cada
aplicativo, uma vez que os valores de hash dos arquivos executáveis
originais foram sobrescritos. Use as etapas a seguir para aplicar uma
regra de hash em um arquivo executável existente.•
Para aplicar uma regra de hash em um arquivo executável existente:
1.
Na barra de ferramentas Editor de Objetos de Diretiva de Grupo, clique
em Configurações do Windows, Configurações de Segurança, Diretivas de
Restrição de Software e clique com o botão direito do mouse em Regras
Adicionais.
2.
Clique em Nova regra de hash no menu de atalho.
Figura 1
A caixa de diálogo Nova regra de hash
3.
Clique em Procurar para selecionar o arquivo que deseja para hash.
Neste exemplo, o arquivo executável é o Excel.exe. O novo valor de
hash do arquivo aparece na caixa Hash do Arquivo: A versão de
aplicativo aparece na caixa Informações sobre o Arquivo:
4.
Selecione a configuração padrão de nível de segurança desejada para
esta regra. As opções são:•
Não permitido
•
Irrestrito
Regra de Certificado
A regra de certificado especifica um certificado de editor de software
assinado por código. Por exemplo, um administrador pode solicitar
certificados assinados para todos os scripts e controles ActiveX. As
fontes permitidas que obedecem à regra de certificado são:•
Uma autoridade comercial de certificado (CA), tal como a VeriSign.
•
Uma Infra–Estrutura de Chave Pública (PKI) do Microsoft Windows 2000
ou Windows Server 2003.
•
Um certificado assinado automaticamente.
Uma regra de certificado é a forma mais eficiente de identificar
software, uma vez que usa os hashes assinados contidos na assinatura
do arquivo assinado para corresponder arquivos, independentemente do
nome ou local. Para fazer exceções a uma regra de certificado, uma
regra de hash pode ser usada para identificá–los.
Ativando regras de certificado
As regras de certificado não são ativadas por padrão. Use as etapas a
seguir para ativar as regras.•
Para ativar as regras de certificado:
1.
Abra o GPO no Editor de Objeto de Diretiva de Grupo.
2.
Na árvore do console, clique em Opções de Segurança.
3.
No painel de detalhes, clique duas vezes em Configurações do sistema:
Usar Regras de Certificado em Executáveis do Windows para Diretivas de
Restrição de Software.
4.
Clique em Ativado para tornar as regras de certificado disponíveis.
A maioria dos sites comerciais tem seus softwares assinados por código
por um CA comercial. Esses certificados geralmente têm validade de um
a vários anos. Ao usar regras de certificação, observe que os
certificados possuem data de expiração. É possível contatar o editor
do software para obter mais informações sobre o período de validade
dos certificados publicados. Ao receber um certificado de um CA
comercial, ele pode ser exportado para um arquivo para criar uma regra
de certificação. Use as etapas a seguir para exportar um
certificado.•
Para exportar um certificado:
1.
Selecione o editor confiável que emitirá o certificado. Neste exemplo,
o editor de certificado é a Microsoft MSN®.
Figura 2
A caixa de diálogo Aviso de segurança que exibe o editor confiável
2.
Clique na guia Detalhes .
Observação: Copie este certificado em um arquivo e use–o para criar
uma regra de certificado.
Figura 3
A guia detalhes da caixa de diálogo Certificado
3.
A página Assistente para exportação de certificados aparece. Clique em
Avançar para continuar.
Figura 4
A página de boas vindas do Assistente para Exportação de Certificados
4.
Na página Exportar Formato de Arquivo , selecione DER encoded binary X.
509 (.CER) e clique em Avançar para criar o arquivo de certificado com
uma extensão .cer.
Figura 5
A página do Assistente para Exportação de Certificados, Exportar
Formato de Arquivo que exibe o método de codificação selecionado
5.
Na página Arquivo a Exportar , designe um nome descritivo de arquivo
de regra de certificado. O certificado será exportado para o Diretório
de Certificados no Windows XP.
Figura 6
A página do Assistente para Exportação de Certificados, Arquivo a
Exportar que exibe um exemplo de nome de arquivo
6.
A página Concluindo o Assistente de Certificado de Exportação aparece
com uma lista que exibe as definições especificadas do arquivo de
certificado. Revise as configurações e clique em Concluir para
exportar o arquivo.
Figura 7
Página Conclusão do Assistente de Exportação do Certificado exibindo
as definições especificadas
Não é possível criar uma regra de certificado usando este arquivo.
Figura 8
Caixa de diálogo Nova regra de certificado mostrando as configurações
especificadas
Regra de caminho
Uma regra de caminho especifica uma pasta ou caminho completamente
qualificado para um programa. Quando uma regra de caminho especifica
uma pasta, ela faz a correspondência de qualquer programa contido
naquela pasta e suas subpastas. As regras de caminho suportam tanto
caminhos locais como UNC.
O administrador deve definir todos os diretórios para iniciar um
aplicativo específico utilizando a regra de caminho. Por exemplo, se o
administrador criou um atalho na área de trabalho para iniciar um
aplicativo, o usuário precisa ter acesso na regra de caminho tanto ao
arquivo executável como aos caminhos de atalho que executam o
aplicativo. A tentativa de executar o aplicativo usando apenas uma
peça do quebra–cabeça acionará o aviso Software Restrito.
Vários aplicativos usam a variável %ProgramFiles% para instalar
arquivos no disco rígido dos computadores executando o Windows XP
Professional. Se esta variável for configurada para outro diretório ou
uma unidade diferente, alguns aplicativos ainda copiarão arquivos para
o diretório original C:\Arquivos de Programas. Assim sendo, é melhor
deixar as regras de caminho definidas para o local padrão do
diretório.
Usando variáveis de ambiente em regras de caminho
Uma regra de caminho pode ser definida para usar variáveis de
ambiente. Uma vez que as regras de caminho são avaliadas em seu
ambiente cliente, o uso de variáveis de ambiente permite ao
administrador adaptar uma regra a um determinado ambiente de usuário.
Os dois exemplos a seguir mostram as instâncias de aplicação de
variáveis de ambiente em uma regra de caminho.•
"%%UserProfile%corresponde a C:\Documents and Settings\User e todas as
subpastas naquele diretório.
•
"%%ProgramFiles%\Application" corresponde a C:\Arquivos de Programas
\Aplicativo e todas as subpastas naquele diretório.
Observação: As variáveis de ambiente não são protegidas pelas ACLs
(Listas de Controle de Acesso). Há dois tipos de variáveis de
ambiente, Usuário e Sistema. Usuários com permissão para iniciar um
prompt de comando podem redefinir a variável do ambiente Usuários para
um caminho diferente. Apenas usuários no grupo de Administradores
podem alterar a variável do ambiente Sistema.
A Tabela 1 contém uma lista atual das variáveis do ambiente padrão do
Windows XP Professional:
Tabela 1. Variáveis de ambiente padrão para o Windows XP
ProfessionalNome da variável Descrição
ALLUSERSPROFILE
Uma variável local que volta para o local de perfil All Users.
APPDATA
Uma variável local que apresenta o local padrão onde os aplicativos
armazenam dados.
CD
Uma variável local que retorna a seqüência de caracteres da pasta
atual.
CMDCMDLINE
Uma variável local que retorna a linha de comando exata, usada para
iniciar o programa Cmd.exe atual.
CMDEXTVERSION
Uma variável de sistema que retorna o número de versão das extensões
do processador de comandos.
COMPUTERNAME
Uma variável de sistema que retorna o nome do computador.
COMSPEC
Uma variável de sistema que retorna o caminho exato para o executável
da shell de comando.
DATE
Uma variável de sistema que retorna a data atual. Esta variável usa o
mesmo formato que o comando date /t. O programa Cmd.exe gera esta
variável. Para mais informações, veja o comando Date.
ERRORLEVEL
Uma variável de sistema que retorna o código de erro do comando mais
recentemente usado. Em geral, um valor não–0 indica um erro.
HOMEDRIVE
Uma variável de sistema que retorna a letra da unidade da estação de
trabalho da pasta base do usuário. Esta variável é configurada de
acordo com o valor da pasta base especificada em Usuários e grupos
locais.
HOMEPATH
Uma variável de sistema que retorna o caminho completo da pasta base
do usuário. Esta variável é configurada de acordo com o valor da pasta
base especificada em Usuários e grupos locais.
HOMESHARE
Uma variável de sistema que retorna o caminho de rede para a pasta
base compartilhada do usuário. Esta variável é configurada de acordo
com o valor da pasta base especificada em Usuários e grupos locais.
LOGONSEVER
Uma variável local que retorna o nome do controlador de domínio que
validou a sessão de logon atual.
NUMBER_OF_PROCESSORS
Uma variável de sistema que especifica o número de processadores
instalados no computador.
OS
Uma variável de sistema que retorna o nome do sistema operacional. O
Windows XP Professional exibe o sistema operacional como Microsoft
Windows NT®.
PATH
Uma variável de sistema que especifica o caminho de pesquisa dos
arquivos executáveis.
PATHEXT
Uma variável de sistema que retorna uma lista das extensões do arquivo
que o sistema operacional considera executável.
PROCESSOR_ARCHITECTURE
Uma variável de sistema que retorna a arquitetura de chip do
processador. Valores: x86, IA64.
PROCESSOR_IDENTIFIER
Uma variável de sistema que retorna uma descrição do computador.
PROCESSOR_LEVEL
Uma variável de sistema que retorna o número de modelo do processador
do computador.
PROCESSOR_REVISION
Uma variável de sistema que retorna o número de revisão do
processador.
PROMPT
Uma variável local que retorna as configurações do prompt de comando
do intérprete atual. Gerado pelo Cmd.exe.
RANDOM
Uma variável de sistema que retorna um número decimal aleatório entre
0 e 32767. Gerado pelo programa Cmd.exe.
SYSTEMDRIVE
Uma variável de sistema que retorna a unidade que contém a pasta raiz
do Windows (por exemplo, a raiz do sistema).
SYSTEMROOT
Uma variável de sistema que retorna o local da pasta raiz do Windows.
TEMP ou TMP
Uma variável de sistema e usuário que retorna as pastas temporárias
padrão para aplicativos disponíveis aos usuários que fizeram logon no
momento. Alguns aplicativos requerem TEMP e outros requerem TMP.
TIME
Uma variável de sistema que retorna a hora atual. Esta variável usa o
mesmo formato que o comando date /t. Gerado pelo Cmd.exe. Para mais
informações, veja o comando Time.
USERDOMAIN
Uma variável local que retorna o nome de domínio que contém a conta de
usuário.
USERNAME
Uma variável local que retorna o nome de usuário que fez o logon
atualmente.
USERPROFILE
Uma variável local que retorna o local do perfil do usuário atual.
WINDIR
Uma variável de sistema que retorna o local da pasta do sistema
operacional.
Usando caracteres curinga em regras de caminho
Uma regra de caminho pode incorporar os caracteres curinga "?" e "*".
Os exemplos a seguir mostram caracteres curinga aplicados em regras de
caminho diferentes:•
"\\DC ? ??\login$" matches \\DC ? 01\login$, \\DC ? 02\login$, e assim
por diante.
•
"*\Windows" corresponde a C:\Windows, D:\Windows, E:\Windows e todas
as subpastas sob cada pasta.
•
"C:\win*" corresponde a C:\winnt, C:\windows, C:\windir e todas as
subpastas sob cada pasta.
•
"*.vbs" corresponde a qualquer aplicativo que tenha essa extensão no
Windows XP Professional.
•
"C:\Application Files\*.*" corresponde a todos os arquivos de
aplicativos na subpasta específica.
Regras de caminho de registro
Muitos aplicativos armazenam caminhos para suas pastas de instalação
ou pastas de aplicativos no registro do Windows. Alguns aplicativos
podem ser instalados em qualquer lugar do sistema de arquivos. Para
localizá–los, é preciso criar uma regra de caminho para procurar por
estas chaves de registro.
Estes locais podem não ser facilmente identificados usando caminhos de
pastas específicos, como C:\Program Files\Microsoft Platform SDK ou
variáveis de ambiente, tais como %ProgramFiles%\Microsoft Platform
SDK. Entretanto, se o programa armazena suas pastas de aplicativos no
registro, é possível criar uma regra de caminho que usará o valor
armazenado no registro, como:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install
Dir%.
Este tipo de regra de caminho, chamado regra de caminho de registro,
está formatado da seguinte maneira:
%<Registry Hive>\<Registry Key Name>\<Value Name>%
Observação: Qualquer sufixo de regra de caminho de registro não deve
conter um caractere \ logo após o sinal % na regra. O nome da seção de
registro deve ser escrito por extenso; abreviações não funcionarão.
Quando a regra padrão é definida como Não Permitido, há quatro
caminhos de registro que são configurados para que o sistema
operacional tenha acesso aos arquivos de sistema para operação normal.
Estas regras de caminho de registro são criadas como uma proteção para
que você não se bloqueie, nem aos outros usuários, fora do sistema.
Estas regras de registro são definidas como Irrestrito. Apenas os
usuários avançados devem considerar modificar ou excluir essas regras.
As configurações da regra de caminho de registro são:•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SystemRoot%
•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SystemRoot%\*.exe
•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SystemRoot%\System32\*.exe
•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ProgramFilesDir%
Precedência da regra de caminho
Quando houver várias regras de caminho correspondentes, a regra de
correspondência mais específica precede todas as outras. Os seguintes
conjuntos de caminhos estão ordenados desde a precedência mais alta
(correspondência mais específica) até a precedência menos específica
(correspondência mais genérica):•
Drive:\Folder1\Folder2\FileName.Extension
•
Drive:\Folder1\Folder2\*.Extension
•
*.Extension
•
Drive:\Folder1\Folder2\
•
Drive:\Folder1\
Regra de zona
É possível usar uma regra de zona para identificar um software obtido
de qualquer uma das seguintes zonas definidas no Internet Explorer:•
Internet
•
Intranet
•
Sites Restritos
•
Sites Confiáveis
•
Meu Computador
A versão atual da regra de zona de Internet se aplica somente aos
pacotes do Windows Installer (*.msi). Esta regra não se aplica ao
software obtido por meio do Internet Explorer. Todos os outros tipos
de arquivos afetados pelas regras de zona estão relacionados na tabela
de tipos de arquivo designados que aparecem depois neste módulo. Há
uma lista de tipos de arquivo designados que é compartilhada por todas
as regras de zona.
Recomendações de regras de caminho
Use a tabela a seguir para determinar qual Regra de Caminho é mais
adequada para os usuários do aplicativo e ambiente.
Tabela 2. Como determinar a melhor regra de caminho para um aplicativo
Tarefa Regra recomendada
Permitir ou não uma versão específica de programa.
Regra de hash
Navegue até o arquivo para criar um hash.
Identifica um programa instalado sempre no mesmo local.
Regra de caminho com variáveis de ambiente
%ProgramFiles%\Internet Explorer\iexplore.exe
Identificar um programa que possa ser instalado em qualquer local nas
máquinas do cliente.
Regra de caminho de registro/lineBreak>%HKEY_LOCAL_MACHINE\SOFTWARE\
ComputerAssociates\InoculateIT\6.0\Path\HOME%
Identificar um conjunto de scripts de um servidor central.
Regra de caminho
\\SERVER_NAME\Share
Identificar um conjunto de scripts em um conjunto de servidores. Por
exemplo, DC01, DC02 e DC03.
Regra de caminho com caractere curinga
\\DC??\Share
Não permitir todos os arquivos .vbs, exceto os de um diretório script
de login.
Regra de caminho com curinga
*.VBS definida para Não permitido
\\LOGIN_SRV\Share\*.VBS configurado para Irrestrito
Não permite um arquivo instalado por um vírus que é sempre acionado
flcss.exe.
Regra de caminho
flcss.exe, definida paraNão permitido
Identificar um conjunto de scripts que pode ser executado em qualquer
local.
Regra de certificado
Usa um certificado para assinar digitalmente os scripts.
Permite que o software seja instalado a partir de sites confiáveis da
zona da Internet.
Regra de zona
Configura Sites confiáveis como Irrestritos.
Regras de precedência das diretivas de restrição de software
As regras são avaliadas em uma ordem específica. As regras que
correspondem mais especificamente a um programa prevalecem sobre as
regras com correspondência mais genérica para o mesmo programa. Se
duas regras idênticas com níveis de segurança diferentes são
estabelecidas para o mesmo software, a regra com o nível mais alto de
segurança prevalece. Por exemplo, se duas regras de hash - uma com o
nível de segurança Não Permitido e outra com o nível de segurança
Irrestrito - são aplicadas ao mesmo programa de software, a regra com
o nível de segurança Não Permitido prevalece e o programa não será
executado. A lista a seguir define a ordem de precedência para as
regras em termos de regra mais específica até a menos específica:
1.
Regra de Hash
2.
Regra de Certificado
3.
Regra de caminho
4.
Regra de zona
5.
Regra padrão
Opções de diretivas de restrição de software
Esta seção discute as várias opções de aplicação que influenciam o
comportamento da diretiva de restrição de software. Estas opções
alteram o escopo de comportamento de aplicação das configurações de
confiança do Microsoft Authenticode® para arquivos com assinatura
digital. Há duas opções de aplicação: Verificação da DLL (Biblioteca
de Vínculo Dinâmico) e Ignorar Administradores.
Verificação de DLL
A maioria dos programas consiste em um arquivo executável e várias
DLLs de suporte. As regras de diretivas de restrição de software por
padrão não são aplicadas em DLLs. Esta é a opção recomendada para a
maioria dos clientes pelas três razões a seguir:•
Não permitir os principais arquivos executáveis impede a execução do
programa, assim, não há necessidade em desativar as DLLs clientes.
•
A verificação de DLL degrada o desempenho do sistema porque ela
verifica todas as bibliotecas vinculadas ao aplicativo. Por exemplo,
se um usuário executa 10 programas durante uma sessão de logon, a
diretiva de restrição de software avalia cada programa. Com a
verificação de DLL ativada, a diretiva de restrição de software avalia
os carregamentos de DLL de todos os programa. Se cada programa usa 20
DLLs, isso resulta em 10 verificações de programas executáveis mais
200 verificações de DLL, desta forma, a diretiva de restrição de
software deve realizar 210 avaliações.
Um programa como o Internet Explorer consiste em um arquivo
executável, iexplore.exe e várias DLLs de suporte.
•
A definição do nível de segurança padrão em Não Permitido obriga o
sistema a não apenas identificar o arquivo executável principal antes
de permitir sua execução, como todas as DLLs clientes dos
arquivos .exe que sobrecarregam o sistema.
Verificação de DLL é a opção recomendada caso deseje a garantia mais
alta possível para os programas em execução em seu ambiente. Isso se
deve ao fato de que, enquanto alguns vírus visam primariamente
arquivos executáveis de alvo, outros vírus visam DLLs de alvo.
Para assegurar que todos os programas não contenham vírus, um conjunto
de regras de hash pode ser usado, identificando o arquivo executável e
todas as suas DLLs.•
Para desativar a opção de verificação de DLL:
Na caixa de diálogo Propriedades de aplicação, selecione Todos os
arquivos de software, exceto bibliotecas (como DLLs).
Figura 9
A caixa de diálogo Propriedades de aplicação, mostrando as opções de
aplicação de usuário e arquivo
Ignorar administradores
Um administrador pode querer não permitir a execução de programas para
a maioria dos usuários, mas permitir, ao mesmo tempo, que os
administradores tenham autorização para executar todos os programas.
Por exemplo, um administrador pode ter um computador compartilhado ao
qual vários usuários se conectam para usar o Terminal Server. O
administrador pode querer que os usuários executem apenas aplicativos
específicos no computador, mas que os membros no grupo local de
Administradores possam executar qualquer programa. Para tal, use a
opção de aplicação Ignorar Administradores.
Se a diretiva de restrição de software foi criada em um GPO vinculado
a um objeto no Active Directory, em vez de usar a opção Ignorar
Administradores, a Microsoft recomenda rejeitar a permissão Aplicar
Diretiva de Grupo no GPO para o grupo de Administradores. Isso consome
menos tráfego de rede porque as configurações do GPO que não se
aplicam aos administradores não são baixadas.
Observação: A diretiva de restrição de software em objetos de
diretivas locais de segurança não pode filtrar grupos de usuários.
Neste caso, use a opção Ignorar Administradores.•
Para ativar a opção Ignorar Administradores:
Na caixa de diálogo Propriedades de aplicação na Figura 9 acima,
selecione Todos os usuários, exceto administradores locais.
Definição de executáveis
A caixa de diálogo Propriedades de tipos de arquivo designados na
Figura 10 relaciona os tipos de arquivos regidos pela diretiva de
restrição de software. Os tipos de arquivo designados são considerados
arquivos executáveis. Por exemplo, um arquivo de proteção de tela
(.scr) é considerado um arquivo executável porque ele é carregado como
um programa ao ser clicado duas vezes no Windows Explorer.
As regras de diretivas de restrição de software aplicam–se somente aos
tipos de arquivos relacionados na caixa de diálogo Propriedades de
tipos de arquivo designados. Se seu ambiente usa um tipo de arquivo
para o qual deseja aplicar as regras, adicione–o à lista. Por exemplo,
para arquivos de script Perl, é possível optar por adicionar o tipo de
arquivo .pl e outros tipos associados ao mecanismo Perl na lista Tipos
de arquivo designados: na guia Geral da caixa de diálogo Propriedades
de tipos de arquivo designados.
Figura 10
Caixa de diálogo Propriedades dos Tipos de Arquivo Designados
Para este exemplo, o tipo de arquivo .mdb é removido e .ocx é
acrescentado. A tabela 3 relaciona os tipos de arquivo designados.
Tabela 3. Tipos de Arquivos DesignadosExtensão de arquivo Descrição do
arquivo
.ade
Microsoft Access Project Extension
.adp
Microsoft Access Project
.bas
Visual Basic Class Module
.bat
Arquivo em Lote
.chm
Arquivo HTML de Ajuda Compilado
.cmd
Windows NT Command Script
.com
Aplicativo Microsoft MS–DOS(r)
.cpl
Extensão do Painel de Controle
.crt
Certificado de Segurança
.exe
Aplicativo
.hlp
Arquivo de Ajuda do Windows
.hta
Aplicativos de HTML
.inf
Arquivo de Informações sobre Instalação
.ins
Definições de Comunicação por Internet
.isp
Definições de Comunicação por Internet
.js
Arquivo JScript
.jse
Arquivo Script Codificado JScript
.lnk
Atalho
.mde
Microsoft Access MDE Database
.msc
Microsoft Common Console Document
.msi
Pacote do Windows Installer
.msp
Patch do Windows Installer
.mst
Arquivo de Origem do Visual Test
.ocx
Controles do Microsoft ActiveX®
.pcd
Imagem de Photo CD
.pif
Atalho para o Programa MS–DOS
.reg
Entradas de Registro
.scr
Protetor de Tela
.sct
Componente de Script do Windows
.shs
Objeto de Recorte do Shell
.url
Atalho para Internet (Uniform Resource Locator)
.vb
Arquivo VB
.vbe
Arquivo Script Codificado VBScript
.vbs
Arquivo Script VBScript
.wsc
Componente de Script do Windows
.wsf
Arquivo Script do Windows
.wsh
Arquivo de Definições de host de script do Windows
Problemas conhecidos
Se uma diretiva de restrição de software está configurada para
restringir programas de 16 bits, tais como command.com ou edit.com, os
usuários podem iniciar o programa mesmo que não tenham permissão para
executá–lo. A solução é instalar o Windows XP Professional Service
Pack 1 nos computadores clientes em seu ambiente.
A diretiva de restrição de software não impede a execução do código
fora do subsistema Microsoft Win32®. Por exemplo, os usuários podem
executar o mesmo comando no subsistema POSIX (Portable Operating
System Interface).
Para impedir que isso aconteça, desative o subsistema POSIX excluindo
o seguinte valor POSIX:
HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems
Editores confiáveis
A caixa de diálogo Propriedades de Editores Confiáveis pode ser usada
para configurar quais usuários podem selecionar editores confiáveis. E
é possível determinar também quais verificações de revogação de
certificados são realizadas antes de confiar em um editor. Com as
regras de certificação ativadas, a diretiva de restrição de software
verificará a lista de revogação de certificados (CRL) para assegurar
que o certificado e assinatura do software são válidos. Isso pode
diminuir o desempenho ao iniciar programas assinados. As opções na
guia Geral da caixa de diálogo Propriedades de Editores Confiáveis
mostrada na Figura 11 permite definir as configurações relacionadas a
controles Activex e outros conteúdos assinados.
Figura 11
Caixa de diálogo Propriedades de Editores Confiáveis caixa de diálogo.
A tabela a seguir exibe as opções de editor confiável relacionadas aos
controles ActiveX e outro conteúdo assinado.
Tabela 4. Tarefas e Configurações de Editores ConfiáveisNome de
configuração Tarefa
Administradores de empresa
Use para permitir que apenas administradores de empresas tomem
decisões relacionadas a conteúdo ativo assinado.
Administradores de computador local
Use para permitir que administradores de máquinas Locais tomem todas
as decisões sobre o conteúdo ativo assinado.
Usuários finais
Use para permitir que os usuários tomem decisões relacionadas a
conteúdo ativo assinado.
Editor:
Use para assegurar que o certificado usado pelo editor de software não
foi revogado.
Carimbo de data/hora
Use para assegurar que o certificado usado pela empresa para carimbar
data/hora no conteúdo ativo não tenha sido revogado.
Design e implantação das diretivas de restrição de software
Esta seção aborda a administração de diretivas de restrição de
software usando snap–ins de Diretiva de Grupo; aspectos a considerar
ao editar uma diretiva pela primeira vez e como aplicar diretivas de
restrição de software para um grupo de usuários. Também são discutidas
várias questões a serem consideradas durante a implantação de
diretivas de restrição de software.
Integração com diretivas de grupo
As diretivas de restrição de software podem ser administradas usando
os snap–ins de Diretiva de Grupo para um conjunto de computadores
clientes, bem como para todos os usuários que acessam os computadores
clientes. A diretiva é aplicada a OU de computadores desktop e laptop
definidos neste guia.
Domínio
O administrador deve criar um GPO diferente para as diretivas de
restrição de software. Esta é uma maneira de remover a Diretiva de
Grupo sem interferir nas outras diretivas aplicadas ao objeto.
Local
Uma diretiva local deve ser configurada para computadores clientes
autônomos em seu ambiente. Cuidado, pois pode ocorrer um conflito
depois de configurar e duplicar a diretiva local.
Designando uma diretiva
Esta seção descreve as etapas instrutivas ao projetar e implantar
diretivas de restrição de software. Para projetar diretivas é
necessário tomar várias decisões, detalhadas na tabela a seguir.
Tabela 5. Decisões importantes relativas ao projeto de diretivas a
serem consideradasDecisão Fatores a considerar
Laptops ou estações de trabalho
Investigar as necessidades de usuários móveis em seu ambiente para
determinar se os laptops requerem uma diretiva diferente daquela
aplicada aos computadores desktop. Laptops tendem a precisar de mais
flexibilidade do que os computadores desktop.
Compartilhamentos de servidor, scripts de logon e unidades base.
É preciso definir uma regra de caminho para todos os aplicativos,
partindo de um compartilhamento de servidor ou pasta base. Arquivos de
scripts de logon podem ser adicionados à regra de caminho. Se um
script chama outro script, adicione também os locais dos executáveis à
regra de caminho.
GPO ou diretiva de segurança local
Neste guia, o GPO é usado para este projeto, porém, deve–se considerar
os efeitos que a diretiva local terá em seu projeto.
Diretiva de usuário ou cliente
Este projeto aplica–se a todas as configurações relacionadas a
cliente.
Nível de segurança padrão
Recomenda–se definir a configuração padrão como Não Permitido e,
então, configurar o restante da diretiva conforme necessário. A
configuração padrão Irrestrito também está disponível.
Regras adicionais
Será preciso aplicar, conforme necessário, regras de caminho de
sistema operacional adicionais ao usar a diretiva padrão Não
Permitido. Na configuração Não Permitido, as quatro regras são criadas
automaticamente.
Opções de diretiva
Se for usar a diretiva de segurança local, e não desejar que ela seja
aplicada aos administradores dos clientes em seu ambiente, selecione a
opção de aplicação de diretiva Ignorar Administradores. Se desejar
verificar DLLs e também arquivos executáveis e scripts, selecione a
opção de aplicação de diretiva Verificação de DLL.
Caso deseje estabelecer regras em tipos de arquivos que não estão
incluídos nos tipos de arquivo designados, utilize a opção para
adicioná–los conforme o necessário por meio da caixa de diálogo
Propriedades de tipos de arquivo designados.
Caso deseje modificar a autonomia de tomada de decisões sobre baixar
controles ActiveX e outros conteúdos assinados, selecione a caixa de
diálogo Editor na guia Geral da caixa de diálogo Propriedades de
editores confiáveis.
Aplicar a diretiva a um site, domínio ou OU.
A diretiva ficará na OU em que se encontram os computadores desktop e
laptop.
Melhores práticas
Recomendamos a criação de um GPO separado para diretivas de restrição
de software, caso precise desativar a diretiva em uma emergência, ela
não causará impacto no resto do domínio ou diretiva local.
Se uma estação de trabalho com diretiva de restrição de software for
bloqueada acidentalmente durante a fase de projeto de seu OU, reinicie
o computador em Modo de segurança, faça logon como administrador local
e, em seguida, modifique a diretiva. A diretiva de restrição de
software não é aplicada quando o Windows é inicializado em Modo de
segurança. Após iniciar o computador em Modo de segurança, execute o
gpupdate.exe e reinicie.
Para maior segurança, use as ACLs (Listas de Controle) juntamente com
a diretiva de restrição de software. Os usuários podem tentar burlar a
diretiva de restrição de software renomeando ou movendo arquivos não
permitidos ou ainda sobrescrevendo arquivos irrestritos. Use as listas
de controle para impedir que os usuários possam fazer esse tipo de
coisa.
Os scripts de logon geralmente localizam–se no Sysvol em um
controlador de domínio ou um servidor centralizado. Freqüentemente, o
controlador de domínio pode ser modificado a cada logon. Se sua regra
padrão estiver definida como Não Permitido, certifique–se de criar
regras que identifiquem os locais de seus scripts de logon. No caso
dos servidores de logon terem nomes semelhantes, use caracteres
curinga para localizá–los ou use um nome de script de logon com
configurações irrestritas.
Observação: Teste as novas configurações de diretiva de restrição de
software em ambientes de teste antes de aplicá–las em seu domínio.
Configurações novas de diretiva podem atuar de forma diferente do
esperado. Os testes reduzirão as chances de haver um problema ao
implantar as configurações de diretiva de restrição de software em sua
rede.
Atravessando o processo
Use as etapas a seguir para guiá–lo pelo processo de projetar uma
diretiva de restrição de software e aplicá–la como um objeto de
diretiva de grupo nos computadores laptop e desktop de seu ambiente.
Etapa 1. Criar um GPO para a OU
Localizar a OU criada para os computadores desktop e laptop de seu
ambiente. Se estiver trabalhando em um computador cliente autônomo, as
configurações localizam–se na Diretiva do Computador Local. Nesta
diretiva, clique em Propriedades e crie um novo GPO. Nomeie a diretiva
de acordo com a convenção de nomes da sua empresa. Lembre–se, esta
diretiva só será usada para aplicar as restrições de software.
Etapa 2. Definir a diretiva de restrição de software
Selecione o GPO e clique em Editar. Navegue pela árvore até localizar
as Configurações do Windows\Configurações de Segurança\Diretiva de
Restrição de Software. Na primeira edição da diretiva, a seguinte
mensagem será exibida:
Não há Diretivas de Segurança de Software definidas.
Esta mensagem avisa que ao criar uma diretiva serão definidos valores
padrão. Esses valores padrão podem anular as configurações de outras
diretivas de restrição de software. Já que nenhuma restrição de
software foi definida, use as configurações padrão para começar.
Clique com o botão direito do mouse no menu Ações e selecione Novas
Diretivas de Restrição de Software.
Etapa 3. Configurar as regras de caminho
Uma vez determinado quais aplicativos e scripts as estações de
trabalho terão, você pode configurar as regras de caminho. Alguns
programas iniciam outros programas para executar tarefas. Os
aplicativos de software em seu ambiente podem depender de um ou mais
programas de suporte. Um inventário e uma documentação de instalação
no software atualmente instalado é muito útil para rastrear regras de
caminho. Um exemplo de projeto de estação de trabalho pode incluir as
seguintes diretrizes:•
Aplicativos = *\Program Files
•
Aplicativos de Grupo Compartilhado = g:\Group Applications
•
Script de Logon = Logon.bat
•
Atalhos de área de trabalho = *.lnk
•
Script VB Mal-intencionado =*.vbs
Etapa 4. Definir as opções de diretiva
As opções a seguir inclui as configurações recomendadas para este
projeto. Estas opções alteram o escopo do comportamento da aplicação
das configurações de confiança do Microsoft Authenticode para arquivos
com assinatura digital.
Aplicação — se o computador for parte de um domínio, certificar–se de
que o grupo de Admins. do Domínio é automaticamente adicionado ao
grupo de Administradores.
Aplicar aos usuários — inclui todos os usuários exceto administradores
locais. O uso desta configuração prolonga a inicialização dos
aplicativos. Para compensar, o projeto define a diretiva para não
verificar DLLs.
Aplicar aos arquivos - inclui todos os arquivos de software exceto
bibliotecas (tais como DLLs). O uso desta configuração prolonga a
inicialização dos aplicativos. Para compensar, o projeto define a
diretiva para não verificar DLLs.
Tipos de arquivo designados — para o projeto do GPO definido neste
guia, nenhum tipo adicional de arquivo foi adicionado à lista. Na
verdade, é possível adicionar extensões de tipos de arquivo de
aplicativo, conforme necessário, para submetê–los às mesmas regras.
Editores confiáveis —para o projeto de GPO definido neste guia, o
grupo Administradores foi ativado e a opção de Propriedades de
editores confiáveis: Administradores do Computador Local foi
selecionada.
Antes de confiar em um editor, durante a fase do projeto de criação do
GPO, selecione a opção Verificar: Editor para assegurar que a diretiva
validará os certificados.
Etapa 5. Aplicar as configurações padrão
Recomenda–se configurar a diretiva para a configuração padrão
Irrestrito. Isso garante que a diretiva esteja completamente
configurada antes de aplicar as restrições de software. Depois de
revisar as configurações de diretiva, redefina a configuração como Não
Permitido.
Etapa 6. Testar a diretiva
Se o computador fizer parte de um domínio, mova o computador para o
recipiente OU em que a diretiva é aplicada. Reinicie o computador de
teste e faça logon. Os planejamentos de teste devem possuir instruções
sobre como cada aplicativo deve funcionar quando a diretiva é
aplicada. Execute os aplicativos para garantir que eles funcionarão
perfeitamente e que todos os outros recursos estejam acessíveis. Após
validar a funcionalidade dos aplicativos, simule um ataque nos
aplicativos para assegurar que a diretiva não tenha nenhuma
vulnerabilidade de segurança.
Se for um computador autônomo, faça logon no computador de teste e
siga o planejamento de teste. Depois de ter validado os aplicativos,
inicie o ataque simulado novamente para verificar se a diretiva não
possui vulnerabilidades de segurança.
Implantação de diretivas de restrição de software
Depois de testar a diretiva extensivamente, aplique–a à OU de
computadores desktop ou laptop no ambiente. Se for um computador
autônomo, aplique–a nas Configurações de Computador Local no cliente.
Abra o snap–in MCC Computadores e Usuários e navegue pela pasta até
chegar no recipiente da OU de computadores desktop ou laptop. Depois,
crie um novo GPO usando o Editor de Objeto de Diretiva de Grupo.
Editar as propriedades e aplicar as configurações adequadas com base
nas tabelas que seguem a Diretiva de Restrição de Software em
Configurações do Windows\Configurações de Segurança.
Tabela 6. Níveis de SegurançaRegra padrão para a interface de usuário
Descrição Configuração
Não Permitido
O software não poderá ser executado, independentemente dos direitos de
acesso do usuário.
Use esta regra padrão
Tabela 7. Regras adicionaisRegra de caminho Configuração
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\SystemRoot%
Irrestrito
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\SystemRoot%\*.exe
Irrestrito
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\SystemRoot%\System32\*.exe
Irrestrito
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\ProgramFilesDir%
Irrestrito
*.lnk
Irrestrito
*.vbs
Não Permitido
G:\Aplicações de Grupo
Irrestrito
Logon.bat ou script de Logon
Irrestrito
*\Arquivo de Programas
Irrestrito
Tabela 8. Aplicação em arquivos e usuários Opções de aplicação
Recomendação
Aplicar diretivas de restrição de software em:
Todos os arquivos, exceto DLLs.
Aplicar diretivas de restrição de software nos seguintes usuários:
Todos os usuários, exceto administradores locais.
Tabela 9. Tipos de Arquivos DesignadosTipos de arquivo designados
Recomendação
Propriedades dos tipos de arquivos designados
Remover .mdb e adicionar .ocx.
Tabela 10. Editores confiáveisEditores confiáveis Recomendação
Permitir os seguintes grupos de usuários a selecionar editores
confiáveis:
Administradores de Computador Local
Determine se o certificado foi revogado.
Selecionar a opção Editor.
Resumo
As diretivas de restrição de software fornecem aos administradores um
mecanismo acionado por diretiva para identificar o software em
computadores executando o Windows XP Professional em um domínio. Você
pode criar diretivas para bloquear scripts maliciosos, bloquear outros
computadores em seu ambiente ou impedir a execução de aplicativos. Em
uma empresa, recomenda–se administrar as diretivas de restrição de
software usando Objetos de Diretiva de Software (GPOs) e moldar cada
diretiva criada para atender às necessidades de diferentes grupos de
usuários e computadores em sua empresa. A Microsoft recomenda não
tentar administrar grupos de usuários em um ambiente autônomo. Quando
aplicada corretamente, as diretivas de restrição de software
melhorarão a integridade e a gerenciabilidade, e reduzirão custos na
posse e manutenção de sistemas operacionais nos computadores da
empresa.
Mais informações
As fontes de informações a seguir estavam disponíveis em tópicos
relacionados a diretivas de restrição de software para o Windows XP
Professional e Windows Server 2003 no momento em que o Windows Server
2003 foi lançado para o público.
Para obter mais informações sobre diretivas de restrição de software,
consulte "Using Software Restriction Policies to Protect Against
Unauthorized Software", em: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.
Para mais informações sobre serviços de segurança , consulte
"Technical Overview of Windows Server 2003 Security Services", em:
http://www.microsoft.com/windows.netserver/techinfo/overview/security.mspx.
Para obter mais informações sobre Diretiva de Grupo, consulte "Windows
2000 Group Policy," at: http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp.
Securing Mobile Computers with Windows XP Professional," "Windows 2000
Group Policy," at: http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/mblsecxp.mspx.
Início da página
caio.a...@gmail.com escreveu:
Porém ele precisa instalar o software, que em determinadas condições
executa até mesmo como usuário.
Olha mandei em texto... só que como contém imagens... acesse a página
que é melhor.
http://www.microsoft.com/brasil/security/guidance/prodtech/winxp/secmod65.mspx
Segue abaixo instruções Sobre Diretivas de Restrição de Software.
------------------------------------------------------------------------------------------------
Centro de orientações de segurança
Diretivas de restrição de software para clientes Windows XP:
Atualizado em: 07 de Abril de 2004
Nesta página Neste módulo
Objetivos
Aplicação
Como usar este módulo
Diretivas de Restrição de Software
Arquitetura de Diretivas de Restrição de Software
Neste módulo
O Microsoft Windows XP Professional e o Microsoft Windows Server™ 2003
oferecem um recurso chamado Diretivas de Restrição de Software, que
permite aos administradores controlar a capacidade de execução do
software em um computador local. Ele também permite impedir que os
usuários executem software não–autorizado e oferece proteção adicional
contra vírus e cavalos de Tróia. As Diretivas de Restrição de Software
estão integradas às Diretivas de Grupo, possibilitando a implantação
em domínios do serviço de diretório Microsoft Active Directory®. As
Diretivas de Restrição de Software também podem ser implantadas em
computadores autônomos.
Início da página
Objetivos
Utilize este módulo para:•
Projetar e implantar uma Diretiva de Restrição de Software.
•
Selecionar o tipo de regra apropriada e usá–la para identificar o
software.
•
Controlar o nível de verificação utilizado pela Diretiva de Restrição
de Software.
•
Configurar a diretiva de Restrição de Software para sempre permitir
que os administradores executem o software.
Início da página
Aplicação
Este módulo aplica–se aos seguintes produtos e tecnologias:•
Clientes Windows XP Professional Service Pack (SP) 1 nos domínios do
Windows Server 2003
•
Clientes autônomos do Windows XP Professional SP1
Início da página
Como usar este módulo
Este módulo oferece uma descrição detalhada das Diretivas de Restrição
de Software e sua utilização no controle da capacidade de execução do
software em um computador local.
Para aproveitar ao máximo este módulo:•
Leia o módulo "Configurando a infra–estrutura de domínios do Active
Directory." Ele descreve como implantar as Diretivas de Grupo que
incorporam as Diretivas de Restrição de Software.
•
Use a lista de verificação. A Lista de verificação: O módulo Diretiva
de Restrição de Software para Clientes Windows XP." fornece uma versão
de impressão para referência rápida. Use a lista de verificação
baseada em tarefas para avaliar rapidamente o escopo das etapas
necessárias e para ajudá–lo a trabalhar em cada uma delas.
Início da página
Diretivas de Restrição de Software
As diretivas de restrição de software fornecem aos administradores um
mecanismo acionado por diretiva para identificar o software e
controlar sua capacidade de execução no computador local. Elas
protegem computadores executando o Windows XP Professional em seu
ambiente contra conflitos conhecidos e defendem os computadores contra
vírus mal–intencionados e cavalos de Tróia. As diretivas de restrição
de software se integram totalmente com o Active Directory e com as
Diretivas de Grupo. Elas também podem ser usadas em computadores
autônomos.
Este módulo possui uma estrutura diferente dos outros módulos do guia,
devido à natureza das diretivas de restrição de software. Em vez de
configurar as opções de definições das Diretivas de Grupo baseadas nas
recomendações indicadas em módulos anteriores, primeiro o
administrador define o conjunto de aplicativos com permissão de
execução nos clientes de seu ambiente e, em seguida, determina as
restrições que a diretiva aplicará aos clientes.
As diretivas de restrição de software consistem inicialmente no nível
de segurança padrão para configurações irrestritas ou não permitidas e
regras definidas por um objeto de GPO (Diretiva de Grupo). As
diretivas podem ser aplicadas a um domínio, a computadores locais ou a
usuários no seu ambiente. As diretivas de restrição de software
oferecem várias maneiras de identificar o software, bem como uma infra–
estrutura baseada em diretivas para reforçar as regras de execução do
software identificado. Quando os usuários executam programas de
software, devem aderir às diretivas de restrição de software
estabelecidas pelo administrador do ambiente.
As diretivas de restrição de software podem ser usadas para as
seguintes finalidades:•
Controlar quais softwares podem ser executados em clientes do
ambiente.
•
Restringir o acesso de usuários a arquivos específicos em computadores
usados por vários usuários.
•
Decidir quem pode adicionar editores confiáveis aos clientes.
•
Definir se as diretivas afetam todos os usuários ou um subgrupo de
usuários nos clientes.
•
Evitar a execução de arquivos executáveis no computador local, na OU
(unidade organizacional), no site ou no domínio.
Início da página
Arquitetura de Diretivas de Restrição de Software
A arquitetura de diretivas de restrição de software oferece os
seguintes recursos:•
Aplicação de diretivas baseadas em domínio ou computador local. Os
administradores criam as diretivas e, em seguida, definem quais
aplicativos são ou não são confiáveis. As diretivas são aplicadas em
tempo de execução, sendo que os usuários não recebem prompts que lhes
permitam escolher entre executar ou não arquivos executáveis.
•
Diretivas que se aplicam a outros arquivos, além dos executáveis. A
definição sobre o que compõe o software é ambígua. As diretivas
oferecem controle sobre o Microsoft Visual Basic® Scripting Edition
(VBScript), Microsoft JScript® e outras linguagens de script. Elas
também se integram ao recurso do Windows Installer para oferecer
controle sobre quais pacotes podem ser instalados nos clientes. Esse
recurso inclui uma API (Interface de Programação de Aplicativo) que
pode ser usada para coordenar o tempo de execução da diretiva e outros
tempos de execução.
•
Diretivas escalonáveis. As diretivas devem ser administradas em uma
empresa de grande porte com uma ampla variedade de tipos de máquinas e
aplicativos, mas também devem ser executadas em um ambiente autônomo.
As diretivas de restrição de software incentivam a gerenciabilidade do
Active Directory e das Diretivas de Grupo. As diretivas são
armazenadas em um GPO. Este recurso de diretiva também pode ser usado
em um ambiente autônomo não vinculado a domínio, armazenando o GPO
como o objeto de diretiva do computador local.
•
Diretivas flexíveis. Os administradores podem proibir a execução de
scripts não–autorizados, configurar os controles do Microsoft ActiveX®
ou bloquear clientes.
•
Diretivas que capacitam uma criptografia efetiva na identificação de
software. As diretivas podem identificar o software que estiver usando
um hash, um certificado ou uma assinatura.
A implementação da arquitetura de diretivas de restrição de software
consiste em três fases:
1.
O administrador ou a autoridade responsável cria a diretiva usando o
snap–in do MMC (Microsoft Management Console) de Diretiva de Grupo
para o site, domínio ou OU. A Microsoft recomenda a criação de um
objeto de diretiva de grupo individual para as Diretivas de Restrição
de Software.
Observação: Para criar uma nova diretiva de restrição de software em
um computador local autônomo, é preciso ser membro do grupo
Administradores no computador local. Para configurar essas definições,
clique em Configurações do Windows, Configurações de Segurança e, em
seguida, em Diretivas de Restrição de Software.
2.
A diretiva no nível de computador é baixada e passa a vigorar após a
inicialização. As diretivas de usuários passam a valer assim que o
usuário faz logon no sistema ou domínio. Para atualizar a diretiva,
acesse–a usando o comando gpupdate.exe/force.
3.
Quando um usuário inicia um programa ou script, o sistema operacional
ou host de script, a diretiva determina se o programa ou script pode
ser executado de acordo com as regras precedentes por ela aplicadas.
Configurações Irrestrito ou Não Permitido
Uma diretiva de restrição de software é constituída de duas partes:•
Uma regra padrão para a execução de programas selecionados.
•
Um inventário de exceções para a regra padrão.
Você pode definir a regra padrão para identificar o software
comoIrrestrito ou Não Permitido, basicamente: executar ou não
executar.
Ao definir a regra padrão como Irrestrito, ela permite que um
administrador defina exceções ou um conjunto de programas cuja
execução não é permitida. Use a configuração padrão Irrestrito em um
ambiente com clientes administrados de forma livre. Por exemplo, é
possível impedir os usuários de instalar um programa que causará
conflito com programas existentes criando uma regra para bloqueá–lo.
Uma abordagem mais segura é definir a regra padrão para Não Permitido
e, então, permitir a execução somente de um grupo específico de
programas. Na configuração padrão Não Permitido, o administrador
precisa definir todas as regras para cada aplicação e assegurar que o
usuário possui as configurações corretas de segurança em seus
computadores para acessar os aplicativos que lhes são permitidos
executar. A configuração padrão Não Permitido é a configuração padrão
preferencial para proteger os clientes Windows XP.
Quatro regras para a identificação de software
As regras em uma diretiva de restrição de software identificam um ou
mais aplicativos para especificar se eles podem ou não ser executados.
Criar regras consiste basicamente em identificar aplicativos e defini–
los como exceções à configuração padrão Não Permitido. Cada regra pode
incluir comentários para descrever sua finalidade. O mecanismo de
aplicação interno do Windows XP consulta as regras na diretiva de
restrição de software antes de permitir a execução de um programa.
Uma diretiva de restrição de software utiliza as quatro regras
seguintes para a identificação de software:•
Regra do Hash — Usa uma impressão digital criptográfica dos arquivos
executáveis.
•
Regra de Certificação — Usa um certificado com assinatura digital de
um editor de software para um arquivo .exe.
•
Regra de Caminho — Usa os caminhos local, UNC (Convenção de
Nomenclatura Universal) ou registro do caminho do arquivo .exe.
•
Regra de Zona — Usa a Zona da Internet que originou o arquivo
executável (caso o download tenha sido feito usando o Microsoft
Internet Explorer).
Regra de Hash
Um hash é uma impressão digital que identifica exclusivamente um
programa de software ou arquivo executável, mesmo que o programa ou
arquivo tenha sido movido ou renomeado. Desta maneira, um
administrador pode usar um hash para localizar uma versão específica
de um arquivo executável ou programa que deseja ou não permitir que os
usuários o executem. Pode ser esse o caso se um programa possui
vulnerabilidades de segurança ou privacidade, ou pode comprometer a
estabilidade do sistema.
Com uma regra de hash, os programas de software permanecem
exclusivamente identificáveis porque a correspondência da regra de
hash é baseada no cálculo criptográfico envolvendo o conteúdo do
arquivo. Os únicos tipos de arquivos afetados pelas regras de hash são
aqueles relacionados na seção Tipos de arquivo designados do painel de
detalhes das Diretivas de Restrição de Software.
As regras de hash funcionam bem em um ambiente estático. Se o software
nos clientes é atualizado freqüentemente, o hash precisa ser aplicado
novamente no arquivo executável para cada programa atualizado. As
regras de hash funcionam muito bem em ambientes em que as alterações e
atualizações não foram aplicadas nos arquivos executáveis para seus
respectivos programas.
Uma regra de hash é composta por três partes de dados, separados por
vírgulas:•
O MD5 ou valor de hash do algoritmo Secure Hash Algorithm (SHA–1).
•
O tamanho do arquivo.
•
O número de identificação do algoritmo de hash.
Arquivos com assinatura digital usam o valor de hash contido na
assinatura, que pode ser MD5 ou SHA–1. Arquivos executáveis que não
possuem assinatura digital usam o valor de hash MD5.
As regras de hash são formatadas da seguinte maneira:
[valor hash MD5 ou SHA1]:[tamanho do arquivo]:[identificação do
algoritmo de hash]
O exemplo de regra de hash a seguir é para um arquivo longo de 126
bytes com conteúdos que coincidem com o valor de hash MD5 (indicado
pelo identificador 32771 do algoritmo de hash) e pelo algoritmo de
hash 7bc04acc0d6480af862d22d724c3b049:
7bc04acc0d6480af862d22d724c3b049:126:32771
Cada arquivo que o administrador desejar restringir ou permitir
precisa conter uma regra de hash. Depois que o software é atualizado,
o administrador deve criar uma nova regra de hash para cada
aplicativo, uma vez que os valores de hash dos arquivos executáveis
originais foram sobrescritos. Use as etapas a seguir para aplicar uma
regra de hash em um arquivo executável existente.•
Para aplicar uma regra de hash em um arquivo executável existente:
1.
Na barra de ferramentas Editor de Objetos de Diretiva de Grupo, clique
em Configurações do Windows, Configurações de Segurança, Diretivas de
Restrição de Software e clique com o botão direito do mouse em Regras
Adicionais.
2.
Clique em Nova regra de hash no menu de atalho.
Figura 1
A caixa de diálogo Nova regra de hash
3.
Clique em Procurar para selecionar o arquivo que deseja para hash.
Neste exemplo, o arquivo executável é o Excel.exe. O novo valor de
hash do arquivo aparece na caixa Hash do Arquivo: A versão de
aplicativo aparece na caixa Informações sobre o Arquivo:
4.
Selecione a configuração padrão de nível de segurança desejada para
esta regra. As opções são:•
Não permitido
•
Irrestrito
Regra de Certificado
A regra de certificado especifica um certificado de editor de software
assinado por código. Por exemplo, um administrador pode solicitar
certificados assinados para todos os scripts e controles ActiveX. As
fontes permitidas que obedecem à regra de certificado são:•
Uma autoridade comercial de certificado (CA), tal como a VeriSign.
•
Uma Infra–Estrutura de Chave Pública (PKI) do Microsoft Windows 2000
ou Windows Server 2003.
•
Um certificado assinado automaticamente.
Uma regra de certificado é a forma mais eficiente de identificar
software, uma vez que usa os hashes assinados contidos na assinatura
do arquivo assinado para corresponder arquivos, independentemente do
nome ou local. Para fazer exceções a uma regra de certificado, uma
regra de hash pode ser usada para identificá–los.
Ativando regras de certificado
As regras de certificado não são ativadas por padrão. Use as etapas a
seguir para ativar as regras.•
Para ativar as regras de certificado:
1.
Abra o GPO no Editor de Objeto de Diretiva de Grupo.
2.
Na árvore do console, clique em Opções de Segurança.
3.
No painel de detalhes, clique duas vezes em Configurações do sistema:
Usar Regras de Certificado em Executáveis do Windows para Diretivas de
Restrição de Software.
4.
Clique em Ativado para tornar as regras de certificado disponíveis.
A maioria dos sites comerciais tem seus softwares assinados por código
por um CA comercial. Esses certificados geralmente têm validade de um
a vários anos. Ao usar regras de certificação, observe que os
certificados possuem data de expiração. É possível contatar o editor
do software para obter mais informações sobre o período de validade
dos certificados publicados. Ao receber um certificado de um CA
comercial, ele pode ser exportado para um arquivo para criar uma regra
de certificação. Use as etapas a seguir para exportar um
certificado.•
Para exportar um certificado:
1.
Selecione o editor confiável que emitirá o certificado. Neste exemplo,
o editor de certificado é a Microsoft MSN®.
Figura 2
A caixa de diálogo Aviso de segurança que exibe o editor confiável
2.
Clique na guia Detalhes .
Observação: Copie este certificado em um arquivo e use–o para criar
uma regra de certificado.
Figura 3
A guia detalhes da caixa de diálogo Certificado
3.
A página Assistente para exportação de certificados aparece. Clique em
Avançar para continuar.
Figura 4
A página de boas vindas do Assistente para Exportação de Certificados
4.
Na página Exportar Formato de Arquivo , selecione DER encoded binary X.
509 (.CER) e clique em Avançar para criar o arquivo de certificado com
uma extensão .cer.
Figura 5
A página do Assistente para Exportação de Certificados, Exportar
Formato de Arquivo que exibe o método de codificação selecionado
5.
Na página Arquivo a Exportar , designe um nome descritivo de arquivo
de regra de certificado. O certificado será exportado para o Diretório
de Certificados no Windows XP.
Figura 6
A página do Assistente para Exportação de Certificados, Arquivo a
Exportar que exibe um exemplo de nome de arquivo
6.
A página Concluindo o Assistente de Certificado de Exportação aparece
com uma lista que exibe as definições especificadas do arquivo de
certificado. Revise as configurações e clique em Concluir para
exportar o arquivo.
Figura 7
Página Conclusão do Assistente de Exportação do Certificado exibindo
as definições especificadas
Não é possível criar uma regra de certificado usando este arquivo.
Figura 8
Caixa de diálogo Nova regra de certificado mostrando as configurações
especificadas
Regra de caminho
Uma regra de caminho especifica uma pasta ou caminho completamente
qualificado para um programa. Quando uma regra de caminho especifica
uma pasta, ela faz a correspondência de qualquer programa contido
naquela pasta e suas subpastas. As regras de caminho suportam tanto
caminhos locais como UNC.
O administrador deve definir todos os diretórios para iniciar um
aplicativo específico utilizando a regra de caminho. Por exemplo, se o
administrador criou um atalho na área de trabalho para iniciar um
aplicativo, o usuário precisa ter acesso na regra de caminho tanto ao
arquivo executável como aos caminhos de atalho que executam o
aplicativo. A tentativa de executar o aplicativo usando apenas uma
peça do quebra–cabeça acionará o aviso Software Restrito.
Vários aplicativos usam a variável %ProgramFiles% para instalar
arquivos no disco rígido dos computadores executando o Windows XP
Professional. Se esta variável for configurada para outro diretório ou
uma unidade diferente, alguns aplicativos ainda copiarão arquivos para
o diretório original C:\Arquivos de Programas. Assim sendo, é melhor
deixar as regras de caminho definidas para o local padrão do
diretório.
Usando variáveis de ambiente em regras de caminho
Uma regra de caminho pode ser definida para usar variáveis de
ambiente. Uma vez que as regras de caminho são avaliadas em seu
ambiente cliente, o uso de variáveis de ambiente permite ao
administrador adaptar uma regra a um determinado ambiente de usuário.
Os dois exemplos a seguir mostram as instâncias de aplicação de
variáveis de ambiente em uma regra de caminho.•
"%%UserProfile%corresponde a C:\Documents and Settings\User e todas as
subpastas naquele diretório.
•
"%%ProgramFiles%\Application" corresponde a C:\Arquivos de Programas
\Aplicativo e todas as subpastas naquele diretório.
Observação: As variáveis de ambiente não são protegidas pelas ACLs
(Listas de Controle de Acesso). Há dois tipos de variáveis de
ambiente, Usuário e Sistema. Usuários com permissão para iniciar um
prompt de comando podem redefinir a variável do ambiente Usuários para
um caminho diferente. Apenas usuários no grupo de Administradores
podem alterar a variável do ambiente Sistema.
A Tabela 1 contém uma lista atual das variáveis do ambiente padrão do
Windows XP Professional:
Tabela 1. Variáveis de ambiente padrão para o Windows XP
ProfessionalNome da variável Descrição
ALLUSERSPROFILE
Uma variável local que volta para o local de perfil All Users.
APPDATA
Uma variável local que apresenta o local padrão onde os aplicativos
armazenam dados.
CD
Uma variável local que retorna a seqüência de caracteres da pasta
atual.
CMDCMDLINE
Uma variável local que retorna a linha de comando exata, usada para
iniciar o programa Cmd.exe atual.
CMDEXTVERSION
Uma variável de sistema que retorna o número de versão das extensões
do processador de comandos.
COMPUTERNAME
Uma variável de sistema que retorna o nome do computador.
COMSPEC
Uma variável de sistema que retorna o caminho exato para o executável
da shell de comando.
DATE
Uma variável de sistema que retorna a data atual. Esta variável usa o
mesmo formato que o comando date /t. O programa Cmd.exe gera esta
variável. Para mais informações, veja o comando Date.
ERRORLEVEL
Uma variável de sistema que retorna o código de erro do comando mais
recentemente usado. Em geral, um valor não–0 indica um erro.
HOMEDRIVE
Uma variável de sistema que retorna a letra da unidade da estação de
trabalho da pasta base do usuário. Esta variável é configurada de
acordo com o valor da pasta base especificada em Usuários e grupos
locais.
HOMEPATH
Uma variável de sistema que retorna o caminho completo da pasta base
do usuário. Esta variável é configurada de acordo com o valor da pasta
base especificada em Usuários e grupos locais.
HOMESHARE
Uma variável de sistema que retorna o caminho de rede para a pasta
base compartilhada do usuário. Esta variável é configurada de acordo
com o valor da pasta base especificada em Usuários e grupos locais.
LOGONSEVER
Uma variável local que retorna o nome do controlador de domínio que
validou a sessão de logon atual.
NUMBER_OF_PROCESSORS
Uma variável de sistema que especifica o número de processadores
instalados no computador.
OS
Uma variável de sistema que retorna o nome do sistema operacional. O
Windows XP Professional exibe o sistema operacional como Microsoft
Windows NT®.
PATH
Uma variável de sistema que especifica o caminho de pesquisa dos
arquivos executáveis.
PATHEXT
Uma variável de sistema que retorna uma lista das extensões do arquivo
que o sistema operacional considera executável.
PROCESSOR_ARCHITECTURE
Uma variável de sistema que retorna a arquitetura de chip do
processador. Valores: x86, IA64.
PROCESSOR_IDENTIFIER
Uma variável de sistema que retorna uma descrição do computador.
PROCESSOR_LEVEL
Uma variável de sistema que retorna o número de modelo do processador
do computador.
PROCESSOR_REVISION
Uma variável de sistema que retorna o número de revisão do
processador.
PROMPT
Uma variável local que retorna as configurações do prompt de comando
do intérprete atual. Gerado pelo Cmd.exe.
RANDOM
Uma variável de sistema que retorna um número decimal aleatório entre
0 e 32767. Gerado pelo programa Cmd.exe.
SYSTEMDRIVE
Uma variável de sistema que retorna a unidade que contém a pasta raiz
do Windows (por exemplo, a raiz do sistema).
SYSTEMROOT
Uma variável de sistema que retorna o local da pasta raiz do Windows.
TEMP ou TMP
Uma variável de sistema e usuário que retorna as pastas temporárias
padrão para aplicativos disponíveis aos usuários que fizeram logon no
momento. Alguns aplicativos requerem TEMP e outros requerem TMP.
TIME
Uma variável de sistema que retorna a hora atual. Esta variável usa o
mesmo formato que o comando date /t. Gerado pelo Cmd.exe. Para mais
informações, veja o comando Time.
USERDOMAIN
Uma variável local que retorna o nome de domínio que contém a conta de
usuário.
USERNAME
Uma variável local que retorna o nome de usuário que fez o logon
atualmente.
USERPROFILE
Uma variável local que retorna o local do perfil do usuário atual.
WINDIR
Uma variável de sistema que retorna o local da pasta do sistema
operacional.
Usando caracteres curinga em regras de caminho
Uma regra de caminho pode incorporar os caracteres curinga "?" e "*".
Os exemplos a seguir mostram caracteres curinga aplicados em regras de
caminho diferentes:•
"\\DC ? ??\login$" matches \\DC ? 01\login$, \\DC ? 02\login$, e assim
por diante.
•
"*\Windows" corresponde a C:\Windows, D:\Windows, E:\Windows e todas
as subpastas sob cada pasta.
•
"C:\win*" corresponde a C:\winnt, C:\windows, C:\windir e todas as
subpastas sob cada pasta.
•
"*.vbs" corresponde a qualquer aplicativo que tenha essa extensão no
Windows XP Professional.
•
"C:\Application Files\*.*" corresponde a todos os arquivos de
aplicativos na subpasta específica.
Regras de caminho de registro
Muitos aplicativos armazenam caminhos para suas pastas de instalação
ou pastas de aplicativos no registro do Windows. Alguns aplicativos
podem ser instalados em qualquer lugar do sistema de arquivos. Para
localizá–los, é preciso criar uma regra de caminho para procurar por
estas chaves de registro.
Estes locais podem não ser facilmente identificados usando caminhos de
pastas específicos, como C:\Program Files\Microsoft Platform SDK ou
variáveis de ambiente, tais como %ProgramFiles%\Microsoft Platform
SDK. Entretanto, se o programa armazena suas pastas de aplicativos no
registro, é possível criar uma regra de caminho que usará o valor
armazenado no registro, como:
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PlatformSDK\Directories\Install
Dir%.
Este tipo de regra de caminho, chamado regra de caminho de registro,
está formatado da seguinte maneira:
%<Registry Hive>\<Registry Key Name>\<Value Name>%
Observação: Qualquer sufixo de regra de caminho de registro não deve
conter um caractere \ logo após o sinal % na regra. O nome da seção de
registro deve ser escrito por extenso; abreviações não funcionarão.
Quando a regra padrão é definida como Não Permitido, há quatro
caminhos de registro que são configurados para que o sistema
operacional tenha acesso aos arquivos de sistema para operação normal.
Estas regras de caminho de registro são criadas como uma proteção para
que você não se bloqueie, nem aos outros usuários, fora do sistema.
Estas regras de registro são definidas como Irrestrito. Apenas os
usuários avançados devem considerar modificar ou excluir essas regras.
As configurações da regra de caminho de registro são:•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SystemRoot%
•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SystemRoot%\*.exe
•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
\SystemRoot%\System32\*.exe
•
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ProgramFilesDir%
Precedência da regra de caminho
Quando houver várias regras de caminho correspondentes, a regra de
correspondência mais específica precede todas as outras. Os seguintes
conjuntos de caminhos estão ordenados desde a precedência mais alta
(correspondência mais específica) até a precedência menos específica
(correspondência mais genérica):•
Drive:\Folder1\Folder2\FileName.Extension
•
Drive:\Folder1\Folder2\*.Extension
•
*.Extension
•
Drive:\Folder1\Folder2\
•
Drive:\Folder1\
Regra de zona
É possível usar uma regra de zona para identificar um software obtido
de qualquer uma das seguintes zonas definidas no Internet Explorer:•
Internet
•
Intranet
•
Sites Restritos
•
Sites Confiáveis
•
Meu Computador
A versão atual da regra de zona de Internet se aplica somente aos
pacotes do Windows Installer (*.msi). Esta regra não se aplica ao
software obtido por meio do Internet Explorer. Todos os outros tipos
de arquivos afetados pelas regras de zona estão relacionados na tabela
de tipos de arquivo designados que aparecem depois neste módulo. Há
uma lista de tipos de arquivo designados que é compartilhada por todas
as regras de zona.
Recomendações de regras de caminho
Use a tabela a seguir para determinar qual Regra de Caminho é mais
adequada para os usuários do aplicativo e ambiente.
Tabela 2. Como determinar a melhor regra de caminho para um aplicativo
Tarefa Regra recomendada
Permitir ou não uma versão específica de programa.
Regra de hash
Navegue até o arquivo para criar um hash.
Identifica um programa instalado sempre no mesmo local.
Regra de caminho com variáveis de ambiente
%ProgramFiles%\Internet Explorer\iexplore.exe
Identificar um programa que possa ser instalado em qualquer local nas
máquinas do cliente.
Regra de caminho de registro/lineBreak>%HKEY_LOCAL_MACHINE\SOFTWARE\
ComputerAssociates\InoculateIT\6.0\Path\HOME%
Identificar um conjunto de scripts de um servidor central.
Regra de caminho
\\SERVER_NAME\Share
Identificar um conjunto de scripts em um conjunto de servidores. Por
exemplo, DC01, DC02 e DC03.
Regra de caminho com caractere curinga
\\DC??\Share
Não permitir todos os arquivos .vbs, exceto os de um diretório script
de login.
Regra de caminho com curinga
*.VBS definida para Não permitido
\\LOGIN_SRV\Share\*.VBS configurado para Irrestrito
Não permite um arquivo instalado por um vírus que é sempre acionado
flcss.exe.
Regra de caminho
flcss.exe, definida paraNão permitido
Identificar um conjunto de scripts que pode ser executado em qualquer
local.
Regra de certificado
Usa um certificado para assinar digitalmente os scripts.
Permite que o software seja instalado a partir de sites confiáveis da
zona da Internet.
Regra de zona
Configura Sites confiáveis como Irrestritos.
Regras de precedência das diretivas de restrição de software
As regras são avaliadas em uma ordem específica. As regras que
correspondem mais especificamente a um programa prevalecem sobre as
regras com correspondência mais genérica para o mesmo programa. Se
duas regras idênticas com níveis de segurança diferentes são
estabelecidas para o mesmo software, a regra com o nível mais alto de
segurança prevalece. Por exemplo, se duas regras de hash - uma com o
nível de segurança Não Permitido e outra com o nível de segurança
Irrestrito - são aplicadas ao mesmo programa de software, a regra com
o nível de segurança Não Permitido prevalece e o programa não será
executado. A lista a seguir define a ordem de precedência para as
regras em termos de regra mais específica até a menos específica:
1.
Regra de Hash
2.
Regra de Certificado
3.
Regra de caminho
4.
Regra de zona
5.
Regra padrão
Opções de diretivas de restrição de software
Esta seção discute as várias opções de aplicação que influenciam o
comportamento da diretiva de restrição de software. Estas opções
alteram o escopo de comportamento de aplicação das configurações de
confiança do Microsoft Authenticode® para arquivos com assinatura
digital. Há duas opções de aplicação: Verificação da DLL (Biblioteca
de Vínculo Dinâmico) e Ignorar Administradores.
Verificação de DLL
A maioria dos programas consiste em um arquivo executável e várias
DLLs de suporte. As regras de diretivas de restrição de software por
padrão não são aplicadas em DLLs. Esta é a opção recomendada para a
maioria dos clientes pelas três razões a seguir:•
Não permitir os principais arquivos executáveis impede a execução do
programa, assim, não há necessidade em desativar as DLLs clientes.
•
A verificação de DLL degrada o desempenho do sistema porque ela
verifica todas as bibliotecas vinculadas ao aplicativo. Por exemplo,
se um usuário executa 10 programas durante uma sessão de logon, a
diretiva de restrição de software avalia cada programa. Com a
verificação de DLL ativada, a diretiva de restrição de software avalia
os carregamentos de DLL de todos os programa. Se cada programa usa 20
DLLs, isso resulta em 10 verificações de programas executáveis mais
200 verificações de DLL, desta forma, a diretiva de restrição de
software deve realizar 210 avaliações.
Um programa como o Internet Explorer consiste em um arquivo
executável, iexplore.exe e várias DLLs de suporte.
•
A definição do nível de segurança padrão em Não Permitido obriga o
sistema a não apenas identificar o arquivo executável principal antes
de permitir sua execução, como todas as DLLs clientes dos
arquivos .exe que sobrecarregam o sistema.
Verificação de DLL é a opção recomendada caso deseje a garantia mais
alta possível para os programas em execução em seu ambiente. Isso se
deve ao fato de que, enquanto alguns vírus visam primariamente
arquivos executáveis de alvo, outros vírus visam DLLs de alvo.
Para assegurar que todos os programas não contenham vírus, um conjunto
de regras de hash pode ser usado, identificando o arquivo executável e
todas as suas DLLs.•
Para desativar a opção de verificação de DLL:
Na caixa de diálogo Propriedades de aplicação, selecione Todos os
arquivos de software, exceto bibliotecas (como DLLs).
Figura 9
A caixa de diálogo Propriedades de aplicação, mostrando as opções de
aplicação de usuário e arquivo
Ignorar administradores
Um administrador pode querer não permitir a execução de programas para
a maioria dos usuários, mas permitir, ao mesmo tempo, que os
administradores tenham autorização para executar todos os programas.
Por exemplo, um administrador pode ter um computador compartilhado ao
qual vários usuários se conectam para usar o Terminal Server. O
administrador pode querer que os usuários executem apenas aplicativos
específicos no computador, mas que os membros no grupo local de
Administradores possam executar qualquer programa. Para tal, use a
opção de aplicação Ignorar Administradores.
Se a diretiva de restrição de software foi criada em um GPO vinculado
a um objeto no Active Directory, em vez de usar a opção Ignorar
Administradores, a Microsoft recomenda rejeitar a permissão Aplicar
Diretiva de Grupo no GPO para o grupo de Administradores. Isso consome
menos tráfego de rede porque as configurações do GPO que não se
aplicam aos administradores não são baixadas.
Observação: A diretiva de restrição de software em objetos de
diretivas locais de segurança não pode filtrar grupos de usuários.
Neste caso, use a opção Ignorar Administradores.•
Para ativar a opção Ignorar Administradores:
Na caixa de diálogo Propriedades de aplicação na Figura 9 acima,
selecione Todos os usuários, exceto administradores locais.
Definição de executáveis
A caixa de diálogo Propriedades de tipos de arquivo designados na
Figura 10 relaciona os tipos de arquivos regidos pela diretiva de
restrição de software. Os tipos de arquivo designados são considerados
arquivos executáveis. Por exemplo, um arquivo de proteção de tela
(.scr) é considerado um arquivo executável porque ele é carregado como
um programa ao ser clicado duas vezes no Windows Explorer.
As regras de diretivas de restrição de software aplicam–se somente aos
tipos de arquivos relacionados na caixa de diálogo Propriedades de
tipos de arquivo designados. Se seu ambiente usa um tipo de arquivo
para o qual deseja aplicar as regras, adicione–o à lista. Por exemplo,
para arquivos de script Perl, é possível optar por adicionar o tipo de
arquivo .pl e outros tipos associados ao mecanismo Perl na lista Tipos
de arquivo designados: na guia Geral da caixa de diálogo Propriedades
de tipos de arquivo designados.
Figura 10
Caixa de diálogo Propriedades dos Tipos de Arquivo Designados
Para este exemplo, o tipo de arquivo .mdb é removido e .ocx é
acrescentado. A tabela 3 relaciona os tipos de arquivo designados.
Tabela 3. Tipos de Arquivos DesignadosExtensão de arquivo Descrição do
arquivo
.ade
Microsoft Access Project Extension
.adp
Microsoft Access Project
.bas
Visual Basic Class Module
.bat
Arquivo em Lote
.chm
Arquivo HTML de Ajuda Compilado
.cmd
Windows NT Command Script
.com
Aplicativo Microsoft MS–DOS(r)
.cpl
Extensão do Painel de Controle
.crt
Certificado de Segurança
.exe
Aplicativo
.hlp
Arquivo de Ajuda do Windows
.hta
Aplicativos de HTML
.inf
Arquivo de Informações sobre Instalação
.ins
Definições de Comunicação por Internet
.isp
Definições de Comunicação por Internet
.js
Arquivo JScript
.jse
Arquivo Script Codificado JScript
.lnk
Atalho
.mde
Microsoft Access MDE Database
.msc
Microsoft Common Console Document
.msi
Pacote do Windows Installer
.msp
Patch do Windows Installer
.mst
Arquivo de Origem do Visual Test
.ocx
Controles do Microsoft ActiveX®
.pcd
Imagem de Photo CD
.pif
Atalho para o Programa MS–DOS
.reg
Entradas de Registro
.scr
Protetor de Tela
.sct
Componente de Script do Windows
.shs
Objeto de Recorte do Shell
.url
Atalho para Internet (Uniform Resource Locator)
.vb
Arquivo VB
.vbe
Arquivo Script Codificado VBScript
.vbs
Arquivo Script VBScript
.wsc
Componente de Script do Windows
.wsf
Arquivo Script do Windows
.wsh
Arquivo de Definições de host de script do Windows
Problemas conhecidos
Se uma diretiva de restrição de software está configurada para
restringir programas de 16 bits, tais como command.com ou edit.com, os
usuários podem iniciar o programa mesmo que não tenham permissão para
executá–lo. A solução é instalar o Windows XP Professional Service
Pack 1 nos computadores clientes em seu ambiente.
A diretiva de restrição de software não impede a execução do código
fora do subsistema Microsoft Win32®. Por exemplo, os usuários podem
executar o mesmo comando no subsistema POSIX (Portable Operating
System Interface).
Para impedir que isso aconteça, desative o subsistema POSIX excluindo
o seguinte valor POSIX:
HKLM\System\CurrentControlSet\Control\SessionManager\Subsystems
Editores confiáveis
A caixa de diálogo Propriedades de Editores Confiáveis pode ser usada
para configurar quais usuários podem selecionar editores confiáveis. E
é possível determinar também quais verificações de revogação de
certificados são realizadas antes de confiar em um editor. Com as
regras de certificação ativadas, a diretiva de restrição de software
verificará a lista de revogação de certificados (CRL) para assegurar
que o certificado e assinatura do software são válidos. Isso pode
diminuir o desempenho ao iniciar programas assinados. As opções na
guia Geral da caixa de diálogo Propriedades de Editores Confiáveis
mostrada na Figura 11 permite definir as configurações relacionadas a
controles Activex e outros conteúdos assinados.
Figura 11
Caixa de diálogo Propriedades de Editores Confiáveis caixa de diálogo.
A tabela a seguir exibe as opções de editor confiável relacionadas aos
controles ActiveX e outro conteúdo assinado.
Tabela 4. Tarefas e Configurações de Editores ConfiáveisNome de
configuração Tarefa
Administradores de empresa
Use para permitir que apenas administradores de empresas tomem
decisões relacionadas a conteúdo ativo assinado.
Administradores de computador local
Use para permitir que administradores de máquinas Locais tomem todas
as decisões sobre o conteúdo ativo assinado.
Usuários finais
Use para permitir que os usuários tomem decisões relacionadas a
conteúdo ativo assinado.
Editor:
Use para assegurar que o certificado usado pelo editor de software não
foi revogado.
Carimbo de data/hora
Use para assegurar que o certificado usado pela empresa para carimbar
data/hora no conteúdo ativo não tenha sido revogado.
Design e implantação das diretivas de restrição de software
Esta seção aborda a administração de diretivas de restrição de
software usando snap–ins de Diretiva de Grupo; aspectos a considerar
ao editar uma diretiva pela primeira vez e como aplicar diretivas de
restrição de software para um grupo de usuários. Também são discutidas
várias questões a serem consideradas durante a implantação de
diretivas de restrição de software.
Integração com diretivas de grupo
As diretivas de restrição de software podem ser administradas usando
os snap–ins de Diretiva de Grupo para um conjunto de computadores
clientes, bem como para todos os usuários que acessam os computadores
clientes. A diretiva é aplicada a OU de computadores desktop e laptop
definidos neste guia.
Domínio
O administrador deve criar um GPO diferente para as diretivas de
restrição de software. Esta é uma maneira de remover a Diretiva de
Grupo sem interferir nas outras diretivas aplicadas ao objeto.
Local
Uma diretiva local deve ser configurada para computadores clientes
autônomos em seu ambiente. Cuidado, pois pode ocorrer um conflito
depois de configurar e duplicar a diretiva local.
Designando uma diretiva
Esta seção descreve as etapas instrutivas ao projetar e implantar
diretivas de restrição de software. Para projetar diretivas é
necessário tomar várias decisões, detalhadas na tabela a seguir.
Tabela 5. Decisões importantes relativas ao projeto de diretivas a
serem consideradasDecisão Fatores a considerar
Laptops ou estações de trabalho
Investigar as necessidades de usuários móveis em seu ambiente para
determinar se os laptops requerem uma diretiva diferente daquela
aplicada aos computadores desktop. Laptops tendem a precisar de mais
flexibilidade do que os computadores desktop.
Compartilhamentos de servidor, scripts de logon e unidades base.
É preciso definir uma regra de caminho para todos os aplicativos,
partindo de um compartilhamento de servidor ou pasta base. Arquivos de
scripts de logon podem ser adicionados à regra de caminho. Se um
script chama outro script, adicione também os locais dos executáveis à
regra de caminho.
GPO ou diretiva de segurança local
Neste guia, o GPO é usado para este projeto, porém, deve–se considerar
os efeitos que a diretiva local terá em seu projeto.
Diretiva de usuário ou cliente
Este projeto aplica–se a todas as configurações relacionadas a
cliente.
Nível de segurança padrão
Recomenda–se definir a configuração padrão como Não Permitido e,
então, configurar o restante da diretiva conforme necessário. A
configuração padrão Irrestrito também está disponível.
Regras adicionais
Será preciso aplicar, conforme necessário, regras de caminho de
sistema operacional adicionais ao usar a diretiva padrão Não
Permitido. Na configuração Não Permitido, as quatro regras são criadas
automaticamente.
Opções de diretiva
Se for usar a diretiva de segurança local, e não desejar que ela seja
aplicada aos administradores dos clientes em seu ambiente, selecione a
opção de aplicação de diretiva Ignorar Administradores. Se desejar
verificar DLLs e também arquivos executáveis e scripts, selecione a
opção de aplicação de diretiva Verificação de DLL.
Caso deseje estabelecer regras em tipos de arquivos que não estão
incluídos nos tipos de arquivo designados, utilize a opção para
adicioná–los conforme o necessário por meio da caixa de diálogo
Propriedades de tipos de arquivo designados.
Caso deseje modificar a autonomia de tomada de decisões sobre baixar
controles ActiveX e outros conteúdos assinados, selecione a caixa de
diálogo Editor na guia Geral da caixa de diálogo Propriedades de
editores confiáveis.
Aplicar a diretiva a um site, domínio ou OU.
A diretiva ficará na OU em que se encontram os computadores desktop e
laptop.
Melhores práticas
Recomendamos a criação de um GPO separado para diretivas de restrição
de software, caso precise desativar a diretiva em uma emergência, ela
não causará impacto no resto do domínio ou diretiva local.
Se uma estação de trabalho com diretiva de restrição de software for
bloqueada acidentalmente durante a fase de projeto de seu OU, reinicie
o computador em Modo de segurança, faça logon como administrador local
e, em seguida, modifique a diretiva. A diretiva de restrição de
software não é aplicada quando o Windows é inicializado em Modo de
segurança. Após iniciar o computador em Modo de segurança, execute o
gpupdate.exe e reinicie.
Para maior segurança, use as ACLs (Listas de Controle) juntamente com
a diretiva de restrição de software. Os usuários podem tentar burlar a
diretiva de restrição de software renomeando ou movendo arquivos não
permitidos ou ainda sobrescrevendo arquivos irrestritos. Use as listas
de controle para impedir que os usuários possam fazer esse tipo de
coisa.
Os scripts de logon geralmente localizam–se no Sysvol em um
controlador de domínio ou um servidor centralizado. Freqüentemente, o
controlador de domínio pode ser modificado a cada logon. Se sua regra
padrão estiver definida como Não Permitido, certifique–se de criar
regras que identifiquem os locais de seus scripts de logon. No caso
dos servidores de logon terem nomes semelhantes, use caracteres
curinga para localizá–los ou use um nome de script de logon com
configurações irrestritas.
Observação: Teste as novas configurações de diretiva de restrição de
software em ambientes de teste antes de aplicá–las em seu domínio.
Configurações novas de diretiva podem atuar de forma diferente do
esperado. Os testes reduzirão as chances de haver um problema ao
implantar as configurações de diretiva de restrição de software em sua
rede.
Atravessando o processo
Use as etapas a seguir para guiá–lo pelo processo de projetar uma
diretiva de restrição de software e aplicá–la como um objeto de
diretiva de grupo nos computadores laptop e desktop de seu ambiente.
Etapa 1. Criar um GPO para a OU
Localizar a OU criada para os computadores desktop e laptop de seu
ambiente. Se estiver trabalhando em um computador cliente autônomo, as
configurações localizam–se na Diretiva do Computador Local. Nesta
diretiva, clique em Propriedades e crie um novo GPO. Nomeie a diretiva
de acordo com a convenção de nomes da sua empresa. Lembre–se, esta
diretiva só será usada para aplicar as restrições de software.
Etapa 2. Definir a diretiva de restrição de software
Selecione o GPO e clique em Editar. Navegue pela árvore até localizar
as Configurações do Windows\Configurações de Segurança\Diretiva de
Restrição de Software. Na primeira edição da diretiva, a seguinte
mensagem será exibida:
Não há Diretivas de Segurança de Software definidas.
Esta mensagem avisa que ao criar uma diretiva serão definidos valores
padrão. Esses valores padrão podem anular as configurações de outras
diretivas de restrição de software. Já que nenhuma restrição de
software foi definida, use as configurações padrão para começar.
Clique com o botão direito do mouse no menu Ações e selecione Novas
Diretivas de Restrição de Software.
Etapa 3. Configurar as regras de caminho
Uma vez determinado quais aplicativos e scripts as estações de
trabalho terão, você pode configurar as regras de caminho. Alguns
programas iniciam outros programas para executar tarefas. Os
aplicativos de software em seu ambiente podem depender de um ou mais
programas de suporte. Um inventário e uma documentação de instalação
no software atualmente instalado é muito útil para rastrear regras de
caminho. Um exemplo de projeto de estação de trabalho pode incluir as
seguintes diretrizes:•
Aplicativos = *\Program Files
•
Aplicativos de Grupo Compartilhado = g:\Group Applications
•
Script de Logon = Logon.bat
•
Atalhos de área de trabalho = *.lnk
•
Script VB Mal-intencionado =*.vbs
Etapa 4. Definir as opções de diretiva
As opções a seguir inclui as configurações recomendadas para este
projeto. Estas opções alteram o escopo do comportamento da aplicação
das configurações de confiança do Microsoft Authenticode para arquivos
com assinatura digital.
Aplicação — se o computador for parte de um domínio, certificar–se de
que o grupo de Admins. do Domínio é automaticamente adicionado ao
grupo de Administradores.
Aplicar aos usuários — inclui todos os usuários exceto administradores
locais. O uso desta configuração prolonga a inicialização dos
aplicativos. Para compensar, o projeto define a diretiva para não
verificar DLLs.
Aplicar aos arquivos - inclui todos os arquivos de software exceto
bibliotecas (tais como DLLs). O uso desta configuração prolonga a
inicialização dos aplicativos. Para compensar, o projeto define a
diretiva para não verificar DLLs.
Tipos de arquivo designados — para o projeto do GPO definido neste
guia, nenhum tipo adicional de arquivo foi adicionado à lista. Na
verdade, é possível adicionar extensões de tipos de arquivo de
aplicativo, conforme necessário, para submetê–los às mesmas regras.
Editores confiáveis —para o projeto de GPO definido neste guia, o
grupo Administradores foi ativado e a opção de Propriedades de
editores confiáveis: Administradores do Computador Local foi
selecionada.
Antes de confiar em um editor, durante a fase do projeto de criação do
GPO, selecione a opção Verificar: Editor para assegurar que a diretiva
validará os certificados.
Etapa 5. Aplicar as configurações padrão
Recomenda–se configurar a diretiva para a configuração padrão
Irrestrito. Isso garante que a diretiva esteja completamente
configurada antes de aplicar as restrições de software. Depois de
revisar as configurações de diretiva, redefina a configuração como Não
Permitido.
Etapa 6. Testar a diretiva
Se o computador fizer parte de um domínio, mova o computador para o
recipiente OU em que a diretiva é aplicada. Reinicie o computador de
teste e faça logon. Os planejamentos de teste devem possuir instruções
sobre como cada aplicativo deve funcionar quando a diretiva é
aplicada. Execute os aplicativos para garantir que eles funcionarão
perfeitamente e que todos os outros recursos estejam acessíveis. Após
validar a funcionalidade dos aplicativos, simule um ataque nos
aplicativos para assegurar que a diretiva não tenha nenhuma
vulnerabilidade de segurança.
Se for um computador autônomo, faça logon no computador de teste e
siga o planejamento de teste. Depois de ter validado os aplicativos,
inicie o ataque simulado novamente para verificar se a diretiva não
possui vulnerabilidades de segurança.
Implantação de diretivas de restrição de software
Depois de testar a diretiva extensivamente, aplique–a à OU de
computadores desktop ou laptop no ambiente. Se for um computador
autônomo, aplique–a nas Configurações de Computador Local no cliente.
Abra o snap–in MCC Computadores e Usuários e navegue pela pasta até
chegar no recipiente da OU de computadores desktop ou laptop. Depois,
crie um novo GPO usando o Editor de Objeto de Diretiva de Grupo.
Editar as propriedades e aplicar as configurações adequadas com base
nas tabelas que seguem a Diretiva de Restrição de Software em
Configurações do Windows\Configurações de Segurança.
Tabela 6. Níveis de SegurançaRegra padrão para a interface de usuário
Descrição Configuração
Não Permitido
O software não poderá ser executado, independentemente dos direitos de
acesso do usuário.
Use esta regra padrão
Tabela 7. Regras adicionaisRegra de caminho Configuração
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\SystemRoot%
Irrestrito
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\SystemRoot%\*.exe
Irrestrito
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\SystemRoot%\System32\*.exe
Irrestrito
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version
\ProgramFilesDir%
Irrestrito
*.lnk
Irrestrito
*.vbs
Não Permitido
G:\Aplicações de Grupo
Irrestrito
Logon.bat ou script de Logon
Irrestrito
*\Arquivo de Programas
Irrestrito
Tabela 8. Aplicação em arquivos e usuários Opções de aplicação
Recomendação
Aplicar diretivas de restrição de software em:
Todos os arquivos, exceto DLLs.
Aplicar diretivas de restrição de software nos seguintes usuários:
Todos os usuários, exceto administradores locais.
Tabela 9. Tipos de Arquivos DesignadosTipos de arquivo designados
Recomendação
Propriedades dos tipos de arquivos designados
Remover .mdb e adicionar .ocx.
Tabela 10. Editores confiáveisEditores confiáveis Recomendação
Permitir os seguintes grupos de usuários a selecionar editores
confiáveis:
Administradores de Computador Local
Determine se o certificado foi revogado.
Selecionar a opção Editor.
Resumo
As diretivas de restrição de software fornecem aos administradores um
mecanismo acionado por diretiva para identificar o software em
computadores executando o Windows XP Professional em um domínio. Você
pode criar diretivas para bloquear scripts maliciosos, bloquear outros
computadores em seu ambiente ou impedir a execução de aplicativos. Em
uma empresa, recomenda–se administrar as diretivas de restrição de
software usando Objetos de Diretiva de Software (GPOs) e moldar cada
diretiva criada para atender às necessidades de diferentes grupos de
usuários e computadores em sua empresa. A Microsoft recomenda não
tentar administrar grupos de usuários em um ambiente autônomo. Quando
aplicada corretamente, as diretivas de restrição de software
melhorarão a integridade e a gerenciabilidade, e reduzirão custos na
posse e manutenção de sistemas operacionais nos computadores da
empresa.
Mais informações
As fontes de informações a seguir estavam disponíveis em tópicos
relacionados a diretivas de restrição de software para o Windows XP
Professional e Windows Server 2003 no momento em que o Windows Server
2003 foi lançado para o público.
Para obter mais informações sobre diretivas de restrição de software,
consulte "Using Software Restriction Policies to Protect Against
Unauthorized Software", em: http://www.microsoft.com/technet/prodtechnol/winxppro/maintain/rstrplcy.mspx.
Para mais informações sobre serviços de segurança , consulte
"Technical Overview of Windows Server 2003 Security Services", em:
http://www.microsoft.com/windows.netserver/techinfo/overview/security.mspx.
Para obter mais informações sobre Diretiva de Grupo, consulte "Windows
2000 Group Policy," at: http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp.
Securing Mobile Computers with Windows XP Professional," "Windows 2000
Group Policy," at: http://www.microsoft.com/technet/prodtechnol/winxppro/evaluate/mblsecxp.mspx.
Início da página
caio.a...@gmail.com escreveu:
Caio Alho
Feb 9, 2009, 6:02:54 PM2/9/09
to seguranc...@googlegroups.com
Aplicando este tipo de política para restringir os programas de conexão do modem, poderia acabar com conexão desautorizada...
interessante.
só falta testar..
2009/2/9 <marc...@gmail.com>
Marcel Carvalho de Siqueira
Feb 10, 2009, 1:09:03 PM2/10/09
to seguranc...@googlegroups.com
Rodney Antunes
Feb 11, 2009, 7:12:42 AM2/11/09
to seguranc...@googlegroups.com
Implantando o 802.1x em empresas grandes
Se você estiver usando uma rede com base no Windows 2000 com pelo menos um controlador de domínio, é possível configurar uma infra-estrutura 802.1xmais flexível e poderosa, aproveitando o Active Directory e o suporte do Windows 2000 para diretivas de acesso remoto(sites em inglês) A primeira etapa é obter certificados digitais para seus clientes. Felizmente, é possível obter facilmente esses certificados criando uma diretiva de grupo(site em inglês) que solicita automaticamente certificados de máquina para os computadores em seu domínio. Depois disso, é possível implantar o restante da infra-estrutura solicitada (incluindo IAS), configurar seus APs sem fio para usarem RADIUS e comunicarem-se a servidores IAS e relaxar, seguro de que o tráfego da WLAN está adequadamente protegido.
Caio Alho
Feb 12, 2009, 6:50:51 AM2/12/09
to seguranc...@googlegroups.com
Rodney essa solução é para autenticação da rede e não do computador
2009/2/11 Rodney Antunes <rodney...@gmail.com>
Reply all
Reply to author
Forward
0 new messages