Apêndice B do Guia da Equipe de Recursos de Segurança

  • Artigo

Apêndice B. Criando ou atualizando scripts para aplicar configurações de segurança

Publicado em: 30/06/2006

O Solution Accelerator para BDD inclui scripts de arquivo de comando para aplicação de modelos de segurança para que computadores autônomos não participem de um ambiente de domínio. É possível modificar esses scripts ou criar seus próprios scripts para executar funções semelhantes. Por padrão, tais scripts residem em C:\Program Files\BDD Enterprise 2.5\Computer Imaging System\Master $OEM$\$OEM$\$$\Security\Database e têm uma extensão de arquivo .cmd.

Esses scripts têm a seguinte estrutura:

  • Comentários de descrição de script. Esses comentários, que são inicializados com o comando REM, descrevem o nome, a finalidade e a versão do script.

  • Redefinir diretiva para estrutura padrão. Esse comando chama Secedit.exe e aplica o modelo de segurança Secsetup.inf, que restaura o computador para suas configurações padrão.

  • Definir configurações de conta. Esse comando chama Secedit.exe e aplica um modelo de segurança da conta.

  • Definir configurações de segurança. Esse comando chama Secedit.exe e aplica um modelo de segurança do computador.

  • Remover uma pasta compartilhada. Esse comando chama Reg.exe para remover uma chave do Registro e remover uma pasta compartilhada criada pelo Solution Accelerator para BDD.

  • Para uma atualização de diretiva local. Esse comando chama Gpupdate.exe para atualizar a diretiva de segurança do computador local com as configurações definidas recentemente.

Se você criar scripts personalizados do zero, deverá usar uma estrutura semelhante para aprimorar o suporte. Se optar por modificar um script existente, só precisará alterar os nomes do modelo de segurança no segundo e no terceiro comandos Secedit.exe. Para editar um script, siga estas etapas:

  1. Use o Windows Explorer para navegar para sua pasta do banco de dados do Solution Accelerator para BDD, que, por padrão, reside em C:\Program Files\BDD Enterprise 2.5\Computer Imaging System\Master $OEM$\$OEM$\$$\Security\Database.

  2. Identifique o script ou scripts que devem ser modificados. Repita essas etapas para cada script:

    1. Clique com o botão direito do mouse no script e clique em Editar para abrir o script no Bloco de Notas.

    2. Após a descrição, adicione comentários com seu nome, a data e as alterações que você está fazendo. Preceda cada linha de comentários com o comando REM.

      Use várias linhas, se necessário. Por exemplo:

      REM  1/7/05 by Jim Hance

REM Changed template file names to Contoso template names

3.  Antes de qualquer linha que precise ser modificada, adicione o comando **REM**. O  
      
    **REM** evita que a linha seja executada.

4.  Copie a linha que você adicionou o comando **REM** (sem o comando **REM**) e a cole imediatamente após o comando. Faça as alterações necessárias.  
      
    Se você só precisar alterar o nome do modelo de segurança usado para definir as configurações do computador cliente, use o recurso Localizar do Bloco de Notas para pesquisar “.inf” para identificar referências para os modelos de segurança. Normalmente, você precisará alterar somente dois nomes de modelo de segurança. Um script modificado teria o seguinte formato (linhas realçadas indicam alterações):
    
    **Observação**  Algumas partes do trecho de código a seguir foram exibidas em várias linhas para ficarem mais legíveis. Elas devem ser inseridas em uma única linha.
    
    <pre IsFakePre="true" xmlns="http://www.w3.org/1999/xhtml">

REM (c) Microsoft Corporation 1997-2003

REM Script for Securing Stand-alone Windows Vista REM REM Name:        SA Enterprise  Windows Vista Client - Desktop.cmd REM Version:     1.0 REM This .cmd file provides the proper Secedit.exe syntax for importing the security REM policy for the Secure Stand-alone Windows Vista Desktop Client. REM Please read the entire guide before using this .cmd file.

REM 3/17/06 by Jim Hance REM Changed template file names to Contoso template names

REM Resets the Policy to Default Values secedit.exe /configure /cfg %windir%\repair\secsetup.inf /db secsetup.sdb /verbose

REM Sets the Account Settings REM secedit.exe /configure /db "Vista Default Security.sdb" /cfg "SA Enterprise Account.inf" /overwrite /quiet secedit.exe /configure /db "Vista Default Security.sdb" /cfg "Contoso Account.inf" /overwrite /quiet

REM Sets the Security Settings REM secedit.exe /configure /db "Vista Default Security.sdb" /cfg "Enterprise Client - Desktop.inf" secedit.exe /configure /db "Vista Default Security.sdb" /cfg "Contoso Client - Desktop.inf"

REM Deletes the Shared Folder reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\MyComputer\NameSpace\DelegateFolders
{59031a47-3f72-44a7-89c5-5595fe6b30ee}" /f

REM Updates the Local Policy gpupdate.exe /force

5.  Salve o script com suas modificações.

Agora, ao implantar novos computadores cliente, os scripts modificados mais recentemente implantarão os modelos de segurança que você nomeou.