Bloquear Programas via GPO

Às vezes algumas empresas tem a necessidade de bloquear determinados programas em sua rede e quer fazer isso de forma prática e eficiente, o Windows Server 2008 R2, por exemplo, possui um poderoso recurso chamado “APPLocker”, que você habilita através de GPO no seu domínio, porém apenas o Windows 7 Ultimate e Windows 7 Enterprise suportam esta tecnologia e podem assim ter suas aplicações bloqueadas por ela.

Para fazer o bloqueio de aplicações em versões anteriores do Windows como o Windows Vista, Windows XP e até o Windows 7 Professional, podemos usar o “Software Restriction Policy”, vejamos como funciona.

Primeiro, entramos no console do GPMC.

Podemos criar a GPO para todas as máquinas do domínio, ou para um grupo específico, neste caso irei criar a GPO “Bloqueio de softwares,” somente para as máquinas da OU contabilidade.

Dei a política de GPO o nome de “Bloqueio de Softwares” e agora irei edita-la.

Em seguida vamos em, “Computer Configuration > Policies > Windows Settings > Software Restriction Policy e New Software Restricion Policies”.

Repare que temos 03 níveis de segurança.

Porém iremos mexer somente com duas, a “Disallowed” que impede a execução da aplicação que você definir na política de restrição de software e a “Unrestricted” que permite a execução total da aplicação.

Na pasta “Additional Rules” é o local onde criamos a nossa regra, podemos criar regras por certificado, por hash, zona de rede e por caminho da aplicação, aqui irei mostrar o mais básico que é pelo caminho da aplicação, vejamos.

Vou usar como exemplo o bloqueio do Skype em todos os computadores que fazem parte da OU “Contabilidade”.

Depois dou um OK e executo o comando “gpupdate /force” no controlador de domínio para que a nova política seja aplicada imediatamente.

Vejamos o resultado depois de ligar a estação de trabalho e fazer o logon.

Se quiser liberar novamente, basta ir até a regra e mudar o nível de “Disallowed” para “Unrestricted” ou simplesmente remove a política.

Mapeamento de Impressora (GPO)

Você também pode instalar impressoras de rede nos computadores clientes usando a GPO. Use uma segunda polítca ou a mesma anterior, edite-a, expanda User Configuration, Control Panel Settings e selecione Printers, clique com botão direto e selecione Create, selecione o modelo de impressora e informe seu caminho UNC que no meu exemplo ficou \\DC01\EPSONLX300.

Após GPUPDATE /force ou logoff e logon, e veja o resultado do lado do cliente, como em um passe de mágica a impressora torna-se disponível para seu usuário usá-la imediatamente.

Auditoria Arquivos (ACESSOS)

– Habilite a auditoria de arquivos no Windows para monitorar os eventos relacionados aos usuários, como: acessar, modificar e apagar arquivos e pastas monitorados em sua rede.

A configuração da Auditoria é feita em duas partes:

1) Habilitar a auditoria na pasta que deseja auditar

2) Habilitar a auditoria por Diretiva de Grupo

 

Configurando a Pasta que será auditada:

1. Abra o Windows Explorer e navegue até o arquivo (pasta) em questão.
2. Clique com o botão direito do mouse na pasta e clique em Propriedades, clique na guia Segurançae após Avançado.
3. Alterne para a guia de Auditoria e clique no botão Editar.
4. Clique em Adicionar para escolher os usuários e os grupos de monitoramento. A prática comum é adicionar o grupo de usuários autenticados.

5. Selecione caixas em eventos necessários para tanto Exito e Falha em Entrada de auditoria. Para uma auditoria explícita, selecione todas as caixas.

Aplicando Auditoria via GPO

1. Abra Iniciar -> Executar, digite secpol.msc e tecle Enter.
2. Edite ou crie a GPO onde deseja aplicar a Auditoria.
3. Navegue até Configuração de Segurança -> Diretivas locais -> Diretiva de auditoria.
4. Edite a Auditoria de acesso a objetos.

5. Nas Propriedades da Auditoria, marque as opções desejadas, conforme abaixo:

6. Clique em OK, e feche o Editor de GPO

Para aplicar as configurações imediatamente no computador, abra o Prompt de Comando e digite o comando”gpupdate /force”

Agora, todas as tentativas de acesso serão rastreadas no log de segurança do Visualizador de Eventos. Se você quiser verificar quem excluiu determinado diretório, abra o Visualizador de Eventosem Logs do Windows na parte de Segurança. Procure o evento com número de identificação 4663, conforme mostrado abaixo.

Possiveis Problemas do Windows Update Client

Existem alguns problemas referente ao serviço, alguns deles são problemas referente ao Proxy e afins, Problemas que podem ser resolvido com by-pass do servidor sem passar necessariamente pelo Firewall.

E outros problemas, no qual você pode utilizar de alguns procedimentos para verificar possiveis causas.

1. Examine o arquivo %systemroot %\WindowsUpdate.log para verificar se o cliente está contactando o servidor de atualização correto e identificar quaisquer mensagens de erro.
2. Verifique se o cliente pode conectar-se ao servidor WSUS abrindo um navegador WEB e visitando http://(nomedoservidorwsus)/iuident.cab . Se você for solicitado a baixar algum arquivo, isso significa que o cliente pode contatar o servidor já podendo descartar a opção de conectividade, caso não baixe nenhum arquivo, poderá ser problemas de resolução de nomes ou conectividade, ou o WSUS não está configurado correto.
3. Utilize o RSOP – rsop.msc para verificar a configuração, dentro do RSOP, navegue até o nó computer configuration / administrative templates / windows components / windows update e verifique as definições de configuração, caso possua alguma placa amarela com uma exclamação provavelmente ouve problemas de definição da politica no computador.

 

Depois de efetuar algumas alterações reinicie o serviço Windows Update no computador do cliente para que a modificação entre em efeito e comece outro ciclo de atualização. Você pode fazer isso utilizando o console de services ou executando o prodecimento abaixo no prompt:

net stop wuauserv

net start wuauserv

Depois disso irá tentar contactar seu servidor de atualização, para que o Update comece a pesquisar o servidor WSUS, execute o comando abaixo:

wuauclt /a

 

 

Configurando Produtos WSUS

Abaixo Segue a continuidade da configuração do WSUS, O idioma está em ingles, porém a didática é a mesma, nesta etapa você irá definir quais produtos da microsoft você irá baixar do Windows Update e os idiomas, claro que irá selecionar apenas os softwares que você presta suporte e sua empresa possui licenças. Existindo serial pirata ao baixar as atualizações de software mal-intencionado , logo as máquinas que não estão ativadas oficialmente irão emitir um aviso de software não licenciado.

Pois então, evitem utilizar o gerenciamento de patches, se possui um ambiente onde utilizou cracks e afins.

16- Caso queira participar do programa que coleta informações sobre a utilização do WSUS de modo a prover melhorias nas próximas versões, marque a check box e depois em Next.

17- Nesse assistente devemos configurar se esse servidor se conectará diretamente ao Microsoft Update ou algum outro servidor WSUS existente. No nosso cenário mantenha a opção padrão e clique em Next.

18- Caso o servidor precise passar por um proxy para ter acesso a internet, informe nesse assistente todos os dados necessários, em seguida clique em Next.

19- Clique em Start Connecting para iniciar a conexão com o Microsoft Update.

20- Será carregado todos os tipos de updates / produtos / linguagens disponíveis, clique em Next para configurá-los.

21- Nessa opção você selecionará as linguagens dos respectivos updates a baixar, no meu cenário todos os desktops e servers são no idioma em inglês, sendo assim somente baixarei os updates nessa versão “English“.

22- Em “Choose Products” selecione os produtos Microsoft que serão baixados os updates, verifique que há uma listagem muito boa dos produtos, no meu cenário baixarei apenas os updates dos sistemas operacionais de desktops e server.

23- Posso selecionar também as classificações de downloads a serem baixados, para o cenário baixarei somente as Críticas / Segurança / Definições.

24- Você pode definir um horário padrão para o sincronismo entre o WSUS e o Microsoft Update, ou fazer esse sincronismo manualmente, particularmente prefiro a opção manual, mas aí vai de cada administrador, faça a sua escolha e clique em Next.

25- Marque a opção “Begin initial synchronization” para que assim que finalizado o assistente, seja feita a primeira série de downloads do Microsoft Update para o WSUS.

26- Em “What’s Next” você terá uma série de artigos que poderá ser consultado como referência para otimização e customização do WSUS. Clique em Finish.

27- Clique em “Close” para finalizar o assistente.

Instalar o WSUS 3.0 no servidor

Após efetuar o Download do WSUS 3.0 SP2 que atualmente é o mais novo Service Pack, Segue abaixo o site para o Download do mesmo, lembrando que no momento de escolher o local para armazenar as pastas do WSUS, recomendo que utilize uma partição diferente do C: e que contenha mais do que os requisitos que foi publicado anteriormente no post 1 deste capitulo:

LINK WSUS 3.0 SP2: http://www.microsoft.com/en-us/download/details.aspx?id=5216

1. Clique duas vezes no arquivo instalador, WSUSSetup.exe.
2. Na página Bem-vindo do assistente de instalação, clique em Avançar.
3. Na página Seleção do Modo de Instalação, clique em Instalação completa do servidor incluindo o Console de Administração se quiser instalar o servidor no computador ou em Somente Console de Administração se quiser instalar somente o console de administração.
4. Na página Contrato de Licença, leia os termos do contrato de licença cuidadosamente, clique em Aceito os termos do Contrato de licença e clique em Avançar.

   

5. Na página Selecionar a Origem de Atualização do assistente de instalação, você pode especificar de onde os clientes obtêm as atualizações. Se você marcar a caixa de seleção Armazenar atualizações localmente, as atualizações serão armazenadas no servidor do WSUS 3.0 e você selecionará um local no sistema de arquivos para armazenar as atualizações. Se você não armazenar as atualizações localmente, os computadores cliente se conectarão ao Microsoft Update para obter atualizações aprovadas. Mantenha as opções padrão e clique em Avançar.

   

6. Na página Opções de Banco de Dados, selecione o software usado para gerenciar o banco de dados do WSUS 3.0. Por padrão, a Instalação do WSUS se oferece para instalar o Windows Internal Database se o computador no qual você está instalando executar o Windows Server 2003.
7. Se não quiser usar o Windows Internal Database, forneça uma instância do SQL Server para o WSUS usar clicando em Usar um servidor de banco de dados existente neste computador e digitando o nome da instância na caixa. O nome da instância deve ser exibido como <nome_do_servidor>\<nome_da_instância>, onde nome_do_servidor é o nome do servidor e nome_da_instância é o nome da instância SQL. Faça sua seleção e clique em Avançar.
8. Na página Conectando à Instância do SQL Server, o WSUS tentará se conectar à instância especificada do SQL Server. Quando tiver se conectado com êxito, clique em Avançar para continuar.

   

9. Na página Seleção do Site, especifique o site a ser usado pelo WSUS 3.0. Se quiser usar o site padrão do IIS na porta 80, selecione a primeira opção. Se você já tiver um site na porta 80, poderá criar um site alternativo na porta 8530 selecionando a segunda opção. Mantenha a opção padrão e clique em Avançar.
10. Na página Pronto para Instalar o Microsoft Windows Server Update Services 3.0, revise as seleções e clique em Avançar.
11. A página final do assistente de instalação informará se a instalação do WSUS 3.0 foi concluída com êxito ou não. Depois de clicar em Concluir, o assistente de configuração será inicializado.

Requisitos de Instalação do WSUS 3.0

Abaixo terá as principais informações sobre os requisitos para a instalação do WSUS no seu servidor Windows Server,Se atentem aos requisitos de DISCO,pois com o tempo as atualizações vão ocupando espaço e se configurado de maneira incorreta irá dá o famoso pau, no seu servidor, irei explicar isso com os próximos posts.

• Requisitos de software para instalar o WSUS 3.0 no Windows Server 2008

• Serviços de Informações da Internet (IIS) 7.0 da Microsoft. Verifique se os seguintes componentes estão habilitados:
  • Autenticação do Windows 
  • ASP.NET
  • Compatibilidade de Gerenciamento do IIS 6.0
  • Compatibilidade da Metabase do IIS
• Microsoft Report Viewer Redistributable 2005. Para baixar este software, acesse o Centro de Download (http://go.microsoft.com/fwlink/?LinkID=70410).
• Microsoft SQL Server™ 2005 Service Pack 1. Para baixar este software, acesse o Centro de Download (http://go.microsoft.com/fwlink/?LinkID=66143).

• Requisitos e recomendações de disco

• Para instalar o WSUS 3.0, o sistema de arquivos do servidor deve atender aos seguintes requisitos:

• Tanto a partição do sistema quanto a partição em que você instala o WSUS 3.0 devem ser formatadas com o sistema de arquivos NTFS.
• É recomendável ter no mínimo 1 GB de espaço livre para a partição do sistema.
• É necessário ter no mínimo 20 GB de espaço livre para o volume em que o WSUS armazena o conteúdo; o recomendável é 30 GB de espaço livre.
• É recomendável ter no mínimo 2 GB de espaço livre no volume no qual a Instalação do WSUS instala o Windows® Internal Database.

Gerenciando a Segurança de Arquivos

As permissões no qual é designada para os usuários no arquivo NTFS determinam o que pode ser exibido, executado, listado etc..

Resumindo, Você pode permitir através desse tipo de configuração que os usuários do departamento FINANCEIRO pode acessar tais arquivos e os demais usuários que não fazem parte desse grupo não possa obter acesso nem execução dos arquivos dentro da pasta FINANCEIRO. Existem 3 tipos de permissões dentre elas são:

• Arquivos de Usuário: Os usuários tem acesso total aos arquivos CRIADOS por ele próprio e não possuem acesso aos arquivos de outros usuários, já os administradores possuem controle TOTAL de qualquer arquivo.
• Arquivos de Sistema: Os usuários podem ler mas não possuem permissão para gravar, já os administradores podem adicionar e instalar atualizações e aplicativos qualquer.
• Arquivos de Programas: As permissões sobre a pasta %programfiles% são projetadas para permitir que usuários executem aplicativos e que apenas os administradores instalem os mesmos, os usuários tem acesso de LEITURA e os administradores TOTAL.

Nos servidores de arquivos, exigem que você conceda permissão a grupos de usuários para permitir a colaboração, exemplo que você queira atribuir uma pasta para que os usuários do grupo MARKETING tenha acesso total aos arquivos e outros usuários não possam ler os arquivos que estão dentro da pasta atribuída ao grupo MARKETING. Nesse caso podemos atribuir um dos tipos de permissões:

• List Folder Contents: Os usuários podem pesquisar uma pasta mas não podem abrir arquivos nelas.
• Read: Os usuários podem exibir o conteúdo de uma pasta e abrir arquivo, se um usuário tiver permissão de leitura, mas não de leitura e execução de um arquivo executável.
• Read & Execute: Além da permissão de leitura, os usuários podem executar aplicativos. (mencionado no exemplo anterior)
  
• Write: Os usuários podem criar arquivos em uma pasta, mas não necessariamente lê-los. Essa permissão é útil para criar uma pasta em que diversos colaboradores possam armazenar arquivos porém não podem ler arquivos de outra pessoa, nem sequer ver o que os outros arquivos contêm.
• Full Control (Controle Total): Os Usuários podem realizar qualquer ação no arquivo ou pasta, tanto de excluir quanto de modificar permissão na mesma.