GPOs must have: As políticas de grupo que não podem faltar em seu ambiente

Quais são suas políticas de grupo padrão?

Quem nunca fez toda a configuração do Active Directory, criou as OUs, Usuário, Grupos, preparou o ambiente conforme manda a regra e na hora de iniciar a configuração das GPOs se perguntou: O que eu configuro? O que não pode faltar na minha política de grupo padrão?

A partir de hoje, essa dúvida não existirá mais.

Para não perder mais dicas, faça seu cadastro ali do lado direito da pagina. É super rápido e você me ajuda muito \,,/

Tenho por boa prática, em todos os projetos que desenho e/ou executo, cria uma GPO com as diretivas que julgo serem as “Must-Have” (expressão do inglês utilizada para indicar que algo não pode faltar) em qualquer ambiente, independente do tamanho. Essas política são baseadas em minha experiência prática + estudos + levantamento realizado com alguns amigos especialistas em gestão de redes.

Separarei as diretivas por grupo, para facilitar.

Segurança

Complexidade de Senha: Que ambiente está seguro com usuários utilizando “123” como senha? Para configurar/habilitar essa política navegue até: Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Conta > Políticas de Senha

Comprimento Mínimo de Senha: Garante que, além de complexas (senhas com: números, letra maiúscula e caractere especial *&!1), não seja pequena demais. É interessante não para evitar ataque de Brute Force, mas sim para reduzir drasticamente as chances desse tipo de ataque ter sucesso. Costumo usar 6 caracteres, aqui é valido ter bom senso, mesmo sendo mais seguro, para o usuário pode ser complexo manter uma senha de 12~14 caracteres. Para configurar/habilitar essa política navegue até:Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Conta > Políticas de Senha

Idade Máxima da Senha: Ter a cultura de alterar as senhas de tempo em tempo é essencial para manter o nível de segurança na rede. Geralmente utilizo o valor de 60~90 dias (depende do ambiente, do caso). Aqui também cabe bom senso, não vale pedir atualização de senha a cada 15 dias, right? Para configurar/habilitar essa política navegue até: Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Conta > Políticas de Senha

Desabilitar o Administrador Local e Conta de Convidado: Se você fosse um cracker (o primo mau do hacker), qual seria o primeiro nome de usuário que utilizaria em uma tentativa de invasão? Entendeu o perigo? Por padrão eu desabilito o administrador local e crio um outro usuário para esse tipo de função. A conta de convidado (guest) geralmente fica ativa, e se não vamos utiliza-lá, para que manter? Em segurança, quanto menos brecha melhor.Para configurar/habilitar essa política navegue até: Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança

Criar usuário para Administração Local: Como eu desabilito o usuário administrador local, sempre crio um novo. Isso é necessário pois algumas tarefas de manutenção corretiva e/ou preventiva vão necessitar deste user. Para nomear a conta, geralmente sigo o padrão admin.local. Em conjunto com a criação do user, obviamente, o adiciono ao grupo local de administradores. Para configurar/habilitar essa política navegue até: Computador > Preferencia > Config. do Painel de Controle > Usuários e Grupos Locais

Habilitar Auditoria de Eventos: Se hoje seu ambiente tivesse sido invadido, você conseguiria saber qual foi o usuário utilizado para o ataque? Explicado! Para configurar/habilitar essa política navegue até: Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas Locais > Opções de Segurança > Políticas de Auditoria

Bloqueio da Área de Trabalho automático: Mais tranquilo do que “descobrir“ uma senha fraca é aguardar o usuário sair da maquina sem bloquear a área de trabalho. Utilizo 10 min de ociosidade até o bloqueio da área de trabalho. Para configurar/habilitar essa política navegue até: Usuários > Políticas > Modelos Administrativos > Painel de Controle > Personalização

Padronização

Papel de Parede Padrão: Para muitos é uma política que não tem efeito algum, para mim, mostra organização. Caso o projeto não englobe essa política, utilizo ao menos o “BGInfo” da sysinternal para garantir algumas informações rápidas no desktop. Para configurar/habilitar essa política navegue até: Usuários > Políticas > Modelos Administrativos > Área de Trabalho > Active Desktop

Mapeamento de Pastas: Essa é uma configuração clássica. Para essa configuração esqueça scripts, desde o Windows Server 2008 temos o GPP, que facilita a criação dos mapeamentos de forma centralizada. Funciona 100%. Para configurar/habilitar essa política navegue até: Usuários > Preferencias > Configurações do Windows > Mapear Unidades

Instalação de Impressoras: Algo que não me enche os olhos é ter de instalar impressora maquina a maquina, até mesmo as conexões via rede não são legais. Utilizando o recurso “Deploy Printers” o trabalho manual é reduzido drasticamente.

Outros

Configuração de Firewall: Aqui vai depender muito de cada ambiente. Algo que aplico a todos é liberar o WMI. Esse carinha permite o uso de ferramentas de suporte remoto. Para configurar/habilitar essa política navegue até: Computador > Políticas > Configurações do Windows > Configurações de Segurança > Firewall do Windows com Segurança Avançada

Esse é meu conjunto de políticas “Must-Have”. E ai, concorda? Acrescentaria algo a mais? Conta mais!

Se não for pedir demais, deixe seu like e/ou compartilhe com seus amigos e garanta que eles terão um ambiente padronizado e seguro.

Abraço