Em ambientes corporativos, a segurança e a integridade dos sistemas são primordiais. Limitar o acesso a ferramentas poderosas como o Painel de Controle, o Prompt de Comando (CMD) e o PowerShell é uma medida essencial para prevenir configurações indevidas, instalações não autorizadas de software e a execução de scripts maliciosos. As GPOs (Group Policy Objects) do Windows são a ferramenta ideal para aplicar essas restrições de forma centralizada e eficiente.
Este artigo detalha as configurações de GPO necessárias para restringir o acesso a essas ferramentas, garantindo um ambiente mais seguro e controlado.
1. Limitar o Acesso ao Painel de Controle
Existem diversas maneiras de restringir o acesso ao Painel de Controle, desde a proibição total até a ocultação de itens específicos.
1.1. Proibir o Acesso Completo ao Painel de Controle
Esta configuração impede que o usuário abra o Painel de Controle de qualquer forma.
- Caminho da GPO:
Configuração do Usuário > Modelos Administrativos > Painel de Controle - Configuração: “Proibir acesso ao Painel de Controle e configurações do PC”
- Ação: Habilitar
1.2. Ocultar Itens Específicos do Painel de Controle
Se você deseja permitir o acesso ao Painel de Controle, mas ocultar alguns itens considerados sensíveis ou desnecessários para o usuário final.
- Caminho da GPO:
Configuração do Usuário > Modelos Administrativos > Painel de ControleConfigurações:
- “Ocultar itens especificados do Painel de Controle”: Habilite e adicione os nomes canônicos dos itens que deseja ocultar. Por exemplo,
Microsoft.System,
Microsoft.SecurityAndMaintenance, Microsoft.WindowsFirewall.- “Mostrar apenas itens especificados do Painel de Controle”: Habilite e adicione os nomes canônicos dos itens que deseja permitir. Isso oculta todo o resto.
Para encontrar os nomes canônicos, você pode executar shell:ControlPanelFolder e depois clicar com o botão direito nos itens para ver suas propriedades, ou consultar a documentação da Microsoft.
2. Limitar o Acesso ao Prompt de Comando (CMD)
Restringir o acesso ao CMD impede que usuários executem comandos de linha de forma arbitrária, o que pode ser perigoso se feito incorretamente.
- Caminho da GPO:
Configuração do Usuário > Modelos Administrativos > Sistema- Configuração: “Impedir acesso ao prompt de comando”
- Ação: HabilitarAo habilitar esta opção, você também pode escolher se deseja “Desabilitar o processamento de script do prompt de comando”. É recomendado habilitar esta opção para uma segurança mais robusta, impedindo a execução de arquivos
.bate.cmd.
3. Limitar o Acesso ao PowerShell
O PowerShell é uma ferramenta extremamente poderosa, capaz de realizar modificações profundas no sistema. Limitar seu acesso é crucial para evitar danos acidentais ou intencionais.
Embora não haja uma GPO direta para “desabilitar o PowerShell” como no CMD, podemos controlá-lo de outras maneiras:
3.1. Restrição de Execução de Scripts do PowerShell
Esta é a medida mais comum e eficaz. Ela impede que scripts não assinados ou de fontes não confiáveis sejam executados.
- Caminho da GPO:
Configuração do Computador > Políticas > Modelos Administrativos > Componentes do Windows > Windows PowerShellConfiguração: “Ativar a Execução de Scripts”
Ação: Habilitar
Em seguida, no campo “Política de Execução”, escolha uma das seguintes opções:
- “Permitir todos os scripts”: Permite que todos os scripts sejam executados. NÃO RECOMENDADO para ambientes restritos.
- “Permitir scripts locais e scripts assinados remotamente”: Permite scripts criados localmente e scripts remotos que são assinados por um editor confiável.
- “Permitir apenas scripts assinados”: Permite apenas scripts que são assinados por um editor confiável. RECOMENDADO para ambientes mais seguros.
- “Permitir apenas scripts de editor confiável”: Permite apenas scripts assinados por um editor em sua lista de Editores Confiáveis. ALTAMENTE RECOMENDADO para ambientes de alta segurança.
3.2. Restringindo Acesso ao Executável do PowerShell via Software Restriction Policies ou AppLocker
Para uma restrição mais granular ou para impedir completamente a abertura do console do PowerShell, você pode usar as Software Restriction Policies (SRP) ou, preferencialmente, o AppLocker.
- Software Restriction Policies (SRP):
Caminho da GPO:
Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Políticas de Restrição de Software- Crie uma Nova Regra de Hash ou Nova Regra de Caminho para o executável
powershell.exe(localizado em%SystemRoot%\System32\WindowsPowerPowerShell\v1.0\powershell.exe) e defina o nível de segurança como “Não Permitido”.
AppLocker (Recomendado para Windows Enterprise/Education):
- Caminho da GPO:
Configuração do Computador > Políticas > Configurações do Windows > Configurações de Segurança > Controle de Aplicativos (AppLocker)Aplicando e Testando as GPOs
Após configurar as GPOs, siga estes passos para aplicá-las e testá-las:
- Linkar a GPO: Certifique-se de que a GPO está linkada à Unidade Organizacional (OU) ou ao domínio correto onde os usuários afetados estão localizados.
- Atualizar Política: Force a atualização da política nos computadores de destino. Você pode fazer isso executando
gpupdate /forceno CMD (com privilégios administrativos) nos computadores afetados, ou aguardando o ciclo de atualização padrão das GPOs. - Testar: Faça login como um usuário que deve ser afetado pelas restrições e tente acessar o Painel de Controle, CMD e PowerShell para verificar se as políticas foram aplicadas corretamente.
Considerações Finais
A implementação dessas GPOs é um passo fundamental para fortalecer a segurança do seu ambiente de TI. Lembre-se de sempre testar as políticas em um ambiente de não produção antes de aplicá-las amplamente. É crucial balancear a segurança com a usabilidade, garantindo que os usuários tenham acesso às ferramentas que realmente precisam para desempenhar suas funções sem comprometer a integridade do sistema.
Dica: Sempre documente suas configurações de GPO. Isso facilitará a solução de problemas e a manutenção futura.