Como verificar GPOs aplicadas para usuários e computadores

GPO, Windows Server

Fala pessoal, tudo bem com vocês? Recentemente vi uma pergunta em um fórum sobre como verificar quais GPOs estavam sendo aplicadas para usuários e computadores.

Sei para muitos isso é bem fácil, e para quem está começando, nem sempre rsrs.

Então resolvi escrever um pouco sobre isso.

Você pode verificar quais GPOs estão sendo aplicadas no computador e usuário pelo CMD (Command Prompt)

Geralmente para as GPOs de computador, uso o CMD como poderes administrativos.

Acredito que o comando mais conhecido é o gpresult /r com ele, você poderá verificar quais GPOs estão sendo aplicadas, além de outras informações como Grupos que fazem parte e etc.

Segue o exemplo:

GPO aplicada para esse servidor

GPO aplicada para meu usuário:

Também gosto muito de usar o RSOP, com ele consigo verificar quais configurações estão sendo alteradas, e por quais GPOs

Basta você digitar rsop no CMD

Tela de carregamento do rsop

Depois de carregar, o mesmo mostrará as configurações de GPO como um gpedit.msc

Essa foi a dica de hoje. Você conhecia ou usa o RSOP?

LGPD e Segurança em Ambientes Windows.

GPO, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar um pouco sobre Segurança e LGPD para ambientes Windows.

Recentemente li um livro do Grande Daniel Donda, “Guia pratico de implementação da LGPD”, no qual recomendo muito vocês comprarem. Irei deixar o link no final.

O que significa LGPD ?

Lei Geral de Proteção de Dados Pessoais

Lendo o livre, vi muitas coisas interessantes, principalmente para ambientes Microsoft (o livro é baseado em ambientes Microsoft)

Uma das primeiras coisas que achei importantíssimo, foi sobre o Hardening dos Servidores, vocês sabem o que é isso? Já implementaram alguma vez? Nossos servidores estão com todos os nossos dados, e por isso devemos deixa-lo seguro. O hardening é realizado para diminuir a superfície de ataques nos servidores ou em Workstations.

Mas Paulo, como irei fazer um hardening? Primeiro de tudo, cuidado ao aplicar um hardening que você encontrou na internet e não sabe o que ele irá fazer rsrs.

Vamos começar pelo básico, as queridas GPOs, com elas já conseguimos realizar diversos bloqueios, e configurações que irão ajudar nessa jornada.

Porem, na maioria das vezes cada servidor roda um serviço diferente, como um AD, Banco de dados, Servidor de arquivos e etc. Cada servidor deve ter seu hardening, pois alguns bloqueios podem afetar nos serviços.

Uma outra boa pratica é usar o Bitlocker para criptografia, principalmente em dispositivos que sempre estão rodando de um local para outro. Imagina um funcionário ser roubado com o notebook e alguém ter acesso a documentos confidenciais que estavam nele? Pois é, sei que você não deseja isso. Então vamos pensar em Bitlocker.

Uma outra boa pratica, e que as vezes se não for configurado da forma correta, irá afetar alguns serviços ou até parar seu ambiente. Antivírus, mas da mesma forma do hardening use politicas de acordo com o tipo de serviço que seu servidor tem. Como por exemplo no Hyper-V, a Microsoft disponibiliza quais configurações você deve colocar no seu antivírus para não impactar no serviço.

Voltando para GPOs, você pode procurar por Baselines e ler sobre as configurações, testar em um ambiente de homologação. A Microsoft disponibiliza o Microsoft Security Compliance, que é um conjunto de ferramentas de segurança para GPO. Uma outra que indico é a CIS (Center for Internet Security), no site é possível encontrar PDFs com configurações e explicações de cada indicação que ela dá.

Ficou interessado em saber mais ? Vou deixar alguns links

Como instalar Fontes via GPO

GPO

Fala pessoal, tudo bem com vocês? Hoje recebi uma demanda para realizar a instalar fontes via GPO, então resolvi escrever como realizar o processo.

Primeiro, vamos se conectar no AD e abrir o Group Policy.

Iremos criar uma nova GPO

Agora, iremos editar nossa GPO.

Vamos em configuração de computadores, em preferencias e procurar por Files

Em Files, iremos criar uma nova File (arquivo), clique com o botão direito, new > File

No Painel de criação, iremos precisar colocar a localização do arquivo e o destino.

No meu caso, as fontes estão em NetLogon dentro de uma pasta.

E o destino será a pasta Fonts %SYSTEMDRIVE%\Windows\Fonts

Aqui segue um exemplo

Logo depois precisamos criar um registro

Vamos clicar em novo, e criar um novo registro

Em caminho da chave iremos colocar

SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts

Nome do valor: O nome da Fonte, no meu exemplo a fonte é OpenSans-Bold

Tipo de valor: REG_SZ

Dados do valor iremos colocar a fonte, no meu exemplo: OpenSans-Bold.ttf

Agora é só colocar a GPO na OU ou no Domínio para ela ser recebida nos computadores.

Dicas para melhorar o gerenciamento e configurações de Diretivas de Grupo (Group Policy Management)

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês? Hoje irei falar sobre algumas dicas de gerenciamento e configurações de GPO, na minha visão e que acho pertinente para a maioria dos ambientes.

Primeiro, quero falar sobre onde eu sempre começo a criar as GPOs, sempre começo criando as GPOs nos Objetos de políticas de Grupo (Group Policy Objects)

Vale lembrar, que as GPOs são configuradas para computadores, usuários ou ambos. Também podemos criar filtros WMI para colocar um filtro mais avançado.

Dica 01

Para começar, a primeira dica que irei colocar aqui, é criar uma OU que contenha um computador e um usuário para realizações de testes para homologação, lembrando é claro que a GPO deve ser inclusa apenas nessa OU. Realize todos os testes, para não afetar seu ambiente de produção

Após realizar os testes e verificar se tudo funcionou corretamente, irei para a próxima dica…

Dica 02

Seu ambiente provavelmente deve ser segmentado por OUs como por exemplo departamentos da empresa, regiões, cidades etc.

Minha dica é inclua a GPO o mais próximo possível de onde ele será utilizado.

Vou dar um exemplo, vamos dizer que tenho várias OUs no meu ambiente, como: Financeiro, RH, Comercial e TI.

Essa GPO que estou criando seria para os usuários de TI, então irei incluir a GPO a OU TI. (Lembrando que os usuários e computadores devem estar nessa OU)

Dica 03

Configure filtros para as GPOs, crie Grupos no AD para incluir usuários, computadores…

Na parte de segurança de GPO, ela permite uma granularidade muito grande para segurança. Alem de grupos, você pode criar filtros WMI e aplicar também. Com filtros WMI, você pode filtrar por tipo de S.O, quantidade de memória RAM, além de outras muitas possibilidades, irei deixar um link falando mais sobre WMI

https://docs.microsoft.com/pt-br/windows/security/threat-protection/windows-firewall/create-wmi-filters-for-the-gpo

Dica 04

Relembrando a dica 02, tente evitar colocar políticas desnecessárias a nível de domínio, principalmente com o parâmetro de enforce. O parâmetro enforce (a que a GPO fica com um cadeado) irá sobrescrever as permissões, lembrando… as permissões mais restritivas é que serão aplicadas.

Recriando as GPOs Default Domain Policy e Default Domain Controllers Policy

GPO, Microsoft, Windows Server

Fala pessoal, tudo bem com vocês ?

No artigo de hoje irei mostrar como recriar as GPOs Default Domain Policy e Default Domain Controllers Policy… Aí você me pergunta isso pode ser necessário? Minha resposta é SIM, principalmente se você tem apenas 1 controlador de domínio. Já peguei diversos casos em clientes com problemas, pois um vírus corrompeu essas GPOs, ou alguém apagou, ou simplesmente elas desapareceram rsrs

Comandos que usei:

Dcgpofix /target:both

Para mais informações sobre o dcgpofix

https://docs.microsoft.com/pt-br/windows-server/administration/windows-commands/dcgpofix

Configurando RD Licensing Server via GPO

GPO, Windows Server

Recentemente, vi uma dúvida no Fórum da TechNet de problemas com o apontamento do servidor de licenças para Área de Trabalho Remota.

Então como configurar de uma forma bem simples uma GPO Local para apontar para o seu servidor de Licenças?

1 – Vamos abrir o gpedit.msc e realizar as seguintes configurações:

Computer Configuration > Policies > Administrative Templates > Windows Components > Remote Desktop Services > Remote Desktop Session Host > Licensing

Aqui iremos configurar os nossos servidores de licença e o modo.

1 – Vamos configurar: Use the specified Remote Desktop License Server

Aqui adicionei 2 servidores, você deve colocar o nome ou IP do seu servidor de licenças.

2 – Iremos configurar: Set the Remote Desktop licensing mode

Vamos abrir a configuração, habilitar e definir qual será o modo.

No meu exemplo configurei por usuário.

Agora é só clicar em OK.

Criando GPO para Wallpaper

GPO, Microsoft

Fala pessoal, hoje irei mostrar como criar uma GPO para alterar o wallpaper, irei usar um servidor com o Windows Server 2019 e uma máquina com Windows 10 PRO.

Para realizar esse processo, já coloquei uma imagem no diretório NETLOGON.

1º Passo

Abra no Group Policy Management (Gerenciamento de políticas de grupo)

Iremos até Group Policy Objects, e criar uma GPO, irei colocar o nome de Wallpaper Workstations, eu particularmente sempre coloco configurações diferentes para Workstations e Servers.

Agora iremos editar nossa GPO

Iremos em User Configuration > Administrative Templates > Desktop > Desktop

A primeira configuração que irei habilitar será a de Prohibit changes

Essa configuração não irá permitir que o usuário altere o papel de parede.

Agora, iremos configurar Desktop Wallpaper

Wallpaper Name: Coloque o Path da sua imagem, no meu exemplo estou colocando uma imagem dentro do Netlogon.

Wallpaper Style: Coloque o formato que imagem deve ficar, por exemplo: centralizada, ajustada…

Por último, precisamos adicionar essa GPO ao local no qual ela será aplicada, irei habilitar no domínio.

GPO configurada, você pode testar com o gpupdate /force e depois um gpresult /r para verificar se foi aplicada.

GPO para desligamento de maquinas Windows 10

GPO, Microsoft

Recentemente, recebi uma demanda para criar uma GPO para desligamento automático de de algumas maquinas com Windows 10.

Ao realizar a configuração da GPO, verifiquei que quando você coloca para ser executada como Administrador a mesma não é criada.

Como resolver esse problema?

Coloque a tarefa para ser executada como NT AUTHORITY/SYSTEM, e mesma será criada normalmente.

No valor onde coloquei 120, você pode alterar para quantos segundos você deseja.

Tarefa criada.

Como configurar GPO para auditoria de Logon

GPO, Microsoft

Podemos realizar a configuração de uma GPO, para saber se um usuário está fazendo Login ou Logoff em um dispositivo.

Também podemos encontrar de qual dispositivo está sendo realizado as requisições de login com senha errada que bloqueia um determinado usuário.

Irei realizar a configuração em uma nova GPO com o nome Audit Policy, a mesma será aplicada nos controladores de Domínio.

Para iniciarmos as configurações, se conecte no seu Active Directory e abra o Group Policy Manament (Gerenciamento de politica de grupo)

Na GPO clique em Edit.

Em Computer Configuration, navegue até Policies, Windows Settings, Security Settings, Local Policy, Audit Policy.

Podemos habilitar as seguintes Policies

Você pode configurar para Sucesso ou falha.

Realizei as seguintes configurações no meu exemplo:

No Event Viewer podemos filtrar ou verificar todos os eventos que serão criados.

Também podemos criar alertas para determinados tipos de eventos.

Os eventos que mais procuro no event Viewer São os seguintes:

4726 Uma conta de usuário foi excluída

4738 Uma conta de usuário foi alterada

4740 Uma conta de usuário foi bloqueada

Nesse exemplo, você pode criar triggers para que quando esse evento ocorra você receba um e-mail.