Passo-a-passo - Protegendo e gerenciando as estações de trabalho sem softwares adicionais
Quem não tem problemas com o suporte das estações de trabalho que atire o primeiro mouse.
Brincadeiras à parte, a manutenção e suporte das estações de trabalho é uma das mais custosas tarefas na maioria das empresas. Muitos problemas podem ser resolvidos ou minimizados apenas realizando algumas configurações adicionais no servidor.
Com este passo-a-passo você vai saber:
- Limitar ou bloquear o acesso ao Painel de Controle para os usuários.
- Configurar os “Meus Documentos” e configurações pessoais para um ambiente centralizado.
- Bloquear o acesso aos drivers (A:, C:, D:) ou mesmo portas USB.
- Limitar os programas que o usuário pode executar, minimizando problemas com segurança.
Mãos à obra.
Uma breve teoria
Desde a versão do Windows Server 2000 existe um serviço chamado Active Directory ou mais comumente chamado de AD.
O AD é utilizado como o controlador de domínio (autenticação de usuários) mas ele é muito mais que isto. É também um serviço de diretório e gestão de políticas (Group Policy ou GPO) onde se pode controlar e gerenciar todos os equipamentos (impressoras, servidores e estações de trabalho) de sua empresa de maneira centralizada (apenas para computadores com Windows 2000/XP/Vista ou superior). Veja aqui como instalar o AD.
Se você não tem um ambiente disponível para testes, use gratuitamente os nossos laboratórios virtuais em https://www.microsoft.com/virtuallabs (recomendo acessar o Windows 2003 Server e depois o tópico Group Policy).
Passo-a-passo
Este passo-a-passo não tem a intenção de explorar todos os pontos do AD e GPO, apenas mostrar que com poucos minutos de configuração você já consegue minimizar muitos dos problemas da empresa em relação a padronização das configurações das estações de trabalho e aumento de segurança.
O Active Directory é acessado através do menu Start / Control Panel / Administrative Tools / Active Directory Users and Computers (também chamado de ADUC)
Aqui toda a estrutura de sua empresa pode ser criada, dividindo os usuários por processos, departamentos ou localidades, facilitando a aplicação das políticas da empresa, estas divisões chama-se Unidades Organizacionais (Organizational Unit ou OU). Por exemplo usuários da área de Marketing possuem acesso ao drive A: (disquete) pois existe uma aplicação específica que necessita disto.
Com o ADUC aberto, selecione a OU desejada e clique com o botão direito, neste exemplo selecionei a OU Sales and Marketing.
Clique com o botão direito e selecione Properties. Selecione a aba Group Policy.
Para ambientes sem o snap-in Group Policy Management a criação da GPO é diretamente nesta tela (usuários de Windows 2000 Server). Para usuários de Windows 2003 vamos clicar em Open para abrir o Group Policy Management.
Com o botão direito sobre a OU desejada, selecione Create and Link a GPO here.
Especifique um nome, neste caso coloquei “Config de desktop”. Clique com o botão direito sobre esta GPO e selecione Edit (conforme figura abaixo).
Abre-se então a tela para edição dos objetos da GPO (esta tela é a mesma para o ambiente Windows 2000 Server ou Windows 2003 Server).
Aqui estão listadas todas as GPO para serem aplicadas no nível de máquina (Computer Configuration) ou no nível de usuário (User Configuration).
O uso de um ou de outro irá variar conforme suas necessidades. A idéia básica aqui é entender quando uma limitação deve ser forçosamente aplicado à um computador ou a um usuário. Por exemplo a empresa possui um totem onde os usuários fazem acesso pontual das informações da empresa. Talvez seja necessário aplicar políticas mais restritivas neste computador, mesmo que o usuário tenha muitos privilégios ou necessite especificamente de um software instado.
Vamos à nossa configuração.
Em User Configuration acesse Administrative Templates / Control Panel e selecione Prohibit access to the Control Panel. Veja uma descrição da política é mostrada à esqueda do painel.
De um duplo clique sobre o objeto Prohibit access to the Control Panel e habilite-o.
Agora todos os usuários desta OU não possuem mais o acesso ao Painel de Controle. E o que é melhor, o Painel de Controle não é nem mais visível.
Configuração específicas sobre o Painel de Controle podem ser feitas como por exemplo permitir ou não que o usuário altere as configurações de resolução do vídeo.
Vamos para a próxima. Em User Configuration acesse Windows Settings / Folder Redirection.
Esta política permite não apenas redirecionar a pasta Meus Documentos do usuário para o servidor, mas também todas as configurações de aplicativos, desktop e menu iniciar. O resultado é que em qualquer máquina que este usuário se logar ele terá a mesma experiência como se estivesse em sua própria máquina, minimizando o impacto por exemplo de mudança de computadores ou panes inesperadas.
Vamos para a nossa terceira regra para limitar o acesso aos drives.
Em User Configuration acesse Administrative Templates / Windows Component / Windows Explorer.
Existem duas políticas aqui para esta função que são Hide these specified drives in My Computer e Prevent access to drives from My Computer .
A primeira apenas retira visualmente o drive do Windows Explorer e a segunda não permite que o usuário grave arquivos (o Windows e todos os seus componentes operam normalmente).
Basta então habilitá-las para o drive específico e pronto.
E para a nossa última regra temos a restrição de execução de programas.
Vá em User Configuration acesse Administrative Templates / System e selecione a política Run only allowed specific Windows applications.
Escolha a lista de aplicativos que deseja permitir a execução como por exemplo WINWORD.EXE, NOTEPAD.EXE, CALC.EXE, etc.
Minha sugestão é varrer as políticas disponíveis e aplicá-las em um ambiente de testes, por exemplo uma OU criada especificamente para este fim.
E é isto, um ambiente bem administrado, seguro, com menos impacto no usuário final e menos custos para a área de TI, que pode estar focada em trabalhos focados no negócio da empresa.