Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Ameaças e contramedidas

Capítulo 9: Modelos administrativos do Windows XP e Windows Server 2003

Atualizado em: 27 de dezembro de 2005

As seções de modelo administrativo da Diretiva de Grupo incluem configurações baseadas no Registro, que determinam o comportamento e a aparência dos computadores do ambiente. Essas configurações também determinam o comportamento de aplicativos e componentes do sistema operacional. Há centenas destas configurações disponíveis para você definir, e você pode importar arquivos .adm adicionais para tornar mais configurações disponíveis.

Este capítulo lista as configurações de Modelo administrativo que estão sob o nó Configuração do computador da Diretiva de Grupo que são definidas neste guia, assim como aquelas que estão sob o nó Configuração de usuário. Este capítulo não examina cada configuração que está disponível nos Modelos administrativos para Microsoft® Windows® XP e Microsoft Windows Server™ 2003. No entanto, este capítulo fornece orientação para todas as configurações relacionadas à segurança em computadores que executam estes sistemas operacionais. Algumas configurações que não são abordadas são específicas de: Compatibilidade de aplicativo, Agendador de tarefas, Windows Installer, Windows Messenger e Windows Media® Player.

Versões anteriores deste guia continham informações sobre os Modelos administrativos para Office XP. O Microsoft Office 2003 contém um grande número de novos recursos e alterações aos Modelos administrativos que foram fornecidos com o produto. Para obter mais informações sobre estas alterações, consulte a seção "Mais informações" no final deste capítulo.

Nesta página

Definições de configuração do computador
Configurações do usuário
Mais informações

Definições de configuração do computador

As definições de configuração a seguir aplicam-se a computadores que sejam membros de um domínio do serviço de diretório Active Directory®. Informações sobre definições de configuração de usuário são fornecidas posteriormente neste capítulo.

NetMeeting (site em inglês)

O Microsoft NetMeeting® permite aos usuários conduzir reuniões virtuais pela rede da sua organização. Você pode definir as configurações da Diretiva de Grupo do NetMeeting no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\
NetMeeting

Desativar o compartilhamento remoto da área de trabalho

Esta configuração de diretiva permite desativar o recurso de compartilhamento de área de trabalho remota do NetMeeting. Você pode ativar esta configuração de diretiva para que os usuários não possam configurar o NetMeeting para responder automaticamente a chamadas de entrada e permitir o controle remoto da área de trabalho local.

Os valores possíveis para a configuração Desativar o compartilhamento remoto da área de trabalho são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Quando esta configuração de diretiva está ativada, os usuários não podem usar o recurso de compartilhamento de área de trabalho remota do NetMeeting.

Contramedida

Defina a configuração Desativar o compartilhamento remoto da área de trabalho como Ativada.

Impacto potencial

Os usuários não poderão configurar o compartilhamento de área de trabalho remota por NetMeeting, embora ainda possam usar os recursos de Assistência remota e Área de trabalho remota do Windows se eles permanecerem ativados.

Configurações do computador para o Internet Explorer

O Microsoft Internet Explorer é o navegador da Web incluído no Windows XP e Windows Server 2003, e você pode gerenciar muitos de seus recursos pela Diretiva de Grupo. Você pode definir as configurações da Diretiva de Grupo do Internet Explorer no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Internet Explorer

Desativar a instalação automática de componentes do Internet Explorer

Esta configuração de diretiva permite impedir o download automático de componentes por meio do Internet Explorer quando os usuários navegam em sites que exijam o pleno funcionamento dos componentes. Se você desativar ou não definir esta configuração de diretiva, os usuários serão solicitados a baixar e instalar componentes cada vez que visitarem os sites que os usam. Essa diretiva de configuração destina-se a ajudar o administrador a controlar que componentes o usuário pode instalar.

Os valores possíveis para a configuração Desativar a instalação automática de componentes do Internet Explorer são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Operadores de sites mal-intencionados podem hospedar componentes que contêm código hostil. Os usuários em sua organização podem baixar inadvertidamente este código e executá-lo nos computadores em seu ambiente, o que pode expor dados confidenciais, causar a perda de dados de causa e criar instabilidade.

Contramedida

Defina a configuração Desativar a instalação automática de componentes do Internet Explorer como Ativada.

Impacto potencial

O Internet Explorer não poderá baixar componentes automaticamente quando os usuários navegarem em sites que precisem deles.

Desativar a verificação periódica de atualizações de software do Internet Explorer

Se você ativar esta configuração de diretiva, o Internet Explorer não poderá determinar se uma versão posterior do navegador está disponível e notificar os usuários de sua disponibilidade. Se você desativar ou não definir esta configuração de diretiva, o Internet Explorer verificará atualizações a cada 30 dias (a configuração padrão) e notificará os usuários se uma versão nova estiver disponível. Essa diretiva destina-se a ajudar os administradores a ter controle sobre a versão do Internet Explorer, porque impede que os usuários sejam notificados quando uma nova versão do navegador for disponibilizada.

Os valores possíveis para a configuração Desativar a verificação periódica de atualizações de software do Internet Explorer são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Embora a Microsoft teste completamente todos os patches e service packs antes que eles sejam publicados, algumas organizações querem controlar cuidadosamente todo software que é instalado em seus computadores gerenciados. Você pode ativar a configuração Desativar a verificação periódica de atualizações de software do Internet Explorer para assegurar que os computadores não baixarão e instalarão automaticamente as atualizações do Internet Explorer.

Contramedida

Defina a configuração Desativar a verificação periódica de atualizações de software do Internet Explorer como Ativada.

Impacto potencial

O Internet Explorer não poderá baixar e instalar automaticamente hotfixes e service packs. Portanto, os administradores devem utilizar outro processo para distribuir automaticamente atualizações de software a todos os computadores gerenciados.

Desativar notificações do shell sobre atualizações de software ao iniciar o programa

Esta configuração de diretiva permite impedir a notificação do usuário quando programas que usam canais de distribuição de software da Microsoft instalarem componentes novos. O canal de distribuição de software é uma maneira de atualizar o software dinamicamente nos computadores dos usuários por meio de tecnologias OSD (Open Software Distribution).

Se você ativar esta configuração de diretiva, os usuários não serão notificados quando seus programas forem atualizados por canais de distribuição de software. Se você desativar ou não definir esta configuração, os usuários serão notificados antes de seus programas serem atualizados. Esta configuração de diretiva destina-se a administradores que desejam usar canais de distribuição de software para atualizar os programas dos usuários sem a intervenção deles.

Os valores possíveis para a configuração Desativar notificações do shell sobre atualizações de software ao iniciar o programa são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

As organizações que usam ferramentas e tecnologias OSD podem preferir que seus usuários não saibam quando patches e service packs são instalados em seus computadores, porque os usuários podem tentar parar um processo de instalação antes que esteja concluído.

Contramedida

Defina a configuração Desativar notificações do shell sobre atualizações de software ao iniciar o programa como Ativada.

Impacto potencial

Os usuários não serão notificados quando atualizações de software forem feitas por meio de tecnologias OSD.

Definir as configurações de proxy por computador (não por usuário)

Se você ativar esta configuração de diretiva, os usuários não serão capazes de alterar configurações de proxy específicas de usuário. Eles devem usar as zonas criadas para todos os usuários dos computadores que acessarem.

Os valores possíveis para a configuração Definir as configurações de proxy por computador (não por usuário) são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Se você desativar ou não definir esta configuração de diretiva, os usuários do mesmo computador serão capazes de estabelecer suas próprias configurações de proxy. Esta configuração de diretiva destina-se a garantir que as configurações de proxy permaneçam no mesmo computador de maneira uniforme e não variem de usuário para usuário.

Contramedida

Defina a configuração Definir as configurações de proxy por computador (não por usuário) como Ativada.

Impacto potencial

Todos os usuários serão forçados a usar as configurações de proxy definidas para o computador.

Zonas de segurança: não permitir que os usuários adicionem/excluam sites

Esta configuração de diretiva permite desativar as configurações de gerenciamento de sites para zonas de segurança. (Para ver as configurações de gerenciamento de site para zonas de segurança, selecione Ferramentas e Opções da Internet na barra de menus do Internet Explorer. Clique na guia Segurança e em Sites.) Se você desativar ou não definir esta configuração, os usuários serão capazes de adicionar ou remover sites nas zonas Sites confiáveis e Sites restritos. Eles também poderão alterar configurações na zona Intranet local.

Os valores possíveis para a configuração Zonas de segurança: não permitir que os usuários adicionem/excluam sites são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: se você ativar a configuração Desativar a página Segurança, localizada em
\Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet
a guia Segurança será removida da interface. Quando ativada, esta configuração de diretiva tem precedência sobre a configuração Zonas de segurança: não permitir que os usuários adicionem/excluam sites.

Vulnerabilidade

Se você não definir esta configuração de diretiva, os usuários serão capazes de adicionar ou remover sites das zonas Sites confiáveis e Sites restritos como desejarem e alterar configurações na zona Intranet local. Esta configuração pode permitir que sites que hospedem código móvel mal-intencionado sejam adicionados a estas zonas, que os usuários poderiam executar.

Contramedida

Defina a configuração Zonas de segurança: não permitir que os usuários adicionem/excluam sites como Ativada.

Impacto potencial

Os usuários não serão capazes de alterar configurações de gerenciamento de sites para zonas de segurança que foram estabelecidas pelo administrador. Quando os usuários precisarem adicionar ou remover sites dessas zonas de segurança do Internet Explorer, um administrador precisará configurá-las.

Zonas de segurança: não permitir que os usuários alterem diretivas

Esta configuração de diretiva permite desativar eficientemente o botão Nível personalizado e o nível de Segurança do controle deslizante de zona na guia Segurança da caixa de diálogo Opções da Internet. Se você desativar ou não definir esta configuração de diretiva, os usuários serão capazes de alterar as configurações de zona de segurança. Esta configuração de diretiva pode ser usada para impedir alterações de configurações de diretiva de zona de segurança que são estabelecidas pelo administrador.

Os valores possíveis para a configuração Zonas de segurança: não permitir que os usuários alterem diretivas são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: Se você ativar a configuração Desativar a página Segurança, localizada em
\Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet
a guia Segurança será removida da interface. Quando ativada, esta configuração de diretiva tem precedência sobre a configuração Zonas de segurança: não permitir que os usuários alterem diretivas.

Vulnerabilidade

Os usuários que alteram suas configurações de segurança do Internet Explorer podem ativar a execução de tipos perigosos de códigos da Internet e de sites listados na zona Sites restritos no navegador.

Contramedida

Defina a configuração Zonas de segurança: não permitir que os usuários alterem diretivas como Ativada.

Impacto potencial

Os usuários não serão capazes de definir configurações de segurança para zonas do Internet Explorer.

Zonas de segurança: usar apenas configurações do computador

Esta configuração de diretiva permite que as alterações feitas por um usuário em uma zona de segurança sejam aplicadas a todos os usuários do computador. Se você desativar ou não definir esta configuração de diretiva, os usuários do mesmo computador serão capazes de estabelecer suas próprias configurações de zona de segurança. Esta configuração de diretiva destina-se a garantir que as configurações de zona de segurança sejam uniformes no mesmo computador e não variem de usuário para usuário.

Os valores possíveis para a configuração Zonas de segurança : usar apenas configurações do computador são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários que alteram suas configurações de segurança do Internet Explorer podem ativar a execução de tipos perigosos de códigos da Internet e de sites listados na zona Sites restritos no navegador.

Contramedida

Defina a configuração Zonas de segurança: usar apenas configurações do computador como Ativada.

Impacto potencial

Os usuários não serão capazes de definir configurações de segurança para zonas do Internet Explorer.

Desligar Detecção de Panes

Esta configuração de diretiva permite gerenciar o recurso de detecção de panes do gerenciamento de complementos no Internet Explorer. Se você ativar esta configuração de diretiva, uma pane no Internet Explorer será semelhante àquela em um computador que utiliza Windows XP Profissional com Service Pack 1 (SP1) e anteriores: será chamado o Relatório de Erros do Windows. Se você desativar essa configuração de diretiva, o recurso de detecção de pane no gerenciamento de complementos será funcional.

Os valores possíveis para a configuração Desativar detecção de panes são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Um relatório de panes pode conter informações confidenciais da memória do computador.

Contramedida

Defina a configuração de diretiva Desativar detecção de panes como Ativada.

Impacto potencial

As informações sobre panes causados por complementos do Internet Explorer não são relatadas à Microsoft. Se você enfrentar panes repetidas e precisar relatá-las para ajudar a solucionar o problema, a configuração deve ser alterada temporariamente para Desativada.

Não permita que os usuários ativem nem desativem complementos

Esta configuração de diretiva permite gerenciar se os usuários podem permitir ou negar complementos por Gerenciar complementos. Se você configurar essa diretiva como Ativada, os usuários não conseguirão ativar nem desativar os complementos através do recurso Gerenciar complementos. A única exceção ocorre quando um complemento tiver sido inserido especificamente na configuração de diretiva Lista de complementos de forma que os usuários continuem a gerenciar o complemento por Gerenciar complementos. Se você configurar essa diretiva como Desativada, o usuário poderá ativar ou desativar os complementos.

Observação: para obter mais informações sobre como gerenciar complementos do Internet Explorer no Windows XP SP2, consulte o artigo 883256 do Microsoft Knowledge Base, "How to manage Internet Explorer add-ons in Windows XP Service Pack 2" em http://support.microsoft.com/?kbid=883256.

Os valores possíveis para a configuração Não permitir que usuários ativem ou desativem complementos são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários freqüentemente escolhem instalar complementos que não são permitidos por uma diretiva de segurança da organização. Tais complementos podem representar riscos significativos à segurança e privacidade de sua rede.

Contramedida

Defina o valor da configuração Não permitir que usuários ativem ou desativem complementos como Ativada.

Impacto potencial

Quando a configuração Não permitir que usuários ativem ou desativem complementos está ativada, os usuários não podem ativar ou desativar seus complementos do Internet Explorer. Se sua organização usar complementos, esta configuração pode afetar o trabalho.

Internet Explorer\Painel de controle de Internet\Página Segurança

Você pode definir as configurações da Diretiva de Grupo da página Segurança do Internet Explorer no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Internet Explorer\Painel de controle de Internet\Página Segurança

As configurações individuais de diretiva para a página Segurança estão completamente documentadas nos sistemas de Ajuda do Windows XP e Windows Server 2003, e também no site da Microsoft. Portanto, estas informações não são repetidas neste guia. Considere as seguintes diretrizes gerais.

Vulnerabilidade

Se você permitir que os usuários definam suas próprias configurações de segurança no Internet Explorer, eles poderão aumentar a vulnerabilidade de seus computadores a software mal-intencionado (malware). Além disso, os usuários poderão evitar quaisquer diretivas padrão de segurança da organização sejam que sejam usadas.

Contramedida

Use as configurações do nó Internet Explorer\Painel de controle de Internet\Página Segurança da Diretiva de Grupo para configurar valores apropriados para zonas de segurança e comportamento relacionado a zonas de segurança.

Impacto potencial

O Windows XP SP2 e o Windows Server 2003 SP1 introduzem várias novas configurações de diretiva para ajudá-lo a proteger a configuração de zona do Internet Explorer em seu ambiente. Os valores padrão para estas configurações de diretiva fornecem segurança aumentada em relação a versões anteriores do Windows. No entanto, você pode necessitar personalizar estas configurações de diretiva para seu ambiente local. Por exemplo, você pode querer adicionar seus parceiros de negócios ou fornecedores à zona Locais confiáveis e não permitir que os usuários façam suas próprias alterações às listas de zona.

Internet Explorer\Painel de controle de Internet\Página Avançado

As configurações nesta porção do Modelo administrativo são equivalentes às configurações que estão disponíveis na guia Avançado da caixa de diálogo Opções da Internet no Internet Explorer.

As duas configurações de diretiva a seguir estão disponíveis no Windows Server 2003 com SP1 e no Windows XP com SP2.

Permite que o software seja executado ou instalado mesmo que a assinatura seja inválida

Esta configuração de diretiva permite gerenciar se software baixado pode ser instalado ou executado por usuários se a assinatura for inválida. Uma assinatura inválida pode indicar que alguém violou o arquivo. Se você ativar essa configuração de diretiva, os usuários serão solicitados a instalar ou executar arquivos com uma assinatura inválida. Se você desativar essa configuração de diretiva, os usuários não poderão executar nem instalar arquivos com assinatura inválida.

Os valores possíveis para a configuração Permite que o software seja executado ou instalado mesmo que a assinatura seja inválida são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os controles Microsoft ActiveX® e os downloads de arquivos freqüentemente possuem assinaturas digitais que garantem tanto a integridade do arquivo como a identidade de quem assina o software (seu criador). Tais assinaturas ajudam a garantir que se faça download de software que não tenha sofrido modificações e que você possa identificar positivamente o assinante para determinar se ele é digno de confiança o suficiente para que seja possível executar seu software. A validade de código sem assinatura não pode ser determinada.

Contramedida

Defina a configuração Permite que o software seja executado ou instalado mesmo que a assinatura seja inválida como Desativada de modo que os usuários não possam executar componentes ActiveX sem assinatura.

Impacto potencial

Alguns controles e software legítimos podem ter uma assinatura inválida. Você deve testar cuidadosamente tal software em isolamento antes de permitir que seja usado na rede de sua organização.

Permitir que conteúdo ativo de CDs seja executado em máquinas de usuário

Esta configuração de diretiva permite determinar se conteúdo ativo de CDs pode ser executado em computadores de usuários. Organizações sensíveis à segurança podem desejar evitar a execução de controles ActiveX ou outro conteúdo ativo que seja entregue em CD.

Os valores possíveis para a configuração Permitir que conteúdo ativo de CDs seja executado em máquinas de usuário são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem acidentalmente ignorar uma diretiva de segurança da organização se executarem conteúdo entregue em CD em vez de na rede.

Contramedida

Você pode definir a configuração Permitir que conteúdo ativo de CDs seja executado em máquinas de usuário como Desativada. Esta configuração impedirá a execução de conteúdo ativo que seja armazenado em CDs.

Impacto potencial

Quando esta configuração de diretiva está ativada, os aplicativos que são projetados para instalação a partir de CD podem não funcionar adequadamente sem a intervenção do usuário.

Permitir extensões de navegador de terceiros

(Essa configuração de diretiva só está disponível no Windows Server 2003.)

Os usuários podem instalar extensões de navegador de terceiros, que são conhecidas como objetos auxiliares do navegador (BHOs). A configuração Permitir extensões de navegador de terceiros controla se os BHOs instalados serão carregados quando o Internet Explorer for iniciado.

Os valores possíveis para a configuração Permitir extensões de navegador de terceiros são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

As extensões de navegador de terceiros são potencialmente perigosas, porque podem conter vulnerabilidades ou mesmo código mal-intencionado. Além disso, sua instalação pode transgredir diretivas de segurança da organização.

Contramedida

Defina a configuração Permitir extensões de navegador de terceiros como Desativada.

Impacto potencial

Quando você define a configuração Permitir extensões de navegador de terceiros como Desativada, os usuários poderão instalar extensões de navegador de terceiros, mas elas não serão carregadas quando o Internet Explorer for iniciado. Esta configuração pode prejudicar o fluxo de trabalho dos usuários ou gerar chamadas de suporte técnico.

Verificar a revogação de certificado de servidor

(Essa configuração de diretiva só está disponível no Windows Server 2003.)

Quando uma conexão SSL (Secure Sockets Layer) é estabelecida entre o navegador e um servidor remoto, o servidor apresenta um certificado ao computador cliente a ser usado na negociação inicial de segurança. Quando a configuração Verificar a revogação de certificado de servidor está ativada, o Internet Explorer determina se o certificado apresentado está na lista de revogação de certificados da autoridade emissora.

Os valores possíveis para a configuração Verificar a revogação de certificado de servidor são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem comunicar-se acidentalmente com um servidor cujo certificado tenha expirado ou que tenha sido revogado pela autoridade emissora. Essa ocorrência pode levar à divulgação não autorizada de informações ou mesmo a ataques ativos, se o servidor remoto tiver sido comprometido.

Contramedida

Defina a configuração Verificar a revogação de certificado de servidor como Ativada.

Impacto potencial

Quando a configuração Verificar a revogação de certificado de servidor está ativada, os usuários podem receber avisos sobre sites que acreditavam ser confiáveis; é necessário orientá-los para que tomem decisões sensatas ao navegarem na Internet.

Verificar assinaturas em programas baixados

(Essa configuração de diretiva só está disponível no Windows Server 2003.)

Programas baixados podem ser assinados com a tecnologia Microsoft Authenticode®, que une uma assinatura digital a objetos executáveis como programas e controles ActiveX. Quando a configuração Verificar assinaturas em programas baixados está ativada, o Internet Explorer verifica a assinatura digital de programas executáveis e exibe suas identidades antes que sejam baixados.

Os valores possíveis para a configuração Verificar assinaturas em programas baixados são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem baixar conteúdo impróprio ou mal-intencionado sem perceber.

Contramedida

Defina a configuração Verificar assinaturas em programas baixados como Ativada.

Impacto potencial

Quando a configuração Verificar assinaturas em programas baixados está ativada, os usuários vêem as informações de identidade de programas executáveis que foram assinados.

Não salvar páginas criptografadas no disco

(Essa configuração de diretiva só está disponível no Windows Server 2003.)

Quando o Internet Explorer recupera páginas de um servidor remoto, ele armazena as páginas em seu cache de arquivos temporários. Esta capacidade melhora o desempenho e permite avançar ou voltar na lista de pesquisa do histórico sem reconectar ao host.

Os valores possíveis para a configuração Não salvar páginas criptografadas no disco são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Páginas armazenadas em cache de conexões protegidas por SSL podem conter informações confidenciais, como senhas ou números de cartão de crédito.

Contramedida

Defina a configuração Não salvar páginas criptografadas no disco como Ativada.

Impacto potencial

As páginas que são recuperadas por conexões SSL não são armazenadas em cache. Esta configuração pode aumentar o uso de largura de banda de rede, pois os usuários precisarão baixar novamente as páginas que teriam sido armazenadas em cache se esta configuração de diretiva não estivesse em vigor.

Esvaziar a pasta de arquivos de Internet temporários quando o navegador é fechado

(Essa configuração de diretiva só está disponível no Windows Server 2003.)

As páginas que são recuperadas por Internet Explorer são armazenadas em seu cache de arquivos temporários. O Internet Explorer gerencia este cache de acordo com as configurações na caixa de diálogo Configurações de arquivos de Internet temporários. Depois que um arquivo ou objeto é baixado, ele permanece no cache até que o Internet Explorer o remova.

Os valores possíveis para a configuração Esvaziar a pasta de arquivos de Internet temporários quando o navegador é fechado são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

As informações confidenciais podem permanecer na pasta \Arquivos de Internet temporários depois que um usuário encerra o Internet Explorer e faz logoff. Outro usuário no mesmo computador pode ser capaz de conseguir acesso a estes arquivos.

Contramedida

Defina a configuração Esvaziar a pasta de arquivos de Internet temporários quando o navegador é fechado como Ativada.

Impacto potencial

O Internet Explorer usa a pasta \Arquivos de Internet temporários como um cache para melhorar o desempenho do navegador. Se você desativar este recurso, poderá aumentar o tempo e a largura de banda de que os usuários necessitam para navegar na Web.

Internet Explorer\Recursos de segurança

A porção Configuração do computador\Modelos administrativos\Componentes do Windows\Internet Explorer\Recursos de segurança dos Modelos administrativos do Windows inclui várias configurações de diretiva que controlam os diversos recursos de segurança que foram adicionados ao Internet Explorer 6.0 no Windows Server 2003 SP1 e no Windows XP SP2. Cada uma destas configurações de diretiva contém três configurações subordinadas:

  • Processos do Internet Explorer. Essa configuração tem três valores possíveis: Ativado, Desativado e Não configurado. Quando Ativado, o comportamento especificado é desligado para processos do Internet Explorer e Windows Explorer. Se você definir a configuração como Desativado ou Não configurado, o comportamento padrão (descrito separadamente para cada configuração) permanecerá em vigor.

  • Lista de processos. Esta configuração permite especificar processos individuais para os quais o recurso de segurança será ativado ou desativado. A lista de processos controla os processos aos quais o controle de recursos se aplica; um valor de configuração igual a 1 desativa o recurso para esses processos, e um valor de configuração igual a 0 ativa o recurso para esses processos.

  • Todos os processos. Essa configuração tem três valores possíveis: Ativado, Desativado e Não configurado. Quando Ativado, o comportamento especificado é desligado para processos do Internet Explorer e Windows Explorer. Se você definir a configuração como Desativado ou Não configurado, o comportamento padrão (descrito separadamente para cada configuração) permanecerá em vigor.

Restrição de Segurança do Comportamento Binário

O Internet Explorer contém comportamentos binários dinâmicos, que são componentes que encapsulam a funcionalidade específica para elementos de HTML aos quais eles foram vinculados. Estes comportamentos binários não são controlados por qualquer configuração de segurança do Internet Explorer, o que significa que funcionam em páginas da Web na zona Sites restritos.

No Windows XP SP2 e Windows Server 2003 SP1, há uma configuração nova de segurança do Internet Explorer para comportamentos binários. Esta nova configuração de segurança desativa comportamentos binários na zona Sites restritos por padrão e fornece uma atenuação geral de vulnerabilidades em comportamentos binários do Internet Explorer.

Além das configurações Processos do Internet Explorer, Lista de processos e Todos os processos que foram descritas mais cedo, a configuração Diretiva de Restrição de Segurança do Comportamento Binário permite definir comportamentos individuais com a configuração Comportamentos aprovados pelo administrador. Para controlar estes comportamentos binários e de script, agora você pode configurar as zonas apropriadas como Aprovados pelo administrador e então usar a configuração para especificar os comportamentos individuais que podem ser executados em cada zona.

Vulnerabilidade

Comportamentos mal-escritos ou mal-intencionados podem ser chamados por páginas da Web e causar instabilidade ou possível comprometimento.

Contramedida

Desative o uso de comportamentos binários completamente. Alternativamente, você pode especificar um conjunto de comportamentos permitidos com a configuração Comportamentos aprovados pelo administrador.

Impacto potencial

Os aplicativos que contam com comportamentos binários podem não funcionar adequadamente se você desativar os comportamentos de que dependem.

Restrição de Segurança de Protocolo MK

Esta configuração de diretiva bloqueia o protocolo MK raramente usado para reduzir a superfície de ataque de um computador. Alguns aplicativos da web mais velhos usam o protocolo MK para recuperar informações de arquivos compactados.

Vulnerabilidade

Pode haver vulnerabilidades no manipulador do protocolo MK ou nos aplicativos que o chamam.

Contramedida

Como não se usa amplamente o protocolo MK, deve-se bloqueá-lo sempre que ele não for necessário. Desative o acesso ao protocolo MK para todos os processos.

Impacto potencial

Como os recursos que usam o protocolo MK falharão quando esta configuração for implantada, você deve assegurar-se de que nenhum de seus aplicativos use o protocolo MK.

Segurança de Bloqueio de Zona de Computador Local

Quando o Internet Explorer abre uma página da Web, coloca restrições para o que a página pode fazer, com base na zona de segurança do Internet Explorer a que a página pertence. Há várias zonas possíveis de segurança, e cada zona tem conjuntos diferentes de restrições. A zona de segurança para uma página é determinada por seu local. Por exemplo, páginas que estão localizadas na Internet normalmente estarão na zona de segurança da Internet mais restritiva. Eles não podem executar algumas operações, como acessar o disco rígido local. As páginas que estão localizadas na rede da sua organização normalmente estariam na zona de segurança de Intranet e teriam menos restrições. As restrições precisas que são associadas com a maioria destas zonas podem ser configuradas pelo usuário em Opções da Internet no menu Ferramentas do Internet Explorer.

Antes do Windows XP SP2 e do Windows Server 2003 SP1, o conteúdo no sistema de arquivos local era tratado como seguro e era atribuído à zona de segurança Computador Local (com exceção do conteúdo armazenado em cache pelo Internet Explorer). Esta zona de segurança normalmente permitia a execução de conteúdo no Internet Explorer com relativamente poucas restrições. Com o lançamento destes Service Packs, a configuração padrão do Internet Explorer agora fornece proteção adicional para o usuário porque bloqueia a zona Computador Local.

Vulnerabilidade

Os invasores freqüentemente tentam tirar proveito da zona Computador Local para elevar privilégios e comprometer um computador. Muitos das explorações que envolvem a zona Computador Local foram atenuadas por outras alterações ao Internet Explorer no Windows XP SP2, e estas alterações foram incorporadas ao Internet Explorer no Windows Server 2003 SP1. No entanto, os invasores ainda podem ser capazes de descobrir como explorar a zona Computador Local.

Contramedida

Defina a configuração Segurança de Bloqueio de Zona de Computador Local como Ativada.

Impacto potencial

Aplicativos baseados no Internet Explorer usam HTML local podem não funcionar adequadamente se você definir a configuração Segurança de Bloqueio de Zona de Computador Local como Ativada. O HTML local que é hospedado em outros aplicativos será executado sob as configurações menos restritivas da zona Computador Local que são usadas em uma versão anterior do Internet Explorer, a menos que esse aplicativo utilize Bloqueio de Zona de Computador Local.

Manipulação de Mime Consistente

O Internet Explorer usa dados MIME (Multipurpose Internet Mail Extensions) para determinar como manipular arquivos que são baixados de um servidor Web. A configuração Manipulação de Mime Consistente determina se o Internet Explorer exige que todas as informações de tipo de arquivo que são fornecidas por servidores Web sejam consistentes. Por exemplo, se o tipo MIME de um arquivo for texto/plain, mas os dados de MIME indicarem que o arquivo é realmente um arquivo executável, o Internet Explorer mudará sua extensão para refletir esse status de executável. Essa habilidade ajuda a assegurar que código executável não possa mascarar-se como outros tipos de dados que podem ser autenticados.

Se você ativar essa configuração de diretiva, o Internet Explorer examinará todos os arquivos recebidos e confirmará a consistência dos seus dados MIME. Se você desativar ou não configurar esta configuração de diretiva, o Internet Explorer não exigirá que todos os arquivos recebidos usem MIME consistente e usará os dados MIME que são fornecidos pelo arquivo.

Observação: essa configuração funciona em conjunto com as configurações de Recurso de segurança de detecção de MIME, mas sem substituí-las.

Vulnerabilidade

Um servidor Web mal-intencionado pode entregar conteúdo executável usando um tipo MIME não-executável, e um usuário que tenha aberto o conteúdo pode ser enganado e causar a execução do conteúdo.

Contramedida

Defina a configuração Manipulação de Mime Consistente como Ativada.

Impacto potencial

Os aplicativos que dependem do servidor para configurar corretamente o tipo MIME de objetos baixados podem falhar quando esta configuração estiver ativada, se o servidor fornecer informações incorretas de tipo MIME.

Recurso de segurança de detecção de MIME

A detecção de MIME é uma designação do processo que examina o conteúdo de um arquivo MIME para determinar seu contexto—se é um arquivo de dados, um arquivo executável ou algum outro tipo de arquivo. Essa configuração de diretiva determina se o recurso de detecção de MIME do Internet Explorer impedirá ou não a transformação de um arquivo de um tipo em outro tipo de arquivo mais perigoso. Quando esta configuração de diretiva está definida como Ativada, a detecção de MIME nunca permitirá a transformação de um arquivo de um tipo em outro tipo de arquivo mais perigoso. Se você definir esta configuração de diretiva como Desativada, os processos do Internet Explorer permitirão uma detecção MIME que transforme um arquivo de um tipo em um arquivo de tipo mais perigoso. Por exemplo, é perigoso transformar um arquivo de texto em um arquivo executável porque qualquer código no arquivo de texto pretendido seria executado.

Vulnerabilidade

Um site mal-intencionado pode fornecer conteúdo de um tipo com um rótulo MIME que indica que ele é seguro.

Contramedida

Defina a configuração Recursos de segurança de detecção de MIME para Todos os processos como Ativada.

Impacto potencial

Os aplicativos que dependem de tipos MIME com rótulos incorretos para funcionamento correta falharão quando esta configuração de diretiva for ativada.

Proteção de Cache de Objeto

Em versões anteriores do Internet Explorer, uma página da Web podia referir-se a um objeto em cache de outro site. A configuração Proteção de Cache de Objeto permite impedir essas referências a objetos em cache.

Vulnerabilidade

Um servidor mal-intencionado pode baixar um objeto no computador do usuário e então ativá-lo por código em outro local, talvez em uma zona diferente do Internet Explorer. Por exemplo, um invasor pode usar este método para criar scripts que escutam eventos ou conteúdo em outro quadro, como números de cartão de crédito ou outros dados confidenciais que sejam digitados no outro quadro.

Contramedida

Configure Proteção de Cache de Objeto para Processos do Internet Explorer como Ativada.

Impacto potencial

Aplicativos escritos adequadamente não depender do acesso de objeto entre domínios. Os aplicativos que fazem isso não funcionarão quando esta configuração de diretiva estiver ativada.

Restrições de segurança de janelas controladas por script

O Internet Explorer permite que scripts programem a abertura, redimensionamento e reposição de vários tipos de janelas. A configuração Restrições de segurança de janelas controladas por script restringe janelas pop-up e proíbe a exibição de janelas em que as barras de título e de status não estejam visíveis ao usuário ou que ocultem outras barras de títulos e de status das janelas. Se você ativar esta configuração de diretiva, o Windows aplicará estas restrições a processos do Windows Explorer e Internet Explorer. Se você desativar ou não configurar essa diretiva, os scripts poderão continuar a criar janelas pop-up e janelas que escondam outras janelas.

Observe que há muitas ferramentas de terceiros que tentam controlar as janelas pop-up do Internet Explorer. Muitas dessas ferramentas restringem janelas pop-up de forma semelhante a esta configuração. Bloqueadores de pop-up de terceiros normalmente não interferem nesta configuração, e esta configuração não deve ter efeito nesses bloqueadores.

Vulnerabilidade

Freqüentemente, sites desacreditados redimensionarão janelas para esconder outras janelas ou para forçar os usuários a interagir com uma janela que contem código destrutivo.

Contramedida

Defina a configuração Restrições de segurança de janelas controladas por script para Processos do Internet Explorer como Ativada.

Impacto potencial

Os aplicativos da Web que necessitam redimensionar ou posicionar janelas podem não funcionar corretamente quando esta configuração está em vigor.

Proteção contra Elevação de Zona

O Internet Explorer impõe restrições em cada página da Web aberta por ele que dependem da localização desta página (como zona da Internet, zona de Intranet ou zona do computador local). As páginas da Web em um computador local têm o menor número de restrições de segurança e residem no computador local, que converte tal zona em área prioritária para invasores mal-intencionados.

Se você ativar a configuração Processos do Internet Explorer – Proteção contra Elevação de Zona, qualquer zona poderá ser protegida contra elevação por processos do Internet Explorer. Esta abordagem impede que o conteúdo de uma zona obtenha privilégios mais elevados, de outra zona.

Vulnerabilidade

Páginas da Web mal-intencionadas podem tentar passar de sua zona atual para outra zona com privilégios mais altos.

Contramedida

Defina a configuração Proteção contra Elevação de Zona para Processos do Internet Explorer como Ativada.

Impacto potencial

Nenhum.

Instalação ActiveX Restrita

Esta configuração permite bloquear prompts de instalação de controles ActiveX para processos do Internet Explorer. Se você ativar esta configuração de diretiva, os usuários não serão avisados quando uma página incluir um controle ActiveX que tenha que ser manualmente instalado; eles não serão capazes de instalar o controle da página da Web. Se você desativar esta configuração de diretiva, os avisos de instalação de controles ActiveX não serão bloqueados.

Vulnerabilidade

Os usuários costumam aceitar a instalação de softwares como controles ActiveX que não são permitidos pelas diretivas de segurança da organização. Tais softwares podem representar significativos riscos de segurança e de privacidade às redes.

Contramedida

Defina a configuração Instalação ActiveX Restrita para Processos do Internet Explorer como Ativada.

Impacto potencial

Se você ativar esta configuração de diretiva, os usuários não poderão instalar controles ActiveX legítimos autorizados, como os que são usados pelo Windows Update. Se você ativar esta configuração de diretiva, certifique-se de implementar algum meio alternativo para implantar atualizações de segurança, como o Windows Server Update Services (WSUS). Para obter mais informações sobre o WSUS, consulte a página Windows Server Update Services Product Overview em www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx.

Download de Arquivo Restrito

Quando a configuração Download de Arquivo Restrito está ativada, os avisos de download de arquivos que não são iniciados pelo usuário são bloqueados para processos do Internet Explorer.

Vulnerabilidade

Em certas circunstâncias, sites podem iniciar solicitações de download de arquivos sem a interação de usuários. Essa técnica pode permitir que sites coloquem arquivos não autorizados nos computadores dos usuários, caso eles cliquem no botão errado e aceitem o download.

Contramedida

Defina a configuração Download de Arquivo Restrito para Processos do Internet Explorer como Ativada.

Impacto potencial

Nenhum. Não há razão legítima para um site iniciar a transferência de um arquivo para a estação de trabalho do usuário sem que o usuário solicite isso.

Gerenciamento de Complementos

Esta configuração de diretiva, juntamente com a configuração Lista de complementos, permite controlar os complementos do Internet Explorer. Por padrão, a configuração de diretiva Lista de complementos define uma lista de complementos permitidos ou recusados através da Diretiva de grupo. A configuração de diretiva Recusar todos os complementos, a menos que estejam explicitamente permitidos na Lista de complementos assegura que se recusarão todos os complementos, a menos que estejam explicitamente listados na configuração de diretiva Lista de complementos.

Se você ativar esta configuração de diretiva, o Internet Explorer só permitirá o uso de complementos que estejam explicitamente listados (e autorizados) na Lista de complementos. Se você desativar essa configuração, os usuários poderão usar o Gerente de complementos para permitir ou recusar um complemento.

Você deve considerar usar as configurações Recusar todos os complementos, a menos que estejam explicitamente permitidos na Lista de complementos e Lista de complementos para controlar os complementos que podem ser usados em seu ambiente. Essa abordagem ajudará a assegurar que somente sejam usados os complementos autorizados.

Vulnerabilidade

Complementos mal-escritos ou mal-intencionados podem desestabilizar ou comprometer os computadores dos usuários.

Contramedida

Defina a configuração Lista de complementos com a lista de complementos confiáveis do Internet Explorer aos quais os usuários devem ter acesso. Em seguida, configure Recusa todos os complementos, a menos que estejam explicitamente permitidos na Lista de complementos como Ativada.

Impacto potencial

Se você definir a configuração Recusa todos os complementos, a menos que estejam explicitamente permitidos na Lista de complementos como Ativada os usuários não poderão instalar ou configurar seus próprios complementos.

Bloqueio de Protocolo de Rede

O Windows Server 2003 SP1 e o Windows XP SP2 adicionam o recurso para que administradores impeçam a execução de conteúdo ativo que é baixado por protocolos de rede específicos. Os administradores podem especificar protocolos individuais (incluindo HTTP e HTTPS) na configuração Bloqueio de Protocolo de Rede para controlar quais protocolos podem ser usados para obter conteúdo ativo.

Vulnerabilidade

Os usuários podem baixar e executar conteúdo mal-intencionado de fontes não confiáveis.

Contramedida

Use a configuração Protocolos restritos por zona de segurança para definir quais protocolos podem ser usados para baixar conteúdo em cada zona. Em seguida, defina a configuração Bloqueio de Protocolo de Rede para Processos do Internet Explorer como Ativada.

Impacto potencial

Os usuários podem não ser capazes de executar aplicativos ou usar páginas que incluam conteúdo ativo se os controles por zona estiverem configurados. Você deve testar completamente os aplicativos em cada zona para assegurar que funcionem adequadamente quando o bloqueio de protocolo é usado.

Serviços de informações da Internet

O IIS (Serviços de Informações da Internet) 6.0, o servidor Web interno do Windows Server 2003, facilita o compartilhamento de informações e documentos na intranet de uma empresa e na Internet. Você pode definir a configuração do IIS no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Serviços de Informações da Internet

Impedir a instalação do IIS

O IIS 6.0 não é instalado por padrão no Windows Server 2003. Você pode ativar a configuração Impedir a instalação do IIS para impedir a instalação do IIS em computadores de seu ambiente.

Os valores possíveis para a configuração Impedir a instalação do IIS são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Versões anteriores do IIS e aplicativos que dependiam dele para acesso à rede tinham algumas vulnerabilidades sérias de segurança que poderiam ser exploradas remotamente. Embora o IIS 6.0 seja muito mais seguro do que seus predecessores, talvez haja novas vulnerabilidades que ainda devem ser descobertas e publicadas. Portanto, talvez, as organizações precisem garantir que o IIS não possa ser instalado em computadores diferentes dos especificados como servidores Web.

Contramedida

Defina a configuração Impedir a instalação do IIS como Ativada.

Impacto potencial

Você não poderá instalar os componentes ou aplicativos do Windows que precisem do IIS. Os usuários que instalam componentes ou aplicativos do Windows que precisam do IIS talvez não vejam uma mensagem de erro ou um aviso informando que o IIS não pode ser instalado devido a essa configuração de Diretiva de Grupo. Esta configuração de diretiva não terá nenhum efeito se for ativada em um computador no qual o IIS já esteja instalado.

Serviços de terminal

O componente Serviços de terminal do Windows Server 2003 é construído sobre a sólida base fornecida pelo modo de servidor de aplicativo nos Serviços de terminal do Windows 2000 e agora inclui os novos recursos de protocolo e cliente no Windows XP. Os Serviços de terminal permitem que você forneça aplicativos do Windows, ou a própria área de trabalho do Windows, a praticamente qualquer dispositivo de computação, inclusive aqueles que não podem executar o Windows.

Os Serviços de terminal do Windows Server 2003 podem aprimorar os recursos de implantação de software de uma empresa para diversos cenários, fornecendo uma flexibilidade substancial à infra-estrutura de gerenciamento e aplicativo. Quando um usuário executa um aplicativo no Terminal Server, essa execução ocorre no servidor, e apenas informações de teclado, mouse e vídeo são transmitidas pela rede. Cada usuário visualiza apenas sua sessão individual, que é gerenciada de forma transparente pelo sistema operacional do servidor. Essa sessão individual é independente de todas as outras sessões de clientes.

Você pode definir as configurações da Diretiva de Grupo do Terminal Server no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Serviços de terminal

Negar logoff de um administrador que fez logon na sessão de console

Esta configuração de diretiva especifica se um administrador que tenta se conectar ao console de um servidor pode fazer logoff de um administrador que atualmente esteja conectado ao console. A sessão de console também é conhecida como Sessão 0. O acesso de console pode ser obtido usando-se a opção /console da Conexão da área de trabalho remota no nome de campo do computador ou na linha de comando.

Os valores possíveis para a configuração Negar logoff de um administrador que fez logon na sessão de console são:

  • Ativada

  • Desativada

  • Não Configurado

Se você ativar a configuração Negar logoff de um administrador que fez logon na sessão de console, ninguém poderá fazer o logoff de um administrador que esteja conectado ao computador. Se você desativar esta configuração de diretiva, um administrador poderá fazer logoff de outro administrador. Se você não configurar esta configuração de diretiva, um administrador poderá fazer logoff de outro administrador, mas esta permissão poderá ser revogada no nível de diretiva do computador local.

Essa diretiva é útil quando o administrador atualmente conectado não deseja que seu logoff seja feito por outro administrador. Se for feito logoff de um administrador conectado, ele perderá quaisquer dados não salvos.

Vulnerabilidade

Um invasor que tenha conseguido estabelecer uma sessão do Terminal Server e que tenha adquirido privilégios administrativos poderá tornar ainda mais difícil a retomada do controle do computador se fizer o logoff forçado de um administrador que esteja tentando fazer logon no servidor no console da Sessão 0. O valor dessa contramedida é reduzido pelo fato de que um invasor que tenha obtido privilégios suficientes para fazer logoff de outros usuários já tenha praticamente assumido controle total do computador.

Contramedida

Defina a configuração Negar logoff de um administrador que fez logon na sessão de console como Ativada.

Impacto potencial

Um administrador não será capaz de fazer logoff forçado de outros administradores a partir do console da Sessão 0.

Não permitir que administradores locais personalizem permissões

Esta configuração de diretiva permite controlar os direitos dos administradores de personalizar as permissões de segurança na ferramenta Configuração de Serviços de Terminal (TSCC). Se você ativar esta configuração de diretiva, os administradores não poderão fazer alterações nos descritores de segurança para grupos de usuários na guia Permissões da TSCC. Na configuração padrão, os administradores podem fazer tais alterações.

Se você ativar a configuração Não permitir que administradores locais personalizem permissões, a guia Permissões da TSCC não poderá ser usada para personalizar descritores de segurança por conexão nem para alterar os descritores de segurança padrão para um grupo existente. Todos os descritores de segurança tornam-se Somente leitura. Se você desativar ou não definir esta configuração de diretiva, os administradores do servidor terão privilégios plenos de Leitura/Gravação para os descritores de segurança do usuário na guia Permissões da TSCC.

Os valores possíveis para a configuração Não permitir que administradores locais personalizem permissões são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: a forma preferida de gerenciar o acesso de usuários é adicioná-los ao grupo Usuários da Área de trabalho remota.

Vulnerabilidade

Um invasor que obtenha permissões administrativas em um servidor que executa Serviços de terminal poderá modificar permissões usando a ferramenta TSCC para impedir outras conexões de usuário ao servidor e criar uma condição de negação de serviço.

O valor dessa contramedida é reduzido, pois um invasor que receber privilégios administrativos já terá assumido controle total do computador.

Contramedida

Defina a configuração Não permitir que administradores locais personalizem permissões como Ativada.

Impacto potencial

A guia Permissões da TSCC não pode ser usada para personalizar descritores de segurança por conexão ou para alterar descritores de segurança padrão de um grupo existente.

Define regras para o controle remoto de sessões do usuário dos Serviços de terminal

Esta configuração de diretiva especifica o nível de controle remoto que é permitido em uma sessão de Terminal Server. O controle remoto pode ser estabelecido com ou sem a permissão do usuário de sessão. Você pode usar esta configuração de diretiva para selecionar um de dois níveis de controle remoto: Exibir sessão permite que o usuário do controle remoto observe uma sessão, e Controle total permite que o usuário do controle remoto interaja com a sessão.

Se você ativar a configuração Define regras para o controle remoto de sessões do usuário dos Serviços de terminal, os administradores poderão interagir remotamente com uma sessão de Terminal Server do usuário de acordo com as regras especificadas. Para definir essas regras, selecione o nível desejado de controle e permissão na lista Opções. Para desativar o controle remoto, selecione Controle remoto não permitido. Se você desativar ou não definir esta configuração de diretiva, o administrador do servidor poderá determinar as regras de controle remoto usando a ferramenta TSCC. Por padrão, os usuários do controle remoto podem ter controle total com a permissão do usuário da sessão.

Os valores possíveis para a configuração Define regras para o controle remoto de sessões do usuário dos Serviços de terminal são:

  • Ativado com opções para:

    • Controle remoto não permitido

    • Controle total com permissão do usuário

    • Controle total sem permissão do usuário

    • Exibir sessão com permissão do usuário

    • Exibir sessão sem permissão do usuário

  • Desativada

  • Não Configurado

Observação: esta configuração existe no nó Configuração do computador e no nó Configuração do usuário. Quando está definida em ambos os locais, Configuração do computador tem precedência sobre a mesma configuração em Configuração do usuário.

Vulnerabilidade

Um invasor que recebe privilégios administrativos no servidor pode usar o recurso de controle remoto dos Serviços de terminal para observar as ações de outros usuários. Uma situação como esta pode resultar na divulgação de informações confidenciais. O valor desta contramedida é diminuído pelo fato de que um invasor que obtenha privilégios administrativos já conseguiu controle completo do computador.

Contramedida

Defina a configuração Define regras para o controle remoto de sessões do usuário dos Serviços de terminal como Ativada e selecione a opção Controle remoto não permitido.

Impacto potencial

Os administradores não poderão usar o recurso de controle remoto para ajudar outros usuários dos Serviços de terminal.

Redirecionamento de dados cliente/servidor

Serviços de terminal permite que dados e recursos do cliente e do servidor sejam redirecionados. Por exemplo, os dados que são impressos de um aplicativo de servidor podem ser redirecionados ao cliente ou a área de transferência do cliente pode ser usada em aplicativos de servidor. As configurações na seção Redirecionamento de dados de cliente/servidor" da Diretiva de Grupo permitem personalizar quais tipos de redirecionamentos são permitidos.

As configurações de Redirecionamento de dados do Terminal Server podem ser definidas no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\
Serviços de terminal\Redirecionamento de dados cliente/servidor

Permitir redirecionamento de fuso horário

Esta configuração de diretiva especifica se deve-se permitir que o computador cliente redirecione suas configurações de fuso horário para a sessão de Terminal Server. Por padrão, o fuso horário da sessão é o mesmo do servidor e o computador cliente não pode redirecionar suas informações de fuso horário.

Se você ativar a configuração Permitir redirecionamento de fuso horário, os clientes que possam redirecionar fuso horário poderão enviar suas informações de fuso horário ao servidor. Em seguida, a hora base do servidor é usada para calcular a hora da sessão atual, que é a hora base do servidor mais o fuso horário do cliente. Atualmente, a Conexão de área de trabalho remota e o Windows CE 5.1 são os únicos clientes capazes de fazer redirecionamento de fuso horário. A Sessão 0, a sessão do console, sempre tem o fuso horário e as configurações do servidor. Para alterar a hora do computador e o fuso horário, estabeleça conexão com a Sessão 0.

Se você desativar a configuração Permitir redirecionamento de fuso horário, o redirecionamento de fuso horário não poderá ocorrer. Se você não definir esta configuração de diretiva, o redirecionamento de fuso horário não será especificado no nível de Diretiva de Grupo, e a configuração padrão será desativar o redirecionamento de fuso horário. Quando um administrador altera esta configuração de diretiva, apenas novas conexões exibem o comportamento especificado pela nova configuração. Para serem afetadas pela nova configuração, as sessões iniciadas antes da alteração devem fazer logoff e se reconectar. A Microsoft recomenda que todos os usuários façam logoff do servidor após a alteração dessa configuração de diretiva.

Os valores possíveis para a configuração Permitir redirecionamento de fuso horário são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: o redirecionamento de fuso horário só é possível em conexões com um Terminal Server da família Windows Server.

Vulnerabilidade

Os dados de fuso horário podem ser encaminhados da sessão do Terminal Server do usuário para seu computador local sem qualquer interação direta dele.

Contramedida

Defina a configuração Permitir redirecionamento de fuso horário como Desativada.

Impacto potencial

Não será possível redirecionar o fuso horário.

Não permitir redirecionamento de área de transferência

Esta configuração de diretiva controla se o conteúdo da área de transferência pode ser compartilhado (redirecionamento de área de transferência) entre um computador remoto e um computador cliente em uma sessão Terminal Server. Você pode usar esta configuração para impedir o redirecionamento de dados de área de transferência entre o computador remoto e o computador local. Por padrão, os Serviços de terminal permitem esse redirecionamento.

Se você ativar a configuração Não permitir redirecionamento de área de transferência, os usuários não poderão redirecionar os dados de área de transferência. Se você desativar esta configuração de diretiva, Serviços de terminal sempre permitirá o redirecionamento de área de transferência. Se você não definir esta configuração de diretiva, o redirecionamento de área de transferência não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá desativar o redirecionamento de área de transferência usando a ferramenta TSCC.

Os valores possíveis para a configuração Não permitir redirecionamento de área de transferência são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Seria possível encaminhar dados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina a configuração Não permitir redirecionamento de área de transferênciacomo Ativada.

Impacto potencial

Não será possível realizar o redirecionamento de área de transferência.

Permitir redirecionamento de áudio

Esta configuração de diretiva especifica se os usuários podem escolher onde reproduzir a saída de áudio do computador remoto durante uma sessão de Terminal Server. Os usuários podem clicar no botão de opção Som do computador remoto na guia Recursos locais de Conexão de área de trabalho remota para optar entre tocar o áudio no computador remoto ou no computador local. Os usuários também podem optar por desativar o áudio. Por padrão, os usuários não podem aplicar o redirecionamento de áudio quando ligam se conectam por Serviços de terminal a um servidor que execute Windows Server 2003. Os usuários que se conectam a um computador que execute Windows XP Professional podem aplicar o redirecionamento de áudio por padrão.

Se você ativar a configuração Permitir redirecionamento de áudio, os usuários poderão aplicar o redirecionamento de áudio. Se você desativar esta configuração de diretiva, os usuários não poderão aplicar o redirecionamento de áudio. Se você não definir esta configuração de diretiva, o redirecionamento de áudio não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá ativar ou desativar o redirecionamento de áudio usando a ferramenta TSCC.

Os valores possíveis para a configuração Permitir redirecionamento de áudio são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Dados podem ser encaminhados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina a configuração Permitir redirecionamento de áudio como Desativada.

Impacto potencial

Não será possível redirecionar o áudio.

Não permitir redirecionamento de porta COM

Esta configuração de diretiva pode ser usada para impedir o redirecionamento de dados para portas de comunicação de cliente do computador remoto em uma sessão de Terminal Server. Se você ativar esta configuração de diretiva, os usuários não poderão redirecionar dados para periféricos da porta COM ou mapear portas COM locais enquanto estão conectados a uma sessão de Terminal Server. Por padrão, os Serviços de terminal permitem o redirecionamento de porta COM.

Se você ativar a configuração Não permitir redirecionamento de porta COM, os usuários não poderão redirecionar dados de servidor para a porta COM local. Se você desativar esta configuração de diretiva, o redirecionamento de porta COM de Serviços de terminal sempre será permitido. Se você não definir esta configuração de diretiva, o redirecionamento de porta COM não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá desativar o redirecionamento de porta COM usando a ferramenta TSCC.

Os valores possíveis para a configuração Não permitir redirecionamento de porta COM são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Dados podem ser encaminhados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina a configuração Não permitir redirecionamento de porta COM como Ativada.

Impacto potencial

Não será possível realizar o redirecionamento de porta COM.

Não permitir redirecionamento de impressora cliente

Esta configuração de diretiva especifica se impressoras clientes podem ser mapeadas em sessões de Terminal Server. Você pode usar esta configuração de diretiva para impedir o redirecionamento de trabalhos de impressão para computadores locais (clientes) dos usuários a partir do computador remoto. Por padrão, Serviços de terminal permite que impressoras clientes sejam mapeadas.

Se você ativar a configuração Não permitir redirecionamento de impressora cliente, os usuários não poderão redirecionar trabalhos de impressão do computador remoto para uma impressora cliente local em sessões de Terminal Server. Se você desativar esta configuração de diretiva, os usuários poderão redirecionar trabalhos de impressão com o mapeamento de impressoras clientes. Se você não definir esta configuração de diretiva, o mapeamento de impressoras clientes não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá desativar o mapeamento de impressoras clientes usando a ferramenta TSCC.

Os valores possíveis para a configuração Não permitir redirecionamento de impressora cliente são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Dados podem ser encaminhados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina a configuração Não permitir redirecionamento de impressora cliente como Ativada.

Impacto potencial

Não será possível realizar o redirecionamento de impressora.

Não permitir redirecionamento de porta LPT

Esta configuração de diretiva especifica se deve-se impedir o redirecionamento de dados para portas paralelas (LPT) clientes durante uma sessão de Terminal Server. Você pode usar esta configuração para impedir que os usuários mapeiem portas LPT locais para redirecionar dados do computador remoto para periféricos de porta LPT local. Por padrão, os Serviços de terminal permitem o redirecionamento de porta LPT.

Se você ativar a configuração Não permitir redirecionamento de porta LPT, os usuários de uma sessão de Terminal Server não poderão redirecionar os dados de servidor para sua porta LPT local. Se você desativar esta configuração de diretiva, o redirecionamento de porta LPT sempre será permitido. Se você não definir esta configuração, o redirecionamento de porta LPT não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá desativar o redirecionamento de porta LPT local usando a ferramenta TSCC.

Os valores possíveis para a configuração Não permitir redirecionamento de porta LPT são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Dados podem ser encaminhados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina a configuração Não permitir redirecionamento de porta LPT como Ativada.

Impacto potencial

Não será possível realizar o redirecionamento de porta LPT.

Não permitir redirecionamento de unidade

Por padrão, os Serviços de terminal mapeiam unidades do cliente automaticamente durante a conexão. As unidades mapeadas aparecem na árvore de pastas da sessão no Windows Explorer ou em Meu Computador no formato <unidade_letra> em <nome_computador>. Você pode usar a configuração Não permitir redirecionamento de unidade para substituir esse comportamento.

Você pode ativar a configuração Não permitir redirecionamento de unidade para impedir o redirecionamento de unidade cliente em sessões de Terminal Server. Se você desativar esta configuração de diretiva, o redirecionamento de unidade cliente sempre será permitido. Se você não definir esta configuração de diretiva, o redirecionamento de unidade cliente não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá desativar o redirecionamento de unidades dos clientes usando a ferramenta TSCC.

Os valores possíveis para a configuração Não permitir redirecionamento de área de unidade são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Dados podem ser encaminhados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina a configuração Não permitir redirecionamento de unidade como Ativada.

Impacto potencial

Não será possível redirecionar a unidade.

Não definir a impressora cliente como padrão em uma sessão

Esta configuração de diretiva orienta Serviços de terminal a não especificar a impressora cliente padrão como a impressora padrão para sessões de Terminal Server. Por padrão, Serviços de terminal atribui automaticamente a impressora cliente padrão como a impressora padrão. Esta configuração pode substituir a configuração padrão.

Se você ativar a configuração Não definir a impressora cliente como padrão em uma sessão, o Terminal Server não poderá configurar a impressora cliente padrão como a impressora padrão para a sessão. Em vez disso, o servidor especifica o padrão no servidor. Se você desativar esta configuração de diretiva, a impressora padrão sempre será a impressora cliente padrão. Se você não definir esta configuração, a atribuição de impressora padrão não será aplicada no nível de Diretiva de Grupo. No entanto, um administrador poderá configurar a impressora padrão para sessões de cliente usando a ferramenta TSCC.

Os valores possíveis para a configuração Não definir a impressora cliente como padrão em uma sessão são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Dados podem ser encaminhados da sessão do Terminal Server do usuário para o computador local do usuário sem qualquer interação direta dele.

Contramedida

Defina esta configuração de diretiva como Ativada.

Impacto potencial

A impressora padrão de um computador cliente não será a impressora padrão durante sua sessão do Terminal Server.

Criptografia e segurança

Você pode definir as configurações Criptografia e segurança do Terminal Server no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\
Serviços de terminal\Criptografia e segurança

Definir o nível de criptografia da conexão de cliente

Esta configuração de diretiva especifica se um nível de criptografia deverá ser aplicado a todos os dados enviados entre o computador cliente e o computador remoto durante uma sessão do Terminal Server.

Se você ativar a configuração Definir o nível de criptografia da conexão de cliente poderá especificar o nível de criptografia para todas conexões ao servidor. Por padrão, a criptografia é definida como Nível alto. Se você desativar ou não definir esta configuração de diretiva, nenhum nível de criptografia será aplicado por Diretiva de Grupo. No entanto, os administradores podem definir o nível de criptografia no servidor usando a ferramenta TSCC.

Os valores possíveis para a configuração Definir o nível de criptografia da conexão de cliente são:

  • Ativada com opções de criptografia para:

    • Compatível com cliente. Este valor criptografa os dados enviados entre o cliente e o servidor com a segurança máxima de chave para a qual o cliente oferece suporte. Use este nível quando o computador remoto for executado em um ambiente que contenha clientes mistos ou herdados.

    • Nível alto. Este valor criptografa os dados que são enviados entre o cliente e o servidor com criptografia de 128 bits forte. Use este nível quando o computador remoto for executado em um ambiente que contenha somente clientes de 128 bits, como os clientes de Conexão da área de trabalho remota. Os clientes que não oferecerem suporte a esse nível de criptografia não poderão se conectar.

    • Nível baixo. Este valor criptografa os dados enviados do cliente para o servidor com criptografia de 56 bits. Quando você especifica Nível baixo, os dados enviados do servidor para o cliente não são criptografados.

  • Desativado

  • Não configurado

Importante: se a compatibilidade com FIPS já tiver sido ativada pela configuração Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash, e assinatura, você não poderá alterar o nível de criptografia com esta configuração de diretiva ou com a ferramenta TSCC.

Vulnerabilidade

Se forem permitidas conexões de cliente do Terminal Server que usem criptografia de nível baixo, será mais provável que um invasor seja capaz de descriptografar qualquer tráfego de rede de Serviços de terminal capturado.

Contramedida

Defina a configuração Definir o nível de criptografia da conexão de cliente como Nível alto.

Impacto potencial

Clientes que não oferecerem suporte à criptografia de 128 bits não poderão estabelecer sessões do Terminal Server.

Sempre pedir senha ao cliente ao conectar

Esta configuração de diretiva especifica se Serviços de terminal sempre solicita ao cliente uma senha na conexão. Você pode usar essa configuração de diretiva para aplicar um prompt de senha para usuários que estiverem fazendo logon em Serviços de terminal, mesmo que eles já tenham fornecido a senha no cliente da Conexão de área de trabalho remota. Por padrão, Serviços de terminal permite que os usuários façam logon automaticamente inserindo uma senha no cliente da Conexão de área de trabalho remota.

Se você ativar a configuração Sempre pedir senha ao cliente ao conectar, os usuários não poderão fazer logon automaticamente a Serviços de terminal, ainda que tenham fornecido suas senhas no cliente de Conexão da Área de Trabalho Remota. Eles serão solicitados a fornecer uma senha para fazer logon. Se você desativar esta configuração de diretiva, os usuários sempre poderão fazer logon automaticamente a Serviços de terminal se fornecem suas senhas no cliente de Conexão da Área de Trabalho Remota. Se você não definir esta configuração de diretiva, o logon automático não será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda poderá aplicar o prompt de senha usando a ferramenta TSCC.

Os valores possíveis para a configuração Sempre pedir senha ao cliente ao conectar são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários têm a opção de armazenar o nome de usuário e a senha ao criarem um novo atalho da Conexão da área de trabalho remota. Se o servidor que executa Serviços de terminal permitir que os usuários que tiverem usado esse recurso façam logon mas não digitem a senha, um invasor que obtiver acesso físico ao computador do usuário poderá se conectar a um Terminal Server usando o atalho da Conexão da área de trabalho remota, mesmo que ele não saiba qual é a senha do usuário.

Contramedida

Defina a configuração Sempre pedir senha ao cliente ao conectar como Ativada.

Impacto potencial

Ao estabelecer novas sessões do Terminal Server, os usuários sempre precisarão inserir suas senhas.

Diretiva de segurança de RPC

Você pode definir a configuração Segurança RPC do Terminal Server no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\Serviços de terminal\Criptografia e segurança\Segurança RPC

Servidor seguro (requer segurança)

Esta configuração de diretiva especifica se um Terminal Server requer comunicação segura de RPC (Chamada de Procedimento Remoto) com todos os clientes ou se permite comunicação não segura. Você pode usar essa configuração para fortalecer a segurança de comunicação RPC com clientes se permitir somente solicitações autenticadas e criptografadas.

Se você ativar a configuração Servidor seguro (requer segurança), o Terminal Server só aceitará solicitações de clientes de RPC com suporte para solicitações seguras. Ele não permitirá a comunicação não protegida com clientes que não sejam confiáveis. Se você desativar esta configuração de diretiva, o Terminal Server sempre aceitará solicitações em qualquer nível de segurança para todo o tráfego de RPC. No entanto, comunicações não seguras são permitidas para clientes RPC que não respondam à solicitação. Se você não definir esta configuração de diretiva, nenhuma comunicação não protegida será permitida.

Os valores possíveis para a configuração Servidor seguro (requer segurança) são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: use a interface RPC para administrar e configurar Serviços de terminal.

Vulnerabilidade

As comunicações RPC não seguras expõem o servidor a ataques por interceptação e de divulgação de dados. Um ataque por interceptação ocorre quando um invasor captura pacotes entre um cliente e um servidor e os modifica antes de permitir que sejam trocados. Geralmente, o invasor modifica as informações do pacote em uma tentativa de fazer com que o cliente ou o servidor revele informações confidenciais.

Contramedida

Defina a configuração Servidor seguro (requer segurança) como Ativada.

Impacto potencial

Clientes que não oferecem suporte a RPC seguro não podem gerenciar o servidor remotamente.

Sessões

Você pode definir configurações Segurança RPC do Terminal Server adicionais no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\Criptografia e segurança dos serviços de terminal\Sessões

Definir limite de tempo para sessões desconectadas

Esta configuração de diretiva especifica um prazo para sessões de Terminal Server desconectadas. Você pode usar essa configuração para especificar por quanto tempo uma sessão desconectada permanecerá ativa no servidor. Por padrão, Serviços de terminal permite aos usuários se desconectar de uma sessão remota, mas não exige que façam logoff e encerrem a sessão. Quando uma sessão está desconectada, os programas podem continuar em execução mesmo que o usuário não esteja mais conectado de forma ativa. Por padrão, essas sessões desconectadas são mantidas por tempo ilimitado no servidor.

Você pode ativar a configuração Definir limite de tempo para sessões desconectadas para excluir sessões desconectadas do servidor depois de um período de tempo especificado. Para aplicar o comportamento padrão que mantém sessões desconectadas por tempo ilimitado, selecione Nunca. Se você desativar ou não definir esta configuração de diretiva, nenhum prazo será especificado para sessões desconectadas no nível de Diretiva de Grupo.

Os valores possíveis para a configuração Definir limite de tempo para sessões desconectadas são:

  • Ativado com opções de especificação de tempo para:

    • Nunca

    • 1 minuto

    • 5 minutos

    • 10 minutos

    • 15 minutos

    • 30 minutes

    • 1 hora

    • 2 horas

    • 3 horas

    • 1 dia

    • 2 dias

  • Desativada

  • Não Configurado

Observação: esta configuração de diretiva não se aplica a sessões de console como sessões de Área de trabalho remota com computadores que executam Windows XP Professional. Esta configuração de diretiva existe no nó Configuração do computador e no nó Configuração do usuário. Quando está definida em ambos os locais, a configuração de Configuração do computador tem precedência sobre a mesma configuração no nó Configuração do usuário.

Vulnerabilidade

Cada sessão do Terminal Server usa recursos de sistema. A menos que as sessões desconectadas por um longo período de tempo sejam encerradas à força, os servidores podem ficar com poucos recursos.

Contramedida

Defina a configuração Definir limite de tempo para sessões desconectadas como Ativada e selecione a opção 1 dia na caixa de listagem Encerrar uma sessão desconectada.

Impacto potencial

Os usuários que esquecem de fazer logoff das sessões do Terminal Server terão essas sessões encerradas depois de 24 horas de inatividade.

Permitir reconexão apenas do cliente original

Esta configuração de diretiva permite impedir reconexões de Serviços de terminal para sessões desconectadas por usuários de computadores diferentes do computador cliente original no qual criaram a sessão. Por padrão, os Serviços de terminal permitem que usuários se reconectem a sessões desconectadas de qualquer computador cliente.

Se você ativar a configuração Permitir reconexão apenas do cliente original, os usuários poderão se reconectar a sessões desconectadas somente do computador cliente original. Se um usuário tentar se conectar à sessão desconectada de outro computador, uma nova sessão será criada. Se você desativar esta configuração, os usuários sempre poderão se conectar de uma sessão desconectada de qualquer computador. Se você não definir esta configuração, nenhuma regra de reconexão de sessão será especificada no nível de Diretiva de Grupo.

Os valores possíveis para a configuração Permitir reconexão apenas do cliente original são:

  • Ativada

  • Desativada

  • Não Configurado

Importante: essa configuração oferece suporte somente para clientes Citrix ICA que fornecem um número de série durante a conexão; a configuração será ignorada se o usuário se conectar com um cliente Windows. Esta configuração existe no nó Configuração do computador e no nó Configuração do usuário. Quando está definida em ambos os locais, a configuração de Configuração do computador tem precedência sobre a mesma configuração no nó Configuração do usuário.

Vulnerabilidade

Por padrão, os usuários podem restabelecer as sessões do Terminal Server desconectadas a partir de qualquer computador. Se você ativar esta configuração, garantirá que os usuários só possam se reconectar do computador que foi usado originalmente para estabelecer a conexão. O valor dessa contramedida é diminuído pelo fato de ser aplicado apenas por usuários que se conectam com clientes Citrix ICA.

Contramedida

Defina a configuração Permitir reconexão apenas do cliente original como Ativada.

Impacto potencial

Os usuários que se conectam por clientes Citrix ICA só poderão restabelecer sessões desconectadas com o computador que eles usaram para estabelecer a sessão.

Windows Explorer

Você pode definir a configuração do Windows Explorer abaixo no seguinte local, dentro do Editor de objeto de Diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Windows Explorer

Desativar modo protegido do protocolo do shell

Esta configuração de diretiva permite configurar a quantidade de funcionalidade do protocolo do shell. A funcionalidade completa deste protocolo permite que os aplicativos abram pastas e iniciem arquivos. O modo protegido reduz a funcionalidade e só permite que os aplicativos abram um conjunto limitado de pastas. Os aplicativos não podem abrir arquivos quando este protocolo está no modo protegido.

A Microsoft recomenda que este protocolo fique no modo protegido para aumentar a segurança do Windows. Se você ativar a configuração Desativar modo protegido do protocolo do shell, o protocolo permitirá que qualquer aplicativo abra quaisquer pastas ou arquivos. Se você desativar ou não definir esta configuração de diretiva, o protocolo estará em modo protegido e os aplicativos só poderão abrir um conjunto limitado de pastas.

Os valores possíveis para a configuração Desativar modo protegido do protocolo do shell são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

A funcionalidade total do protocolo do shell permite aos aplicativos abrir arquivos e pastas. Esta capacidade pode causar a chamada acidental de software mal-intencionado ou destrutivo e a divulgação não-autorizada de informações. Ela também pode resultar em uma condição de negação de serviço.

Contramedida

Defina a configuração Desativar modo protegido do protocolo do shell como Ativada.

Impacto potencial

Se você ativar a configuração Desativar modo protegido do protocolo do shell, as páginas da Web que dependem do uso do protocolo do shell não funcionarão adequadamente.

Windows Messenger

O Windows Messenger é usado para enviar mensagens instantâneas a outros usuários em uma rede de computadores. As mensagens podem incluir arquivos e outros anexos.

Você pode definir a configuração indicada do Windows Messenger no seguinte local, dentro do Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\
Windows Messenger

Não permitir a execução do Windows Messenger

A configuração Não permitir a execução do Windows Messenger permite desativar o Windows Messenger. Você pode definir esta configuração como Ativada para impedir o uso do Windows Messenger.

Observação: se você definir esta configuração como Ativada, a Assistência remota não poderá usar o Windows Messenger e os usuários não poderão usar o MSN® Messenger.

Windows Update

Use o Windows Update para baixar itens como correções de segurança, atualizações críticas, os arquivos da Ajuda mais recentes, drivers e produtos para a Internet. Você pode definir as configurações do Windows Update no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\

Configurar as Atualizações Automáticas

A configuração de diretiva especifica se os computadores em seu ambiente receberão atualizações de segurança e outros downloads importantes pelo serviço de atualização automática do Windows.

Se você ativar a configuração Configurar as Atualizações Automáticas, o Windows determinará quando os computadores estão online e usará sua conexão com a Internet para pesquisar o site Windows Update em busca de atualizações que se apliquem a eles. Se você desativar esta configuração de diretiva, as atualizações deverão ser baixadas e instaladas manualmente do site Windows Update em http://windowsupdate.microsoft.com. Se você não definir esta configuração, nenhum uso de Atualizações Automáticas será especificado no nível de Diretiva de Grupo. No entanto, um administrador ainda pode configurar as Atualizações automáticas pelo Painel de controle.

Os valores possíveis para a configuração Configurar as Atualizações Automáticas são:

  • Ativada, com opções na caixa de listagem Configurar atualização automática para:

    • 2.Avisar antes de fazer o download das atualizações e de instalá-las no computador.

      Quando o Windows localiza atualizações aplicáveis a computadores em seu ambiente, um ícone aparece na área de status com uma mensagem de que há atualizações prontas para download. Quando você clica no ícone ou mensagem, pode selecionar atualizações específicas. Em seguida, o Windows fará o download das atualizações selecionadas em segundo plano. Quando o download estiver concluído, o ícone aparecerá novamente na área de status, avisando que as atualizações já estão prontas para serem instaladas. Quando você clica no ícone ou mensagem, pode selecionar quais atualizações instalar.

    • Baixar as atualizações automaticamente e notificar quando elas estiverem prontas para instalação. 

      Este valor é a configuração padrão. O Windows encontra atualizações que se aplicam ao computador e as baixa em segundo plano (o usuário não é notificado ou interrompido durante esse processo). Quando o download estiver concluído, o ícone aparecerá na área de status, avisando que as atualizações estão prontas para serem instaladas. Clique no ícone ou na mensagem para selecionar quais atualizações serão instaladas.

    • Baixar as atualizações automaticamente e instalá-las no agendamento especificado abaixo.

      Especifique o agendamento usando as opções nas configurações de Diretivas de Grupo. Se nenhum agendamento for especificado, o horário padrão para todas as instalações será todos os dias às 3:00. Se qualquer atualização exigir reinicialização para completar a instalação, o Windows reiniciará os computadores afetados automaticamente. Se um usuário fizer logon no computador quando o Windows estiver pronto para reiniciar, o usuário será notificado e será fornecida a opção para reiniciar mais tarde.

  • Desativado

  • Não configurado

Para ativar essa configuração, clique em Ativado e selecione uma das opções (2, 3 ou 4). Caso tenha selecionado a opção 4, é possível configurar um agendamento recorrente. Se não houver agendamento especificado, todas as instalações irão ocorrer todo dia às 3 horas.

Vulnerabilidade

Embora o Windows Server 2003 e o Windows XP tenham sido testados antes do lançamento, talvez alguns problemas sejam descobertos depois que os produtos forem lançados. A configuração Configurar as Atualizações Automáticas pode ajudar a assegurar que os computadores em seu ambiente sempre tenham as mais recentes atualizações críticas de sistema operacional e service packs instalados.

Contramedida

Defina a configuração Configurar as Atualizações Automáticas como Ativada e selecione 4. Baixar as atualizações automaticamente e instalá-las no agendamento especificado abaixo na caixa de listagem Configurar atualização automática.

Impacto potencial

As atualizações críticas do sistema operacional e os service packs serão baixados e instalados automaticamente às 3 horas todos os dias.

Nenhuma reinicialização automática para instalações de Atualizações Automáticas agendadas

Esta configuração de diretiva especifica que Atualizações Automáticas irá esperar que os computadores sejam reiniciados pelos usuários que estão conectados para completar uma instalação agendada.

Se você ativar a configuração Nenhuma reinicialização automática para instalações de Atualizações Automáticas agendadas, Atualizações Automáticas não reiniciará os computadores automaticamente durante instalações agendadas. Em vez disso, Atualizações Automáticas solicitará que os usuários reiniciem seus computadores para concluir as instalações. Observe que Atualizações Automáticas não será capaz de detectar atualizações futuras até que os computadores afetados sejam reiniciados. Se você desativar ou não definir esta configuração, Atualizações Automáticas notificará os usuários que seus computadores serão automaticamente reiniciados em 5 minutos para completar as instalações.

Os valores possíveis para a configuração Nenhuma reinicialização automática para instalações de Atualizações Automáticas agendadas são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: essa configuração aplica-se somente quando a opção Atualizações Automáticas está configurada para executar instalações de atualização agendadas. Se a configuração Configurar atualizações automáticas estiver definida como Desativado, esta configuração não terá efeito.

Vulnerabilidade

Às vezes as atualizações exigem que os computadores atualizados sejam reiniciados para completar uma instalação. Se não for possível reiniciar o computador automaticamente, a atualização mais recente não será totalmente instalada e não ocorrerá o download de novas atualizações para o computador até que ele seja reiniciado.

Contramedida

Defina a configuração Nenhuma reinicialização automática para instalações de Atualizações Automáticas agendadas como Desativada.

Impacto potencial

Se você ativar esta configuração de diretiva, os sistemas operacionais nos servidores em seu ambiente se reiniciarão automaticamente. Para servidores críticos isto pode levar a condições temporárias, mas inesperadas, de negação de serviço.

Reagendar instalações agendadas de Atualizações Automáticas

Esta configuração de diretiva especifica o tempo que Atualizações Automáticas deve aguardar (depois da inicialização) antes de prosseguir com uma instalação agendada que foi previamente ignorada. Se você ativar esta configuração, a instalação que não aconteceu mais cedo começará após um número especificado de minutos depois que o computador for iniciado da próxima vez. Se você desativar ou não definir esta configuração, as instalações agendadas que foram ignoradas previamente ocorrerão com a próxima instalação agendada.

Os valores possíveis para a configuração Reagendar instalações agendadas de Atualizações Automáticas são:

  • Ativada, com a opção de especificar um tempo entre 1 e 60 minutos.

  • Desativada

  • Não Configurado

Observação: essa configuração aplica-se somente quando a opção Atualizações Automáticas está configurada para executar instalações de atualização agendadas. Se a configuração Configurar atualizações automáticas estiver definida como Desativado, esta configuração não terá efeito.

Vulnerabilidade

Se Atualizações Automáticas não for forçada a esperar alguns minutos após uma reinicialização, os computadores em seu ambiente poderão não ter tempo suficiente para iniciar completamente todos os seus aplicativos e serviços. Se você especificar um tempo suficiente após uma reinicialização, novas instalações de atualização não deverão ter conflitos com os procedimentos de inicialização do computador.

Contramedida

Defina a configuração Reagendar instalações agendadas de Atualizações Automáticas como Ativada e especifique 10 minutos.

Impacto potencial

As Atualizações Automáticas só serão executadas depois de 10 minutos após a reinicialização do computador.

Especifique o local do serviço de atualização da Microsoft para a intranet

Esta configuração de diretiva permite especificar um servidor de Intranet para hospedar atualizações do site Microsoft Update. Você pode usar este local de serviço de atualização para a atualização automática de computadores da rede. O cliente de Atualizações automáticas irá procurar nesse serviço atualizações que se aplicam aos computadores na rede.

Para usar a configuração Especifica configuração de local, você deve definir dois valores do nome de servidor: o servidor do qual o cliente de Atualizações Automáticas detecta e baixa atualizações, e o servidor no qual as estações de trabalho atualizadas carregam estatísticas. Você pode definir os dois valores no mesmo servidor.

Se você ativar a configuração Especifique o local do serviço de atualização da Microsoft para a intranet, o cliente de Atualizações Automáticas se conectará ao servidor especificado de serviço de atualização Microsoft de intranet (em vez do Windows Update) para procurar e baixar atualizações. Esta configuração permite que os usuários finais de sua organização evitem problemas de firewall e fornece a você uma oportunidade de testar as atualizações antes de implantá-las. Se você desativar ou não definir esta configuração de diretiva, o cliente de Atualizações Automáticas se conectará diretamente ao site do Windows Update na Internet (se Atualizações Automáticas não estiver desativada por Diretiva de Grupo ou por preferência do usuário).

Os valores possíveis para a configuração Especifique o local do serviço de atualização da Microsoft para a intranet são:

  • Ativada. Depois de selecionar esse valor, especifique o nome do servidor de atualização na intranet e o nome do servidor de estatísticas na caixa de diálogo Propriedades.

  • Desativada

  • Não Configurado

Observação: se a configuração Configurar atualizações automáticas estiver definida como Desativada, esta configuração não terá efeito.

Vulnerabilidade

Por padrão, as Atualizações automáticas tentarão baixar atualizações do site do Microsoft Windows Update. Algumas organizações desejam verificar se todas as atualizações novas são compatíveis com seu ambiente específico antes de implantá-las. Além disso, se você configurar um servidor SUS (Software Update Services) interno, você ajudará a reduzir a carga em firewalls de perímetro, roteadores e servidores proxy, assim como a carga em links de rede externos.

Contramedida

Defina a configuração Especifique o local do serviço de atualização da Microsoft para a intranet como Ativada. Especifique o nome do servidor de atualização na intranet e o nome do servidor de estatísticas na caixa de diálogo Propriedades.

Impacto potencial

As atualizações críticas e os service packs deverão ser gerenciados antecipadamente pela equipe de TI da empresa.

Sistema

Você pode definir a configuração Sistema descrita abaixo no seguinte local, dentro do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema

Desativar AutoExecutar

AutoExecutar inicia a leitura da unidade assim que você insere a mídia, fazendo com que o arquivo de instalação de programas ou mídia de áudio seja iniciado automaticamente. Você pode ativar a configuração Desativar AutoExecutar para desativar a funcionalidade de AutoExecutar. AutoExecutar fica desativado por padrão em alguns tipos de unidade removível, como unidades de disquete e de rede, mas é ativado por padrão   em unidades de CD-ROM.

Observação: não é possível usar esta configuração para ativar o recurso AutoExecutar em unidades de computadores que estão desativadas por padrão, como unidades de disquete e de rede.

Vulnerabilidade

Um invasor poderia usar esse recurso para iniciar um programa e danificar um computador cliente ou os dados do computador.

Contramedida

Defina a configuração Desativar AutoExecutar como Ativada.

Impacto potencial

Os usuários terão que iniciar manualmente os programas de instalação fornecidos em mídia removível.

Logon

Você pode definir a configuração Logon descrita abaixo no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema\Logon

Não exibir tela de boas-vindas 'Guia de introdução' ao ser efetuado o logon

Esta configuração de diretiva oculta a tela de boas-vindas que o Microsoft Windows 2000 Professional e o Windows XP Professional exibem sempre que o usuário faz logon. Os usuários ainda poderão exibir a tela de boas-vindas se a selecionarem no menu Iniciar.

A configuração Não exibir tela de boas-vindas 'Guia de introdução' ao ser efetuado o logon aplica-se apenas ao Windows 2000 Professional e ao Windows XP Professional. Ela não afeta a configuração Configurar o servidor no Windows 2000 Server ou no Windows Server 2003.

Os valores possíveis para a configuração Não exibir tela de boas-vindas 'Guia de introdução' ao ser efetuado o logon são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: esta configuração de diretiva existe no nó Configuração do computador e no nó Configuração do usuário. Se ambas as configurações estiverem definidas, a definição em Configurações do computador prevalece sobre Configurações do usuário.

Vulnerabilidade

A tela de boas-vindas Guia de Introdução incentiva os usuários a explorarem a área de trabalho do Windows XP. Algumas organizações desejam fornecer a seus usuários treinamento voltado para suas funções específicas, além de orientá-los com outras fontes de informações.

Contramedida

Defina a configuração Não exibir tela de boas-vindas 'Guia de introdução' ao ser efetuado o logon como Ativada.

Impacto potencial

Os usuários não verão a tela de boas-vindas Guia de Introdução quando fizerem logon em seus computadores.

Não processar a lista herdada de itens para execução

A configuração Não processar a lista herdada de itens para execução faz com que a lista de itens para execução, que é a lista de programas que o Windows XP executa automaticamente quando é iniciado, seja ignorada. As listas personalizadas de itens para execução do Windows XP são armazenadas no Registro nos seguintes locais:

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Os valores possíveis para a configuração Não processar a lista herdada de itens para execução são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Um usuário mal-intencionado pode configurar um programa para ser executado a cada vez que o Windows for iniciado, o que pode comprometer os dados no computador ou causar outros danos.

Contramedida

Defina a configuração Não processar a lista herdada de itens para execução como Ativada.

Impacto potencial

Se você ativar esta configuração, certos programas de computador, como software antivírus e software de distribuição e monitoramento, também têm a execução impedida. Avalie o nível de risco do ambiente que essa configuração deve proteger, antes de optar por uma estratégia para usar essa configuração na sua organização.

Não processar a lista de itens para execução única

Esta configuração de diretiva faz com que a lista de itens para execução única (a lista de programas que o Windows XP executa automaticamente quando iniciado) seja ignorada. Esta configuração difere de Não processar a lista herdada de itens para execução porque os programas da lista são executados somente uma vez, na próxima vez que o cliente for reiniciado. Os programas de instalação e configuração, às vezes, são incluídos nessa lista para concluir instalações depois que o cliente for reiniciado. Se você ativar esta configuração de diretiva, os invasores não poderão usar a lista de itens para execução única para iniciar aplicativos mal-intencionados, o que era um método comum de ataque no passado.

Observação: listas personalizadas de itens para execução única são armazenadas no Registro no seguinte local: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce.

Os valores possíveis para a configuração Não processar a lista de itens para execução única são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Um usuário mal-intencionado pode explorar a lista de itens para execução única para instalar um programa que pode pôr em risco a segurança dos clientes Windows XP.

Contramedida

Defina a configuração Nãoprocessar a lista herdada de itens para execução como Ativada.

Impacto potencial

Se você ativar a configuração Nãoprocessar a lista de itens para execução única deverá experimentar uma perda mínima de funcionalidade para os usuários em seu ambiente, especialmente se os clientes tiverem sido configurados com todo o software padrão de sua organização antes de você aplica esta configuração por Diretiva de Grupo. No entanto, esta configuração pode impedir que alguns programas de instalação, como o do Internet Explorer, funcionem adequadamente.

Diretiva de Grupo

Para modificar a forma como Diretiva de Grupo é processada, você pode definir configurações no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema\Diretiva de Grupo

Processamento da diretiva de Manutenção do Internet Explorer

Esta configuração de diretiva determina quando as diretivas Manutenção do Internet Explorer são atualizadas. Ela afeta todas as diretivas que usam o componente Manutenção do Internet Explorer da Diretiva de Grupo, como aquelas localizadas em Configurações do Windows\Manutenção do Internet Explorer. Esta configuração tem precedência sobre as configurações personalizadas que o programa Manutenção do Internet Explorer implementou quando ele foi instalado.

Se você ativar a configuração Processamento da diretiva de Manutenção do Internet Explorer, poderá usar as caixas de seleção que são fornecidas para alterar as opções. Não há nenhum impacto no computador se você desativar ou não definir esta configuração de diretiva.

Os valores possíveis para a configuração Processamento da diretiva de Manutenção do Internet Explorer são:

  • Ativado com opções para:

    • Permitir processamento através de uma conexão de rede lenta. essa opção atualiza as diretivas mesmo quando a atualização for transmitida por uma conexão de rede lenta, como uma linha telefônica. Atualizações feitas por meio de conexões lentas podem causar atrasos significativos.

    • Não aplicar durante processamento periódico em segundo plano. Esta opção não permite que o computador atualize diretivas afetadas em segundo plano enquanto está em uso. As atualizações em segundo plano podem interromper o usuário, parar um programa ou fazer com que ele funcione de maneira anormal e (muito raramente) podem danificar dados.

    • Processar mesmo se objetos de diretiva de grupo não foram alterados. Esta opção atualiza e aplica novamente as diretivas mesmo que elas não tenham sido alteradas. Muitas implementações de diretiva especificam que elas são atualizadas somente quando forem alteradas. No entanto, você pode querer atualizar diretivas inalteradas, como reaplicar uma configuração desejada na hipótese de um usuário tê-la alterado.

  • Desativado

  • Não configurado

Vulnerabilidade

Você pode ativar essa configuração e depois selecionar a opção Processar mesmo se objetos de diretiva de grupo não foram alterados para garantir que as diretivas sejam processadas novamente mesmo que elas não tenham sido alteradas. Esta abordagem aplica as diretivas definidas baseadas em domínio, ainda que alterações não autorizadas tenham sido feitas localmente.

Contramedida

Defina a configuração Processamento de diretiva de manutenção do Internet Explorer como Ativada. Em seguida, desmarque as caixas de seleção Permitir o processamento através de uma conexão de rede lenta e Não aplicar durante processamento periódico em segundo plano e marque a caixa de seleção Processar mesmo se objetos de diretiva de grupo não foram alterados.

Impacto potencial

As Diretivas de Grupo serão reaplicadas sempre que forem atualizadas, o que pode acarretar um pequeno impacto no desempenho.

Processamento de diretiva de segurança IP

Esta configuração de diretiva determina quando as diretivas de segurança IP (IPsec) são atualizadas. Ela afeta todas as diretivas que usam o componente IPsec da Diretiva de Grupo. Esta configuração tem precedência sobre as configurações personalizadas que o programa implementado definiu quando foi instalado.

Se você ativar a configuração Processamento de diretiva de segurança IP poderá usar as caixas de seleção fornecidas para alterar as opções. Não há nenhum impacto no computador se você desativar ou não definir esta configuração.

Os valores possíveis para a configuração Processamento de diretiva de segurança IP são:

  • Ativado com opções para:

    • Permitir processamento através de uma conexão de rede lenta

    • Não aplicar durante processamento periódico em segundo plano

    • Processar mesmo se objetos de diretiva de grupo não foram alterados

  • Desativada

  • Não Configurado

A configuração Permitir processamento através de uma conexão de rede lenta atualiza as diretivas mesmo quando a atualização está sendo transmitida através de uma conexão lenta de rede, como uma linha de telefone ou uma conexão de rede remota de baixa largura de banda. Atualizações feitas por meio de conexões lentas podem causar atrasos significativos. A configuração Não aplicar durante processamento periódico em segundo plano impede atualizações em diretivas afetadas em segundo plano enquanto o computador está em uso. Atualizações em segundo plano podem interromper o usuário, parar um programa ou fazer com que ele funcione de maneira anormal e, muito raramente, podem danificar dados. A configuração Processar mesmo se objetos de diretiva de grupo não foram alterados atualiza e reaplica as diretivas mesmo que elas não tenham sido alteradas. Muitas implementações de diretiva especificam que elas são atualizadas somente quando forem alteradas. No entanto, você pode atualizar diretivas inalteradas periodicamente para reaplicar configurações desejadas que tenham sido alteradas pelos usuários.

Vulnerabilidade

Você pode ativar essa configuração e depois selecionar a opção Processar mesmo se objetos de diretiva de grupo não foram alterados para garantir que as diretivas sejam processadas novamente mesmo que nenhuma tenha sido alterada. Dessa forma, quaisquer alterações não autorizadas que possam ter sido configuradas localmente são forçados a atender outra vez às configurações de Diretiva de Grupo baseadas em domínio.

Contramedida

Defina a configuração Processamento de diretiva de segurança IP como Ativada. Em seguida, desmarque a caixa de seleção Não aplicar durante processamento periódico em segundo plano e marque a caixa de seleção Processar mesmo se objetos de diretiva de grupo não foram alterados.

Impacto potencial

As Diretivas de Grupo de segurança IP serão reaplicadas sempre que forem atualizadas, o que pode ter um leve impacto no desempenho e interferir na conectividade de rede existente.

Processamento de diretiva do Registro

Esta configuração de diretiva determina quando as diretivas de Registro são atualizadas. Ela afeta todas as diretivas da pasta Modelos administrativos e qualquer outra diretiva que armazene valores no Registro. Esta configuração de diretiva tem precedência sobre as configurações personalizadas que o programa de diretiva de Registro implementado definiu quando foi instalado.

Se você ativar a configuração Processamento de diretiva do Registro, poderá usar as caixas de seleção que são fornecidas para alterar as opções. Não há nenhum impacto no computador se você desativar ou não definir esta configuração.

A opção Não aplicar durante processamento periódico em segundo plano pode ser usada para assegurar que o computador não atualize diretivas afetadas em segundo plano enquanto está em uso. Atualizações em segundo plano podem interromper o usuário, parar programas ou fazer com que funcionem de maneira anormal e (muito raramente) podem danificar dados. A opção Processar mesmo se objetos de diretiva de grupo não foram alterados atualiza e reaplica as diretivas mesmo que elas não tenham sido alteradas. Muitas implementações da Diretiva de Grupo especificam que sejam atualizadas somente quando forem alteradas. No entanto, você pode atualizar diretivas inalteradas para reaplicar uma configuração desejada na hipótese de um usuário tê-la alterado.

Os valores possíveis para a configuração Processamento de diretiva do Registro são:

  • Ativado com opções para:

    • Não aplicar durante processamento periódico em segundo plano

    • Processar mesmo se objetos de diretiva de grupo não foram alterados

  • Desativada

  • Não Configurado

Vulnerabilidade

Você pode ativar essa configuração e depois selecionar a opção Processar mesmo se objetos de diretiva de grupo não foram alterados para garantir que as diretivas sejam processadas novamente mesmo que nenhuma tenha sido alterada. Dessa forma, quaisquer alterações não autorizadas que possam ter sido configuradas localmente são forçados a atender outra vez às configurações de Diretiva de Grupo baseadas em domínio.

Contramedida

Defina a configuração Processamento de diretiva do Registro como Ativada. Em seguida, desmarque a caixa de seleção Não aplicar durante processamento periódico em segundo plano e marque a caixa de seleção Processar mesmo se objetos de diretiva de grupo não foram alterados.

Impacto potencial

As Diretivas de Grupo serão reaplicadas sempre que forem atualizadas, o que pode acarretar um pequeno impacto no desempenho.

Processamento de diretiva de segurança

Esta configuração de diretiva determina quando as diretivas de segurança são atualizadas. Ela tem precedência sobre configurações personalizadas que o programa de diretiva de segurança implementou quando foi instalado.

Se você ativar a configuração Processamento de diretiva de segurança, poderá usar as caixas de seleção que são fornecidas para alterar as opções. Não há nenhum impacto no computador se você desativar ou não definir esta configuração.

A opção Não aplicar durante processamento periódico em segundo plano pode ser usada para assegurar que o computador não atualize diretivas afetadas em segundo plano enquanto está em uso. Atualizações em segundo plano podem interromper o usuário, parar programas ou fazer com que funcionem de maneira anormal e (muito raramente) podem danificar dados. A opção Processar mesmo se objetos de diretiva de grupo não foram alterados atualiza e reaplica as diretivas mesmo que elas não tenham sido alteradas. Muitas implementações da Diretiva de Grupo especificam que sejam atualizadas somente quando forem alteradas. No entanto, você pode atualizar diretivas inalteradas para reaplicar uma configuração desejada na hipótese de um usuário tê-la alterado.

Os valores possíveis para a configuração Processamento de diretiva de segurança são:

  • Ativado com opções para:

    • Não aplicar durante processamento periódico em segundo plano

    • Processar mesmo se objetos de diretiva de grupo não foram alterados

  • Desativada

  • Não Configurado

Vulnerabilidade

Você pode ativar essa configuração e depois selecionar a opção Processar mesmo se objetos de diretiva de grupo não foram alterados para garantir que as diretivas sejam processadas novamente mesmo que nenhuma tenha sido alterada. Dessa forma, quaisquer alterações não autorizadas que possam ter sido configuradas localmente são forçados a atender outra vez às configurações de Diretiva de Grupo baseadas em domínio.

Contramedida

Defina a configuração Processamento de diretiva de segurança como Ativada. Em seguida, desmarque a caixa de seleção Não aplicar durante processamento periódico em segundo plano e marque a caixa de seleção Processar mesmo se objetos de diretiva de grupo não foram alterados.

Impacto potencial

As Diretivas de Grupo serão reaplicadas sempre que forem atualizadas, o que pode acarretar um pequeno impacto no desempenho.

Remote Assistance

Defina a configuração Assistência remota descrita abaixo no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema\Assistência remota

Oferecer assistência remota

Esta configuração de diretiva determina se uma pessoa de suporte ou um administrador de TI "especialista" pode oferecer assistência remota a usuários de computador em seu ambiente sem uma solicitação explícita para auxílio por outro canal (como email ou mensagens instantâneas).

Observação: o especialista não pode se conectar ao computador sem avisar nem controlá-lo sem a permissão do usuário. Quando o especialista tentar se conectar, o usuário ainda poderá escolher negar a conexão e fornecer privilégios somente para exibição da estação de trabalho. O usuário terá que clicar explicitamente em Sim para permitir que o especialista controle remotamente a estação de trabalho depois que a configuração Oferecer Assistência Remota for definida como Ativada.

Se você ativar a configuração Oferecer assistência remota terá as opções seguintes:

  • Permite que auxiliares somente visualizem este computador.

  • Permite que auxiliares controlem remotamente o computador.

Quando definir esta configuração, você também poderá especificar uma lista de usuários ou grupos de usuários conhecidos como "auxiliares", que podem oferecer assistência remota.

Para configurar a lista de auxiliares

  1. Na janela de definição da configuração Oferecer assistência remota clique em Mostrar. Uma nova janela é aberta, onde você pode inserir nomes de auxiliares.

  2. Adicione cada usuário ou grupo à lista Auxiliar usando um dos seguintes formatos:

    • <Nome do domínio>\<Nome do usuário>

    • <Nome do domínio>\<Nome do grupo>

Se você desativar ou não definir a configuração Oferecer assistência remota, os usuários ou grupos não serão capazes de oferecer auxílio remoto não solicitado a usuários de computador em seu ambiente.

Vulnerabilidade

Um usuário poderá ser enganado e aceitar uma oferta de assistência remota não solicitada de um usuário mal-intencionado.

Contramedida

Defina a configuração Oferecer assistência remota como Desativada.

Impacto potencial

O suporte técnico e o pessoal de suporte não serão capazes de oferecer auxílio de forma proativa, embora ainda possam responder a solicitações de auxílio do usuário.

Solicitar assistência remota

Esta configuração de diretiva determina se a assistência remota pode ser solicitada de computadores Windows XP em seu ambiente. Se você ativar esta configuração, os usuários poderão solicitar a administradores de TI "especialistas" assistência remota para suas estações de trabalhos.

Observação: o especialista não pode se conectar ao computador sem avisar nem controlá-lo sem a permissão do usuário. Quando o especialista tentar se conectar, o usuário ainda poderá escolher negar a conexão e fornecer privilégios somente para exibição da estação de trabalho. O usuário precisa clicar em Sim para permitir que o especialista controle remotamente a estação de trabalho.

Se você ativar a configuração Solicitar assistência remota terá as opções seguintes para permitir o controle remoto do computador de usuário:

  • Permite que auxiliares controlem remotamente o computador.

  • Permite que auxiliares somente visualizem este computador.

Além disso, as seguintes opções ficam disponíveis para configurar o tempo durante o qual a solicitação de ajuda de um usuário permanece válida:

  • Tempo máximo da permissão (valor):

  • Tempo máximo da permissão (unidades): horas, minutos ou dias

horas, minutos ou dias Quando a permissão (solicitação de ajuda) expirar, o usuário deverá enviar outra solicitação antes que um especialista possa se conectar ao computador. Se você desativar a configuração Solicitar assistência remota, os usuários não poderão enviar solicitações de ajuda e os peritos não poderão conectar-se a seus computadores.

Se a configuração Solicitar assistência remota não estiver configurada, os usuários poderão configurar a assistência remota solicitada através do Painel de controle. As configurações seguintes são ativadas por padrão no Painel de controle: Assistência remota solicitada, Suporte ao colega e Controle remoto. O valor do Tempo máximo da permissão é definido como 30 dias. Se você desativar esta configuração, ninguém poderá acessar clientes Windows XP pela rede.

Vulnerabilidade

Quando a configuração Solicitar assistência remota está ativada, os usuários podem enviar solicitações de assistência remota a pessoal não autorizado.

Contramedida

Defina a configuração Solicitar assistência remota como Desativada.

Impacto potencial

Se você definir a configuração Solicitar assistência remota como Desativada, os usuários não poderão solicitar assistência remota ao suporte técnico ou ao pessoal de suporte.

Relatório de erros

O Relatório de Erros Corporativo do Windows permite aos administradores gerenciar os arquivos de gabinete que são criados por DW.exe e redireciona os relatórios de erro de parada a um servidor de arquivos local. Esta capacidade fornece uma alternativa ao envio direto de informações à Microsoft pela Internet. Quando forem coletadas entradas de erros de parada suficientes, os administradores poderão revisar as informações e enviar somente os dados de erros de parada que possam ser úteis para a Microsoft.

Com o Relatório de Erros Corporativo do Windows, os administradores podem analisar os tipos de erros de parada mais comuns que os usuários enfrentam. As informações podem então ser usadas para educar os usuários sobre como evitar situações potenciais de erro de parada.

Você pode definir as configurações de Relatório de Erros no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Sistema\Relatório de Erros

Exibir notificação de erros

Você pode usar esta configuração de diretiva para controlar se um usuário pode ou não informar um erro. Quando a configuração de diretiva estiver ativada, o usuário será notificado de que um erro ocorreu e terá acesso a detalhes do erro. Se a configuração Relatar erros também estiver ativada, o usuário poderá escolher se deseja relatar o erro.

Se você não ativar a configuração Exibir notificação de erros, o usuário não terá a opção de escolher informar erros. Se você ativar a configuração Relatar erros, os erros serão relatados automaticamente, mas o usuário não será notificado quando ocorrerem.

É útil desativar esta configuração para computadores de servidor que não tenham usuários interativos. Se você não definir esta configuração, os usuários poderão ajustá-la no Painel de controle, que é definido como Ativar notificação por padrão no Windows XP e Desativar notificação no Windows Server 2003.

Os valores possíveis para a configuração Exibir notificação de erro são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Se tiverem a opção de relatar ou não os erros, os usuários poderão não cumprir as diretrizes de relatório de erros da sua organização. Se você definir esta configuração de diretiva como Desativada, os usuários não verão mensagens de relatório de erro.

Contramedida

Defina a configuração Exibir notificação de erros como Desativada.

Impacto potencial

Os usuários não verão mensagens de relatórios de erros quando estes forem gerados.

Relatar erros

Esta configuração de diretiva controla se os erros são relatados. Se você definir a configuração Relatar erros como Ativada, os usuários poderão relatar erros quando eles ocorrerem. Os erros poderão ser relatados à Microsoft pela Internet ou em compartilhamentos de arquivos locais nas organizações dos usuários.

Os valores possíveis para a configuração Relatar erros são:

  • Ativado com opções para:

    • Não exibir links para sites 'mais informações' da Microsoft na Web. Se você selecionar esta opção, nenhum link será exibido para sites da Microsoft que possam ter mais informações sobre a mensagem de erro.

    • Não coletar arquivos adicionais. Se você selecionar esta opção, nenhum arquivo adicional será coletado para inclusão em relatórios de erro.

    • Não coletar dados adicionais sobre o computador. Se você selecionar esta opção, nenhuma informação adicional sobre o computador em que ocorreu o erro será incluída em relatórios de erro.

    • Forçar modo de fila para erros de aplicativos. Se você selecionar esta opção, os usuários não terão a opção de enviar um relatório de erro. Em vez disso, o erro é colocado em um diretório de fila, e o próximo administrador que fizer logon na máquina decidirá se deve relatar o erro.

    • Caminho de carregamento do arquivo corporativo. Você pode selecionar esta opção para especificar um caminho UNC (Convenção de Nomenclatura Universal) para um compartilhamento de arquivos onde os relatórios de erro são carregados. Esta opção também ativa a ferramenta de Relatório de erros corporativos.

    • Substituir ocorrências da palavra "Microsoft" por. Se selecionar esta opção, você poderá personalizar as caixas de diálogo de relatório de erro com o nome da organização.

  • Desativado

  • Não configurado

Se você não definir esta configuração de diretiva, os usuários não poderão ajustar a configuração no Painel de controle. A configuração padrão é Ativada no Windows XP Professional e Desativada no Windows Server 2003.

Se a configuração Relatar erros estiver ativada, ela substituirá quaisquer configurações que sejam feitas no Painel de controle para relatórios de erro. Esta configuração também aplica os valores padrão para todas as diretivas de relatório de erros que não tenham sido configuradas.

Vulnerabilidade

Por padrão, os recursos de Relatório de Erros Corporativo do Windows XP, do Windows Server 2003 e do Office enviarão dados para a Microsoft que algumas organizações talvez prefiram manter confidenciais. A declaração de privacidade da Microsoft para o Relatório de Erros Corporativo do Windows garante que a Microsoft não usará com má fé os dados coletados pelo sistema. No entanto, algumas organizações podem desejar configurar esse recurso para que nenhuma informação seja transmitida para fora sem primeiro ser revisada por um membro confiável da equipe de TI.

Por outro lado, se relatório de erros estiver desativado completamente, será mais difícil para a Microsoft identificar e diagnosticar novos erros. As empresas que desenvolvem seus próprios aplicativos de negócios internos também podem aproveitar o Relatório de Erros Corporativo do Windows para rastrear problemas em seus códigos.

Uma configuração razoável que garante a privacidade e aproveita com eficiência o Relatório de Erros Corporativo do Windows é instalar seus próprios servidores CER (Relatório de Erros Corporativo) internos. Configure os computadores clientes para apontarem para esses servidores quando houver relatórios de erros a serem enviados. Um administrador poderá revisar os relatórios no servidor CER e gerar um relatório agregado sem informações confidenciais para a Microsoft.

Contramedida

Defina a configuração Relatar erros como Ativada e selecione a opção Caminho de carregamento do arquivo corporativo para apontar para o caminho UNC do servidor CER da organização.

Observação: para obter mais informações sobre como criar um servidor CER para sua organização, consulte o site do Relatório de Erros Corporativo do Windows em www.microsoft.com/resources/satech/cer/.

Impacto potencial

O relatório de erros será ativado e novos relatórios de erros serão enviados para o servidor CER.

Gerenciamento da comunicação da Internet

Os produtos das famílias Windows Server 2003 e Windows XP incluem uma variedade de tecnologias que se comunicam com a Internet para oferecer uma maior facilidade de uso. O navegador e as tecnologias de email são exemplos óbvios, mas há também tecnologias como Atualizações Automáticas que ajudam você a obter os mais recentes softwares e informações de produto, incluindo correções de erros e patches de segurança. Estas tecnologias fornecem muitos benefícios, mas eles também envolvem a comunicação com sites da Internet, o que os administradores podem querer controlar.

Você pode controlar esta comunicação com várias opções internas de componentes individuais, no sistema operacional como um todo e em componentes de servidor que são projetados para gerenciar configurações de sua organização. Por exemplo, como um administrador você pode usar Diretiva de Grupo para controlar a forma como alguns componentes se comunicam. Para alguns componentes, você pode dirigir toda a comunicação ao site interno da organização, em vez de a um site externo na Internet. Além disso, no Windows Server 2003 com Service Pack 1 (SP1) você pode usar o Firewall do Windows e o Assistente de Configuração de Segurança (ACS) para ajudá-lo a controlar aspectos de sua configuração como quais serviços são executados e quais portas estão abertas.

A Microsoft produziu dois guias detalhados para o gerenciamento da comunicação da Internet:

  • Introduction to Controlling Communication with the Internet for Windows Server 2003 with SP1 (em inglês) em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    W2K3InternetMgmt/55f681e2-de6f-4d76-81d2-af7f889d66f6.mspx) descreve como controlar a comunicação da Internet em computadores que executam Windows Server 2003 com SP1.

  • O guia Using Windows XP Service Pack 2 In a Managed Environment em www.microsoft.com/technet/prodtechnol/winxppro/maintain/intmgmt/01_xpint.mspx descreve como controlar a comunicação da Internet em computadores que executam o Windows XP com SP2.

COM distribuído

O COM fornece listas de controle de acesso (ACLs) do computador que regem o acesso a todas as solicitações de chamada, ativação ou inicialização do computador. Você pode considerar esses controles de acesso como uma chamada de verificação de acesso adicional  que é feita para uma ACL do computador largo em cada chamada, ativação ou inicialização de qualquer servidor COM no computador. Esta verificação de acesso ocorre além de qualquer verificação de acesso que seja executada para as ACLs específicas do servidor. Se a verificação de acesso falhar, a solicitação de chamada, ativação ou inicialização será negada. Na verdade, esta verificação fornece um padrão de autorização mínimo que deve ser aprovado para se obter acesso a qualquer servidor COM no computador. Para obter mais informações sobre DCOM, consulte "Component Object Model" em http://go.microsoft.com/fwlink/?LinkId=20922. Para obter mais informações sobre os novos recursos de segurança de DCOM, consulte "DCOM: Restrições de Acesso de Computador em sintaxe (SDDL)" no Capítulo 5, "Opções de Segurança" neste guia.

Você pode gerenciar os novos recursos de segurança de DCOM no Windows XP SP2 e no Windows Server 2003 SP1 no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do Computador\Modelos Administrativos\Componentes do Windows\
Sistema\Distributed COM\Configurações de Compatibilidade de Aplicativos

Problemas comuns

As duas configurações nesta seção compartilham informações comuns de vulnerabilidade, contramedida e impacto potencial.

Vulnerabilidade

Componentes COM impropriamente escritos podem ser atacados através da rede, o que pode resultar em divulgação não autorizada de informações, negação de serviço ou ataques de elevação de privilégios.

Contramedida

Use as configurações Permitir isolamentos de verificação de segurança de ativação local e Definir isolamentos de Verificação de Segurança de Ativação junto com os mecanismos de controle de acesso de DCOM que são descritos no Capítulo 5 para impor controles de acesso e execução em componentes de DCOM.

Impacto potencial

Se você adicionar controles de acesso de DCOM a aplicativos existentes, esses aplicativos poderão não funcionar adequadamente.

Permitir isolamentos de verificação de segurança de ativação local

Esta configuração de diretiva permite especificar que administradores de computador locais possam completar a lista Definir isolamentos de Verificação de Segurança de Ativação (consulte a próxima configuração) com verificações de segurança de ativação que ocorrem no computador local. Se você ativar esta configuração de diretiva e o DCOM não localizar uma entrada explícita para uma identificação de aplicativo do servidor DCOM (AppID) na diretiva de isenções Definir isolamentos de Verificação de Segurança de Ativação, o DCOM pesquisará uma entrada na lista localmente configurada.

Definir isolamentos de Verificação de Segurança de Ativação

Esta configuração de diretiva permite exibir e alterar uma lista de identificações de aplicativo do servidor DCOM (AppIDs) que estão isentos da verificação de segurança de Ativação DCOM. (Para obter mais informações sobre COM e a chave AppID, consulte “COM Registry Entries” na documentação do COM SDK no MSDN® em http://go.microsoft.com/fwlink/?LinkId=32831,)

O DCOM usa duas listas de AppIDs de servidor DCOM para tomar decisões de segurança. Uma lista é definida pela configuração de Diretiva de Grupo Definir isolamentos de Verificação de Segurança de Ativação, e a outra é criada pelos administradores de computador locais. A chave AppID é um das chaves do Registro que COM usa; ela agrupa as opções de configuração para um ou mais objetos COM distribuídos em um local centralizado no Registro. Esta chave inclui o valor nomeado de AppID, que identifica o GUID de AppID que corresponde ao executável nomeado.

Se você definir a configuração Definir isolamentos de Verificação de Segurança de Ativação, o DCOM ignorará a segunda lista a menos que a configuração associada Permitir isolamentos de verificação de segurança de ativação local também esteja ativada. Você deve incluir quaisquer AppIDs de servidor DCOM que adicionar à lista de AppIDs de servidor DCOM entre chaves—por exemplo, {b5dcb061-cefb-42e0-a1be-e6a6438133fe}. (Este número de AppID é somente um exemplo.) Se você inserir uma AppID inexistente ou impropriamente formatada, o DCOM a adicionará à lista; ele não verifica erros.

Se você ativar esta configuração de diretiva, poderá exibir e alterar a lista de isenções de verificação de segurança de ativação de DCOM que são definidas por configurações de Diretiva de Grupo.

Você pode usar um dos valores seguintes:

  • Se você adicionar uma AppID a esta lista e configurar seu valor como 1, o DCOM não aplicará a verificação de segurança de Ativação para esse servidor DCOM.

  • Se você adicionar uma AppID a esta lista e configurar seu valor como 0, o DCOM sempre aplicará a verificação de segurança de Ativação para esse servidor DCOM, independentemente das configurações locais.

Observação: servidores DCOM que são adicionados a esta lista de isenções ficarão isentos somente se suas permissões de inicialização personalizadas não contiverem permissões Inicialização Local, Inicialização Remota, Ativação Local ou Ativação Remota definidas como Negar ou Permitir para quaisquer grupos ou usuários. As isenções para AppIDs de Servidor DCOM que você adicionar a esta lista aplicam-se à versão de 32 bits e (se presente) à versão de 64 bits do Windows Server 2003.

Configurações do usuário

As configurações que são discutidas mais cedo neste capítulo aplicam-se a computadores que são membros de um domínio do Active Directory. As configurações nas seções seguintes aplicam-se a usuários individuais.

Configurações do usuário do Internet Explorer

O Internet Explorer é o navegador incluído no Windows XP e no Windows Server 2003. Você pode gerenciar diversos de seus recursos por meio da Diretiva de Grupo no seguinte local do Editor de objeto de diretiva de grupo:

Configuração de usuários\Modelos administrativos\Componentes do Windows\
Internet Explorer

Configurar o Outlook Express

Esta configuração de diretiva permite aos administradores ativar e desativar a capacidade de usuários do Microsoft Outlook® Express de salvar ou abrir anexos que potencialmente podem conter vírus. Se você marcar a caixa de seleção para anexos Bloquear anexos que possam conter vírus,  os usuários não poderão abrir ou salvar anexos que possam conter vírus. Além disso, se você ativar esta configuração de diretiva, os usuários poderão especificar se devem bloquear ou aceitar anexos de email na caixa de diálogo Opções da Internet.

Os valores possíveis para a configuração Configurar o Outlook Express são:

  • Ativado com opção para:

    • Bloquear anexos que possam conter vírus

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários que escolhem abrir anexos de email podem executar inadvertidamente um código hostil, como vírus ou cavalos de Tróia, contido no anexo.

Contramedida

Defina a configuração Configurar o Outlook Express como Ativada e marque a caixa de seleção Bloquear anexos que possam conter vírus.

Impacto potencial

Os usuários não poderão abrir ou executar alguns tipos de anexos de mensagens no Outlook Express.

Desativar a alteração das configurações da página Avançado

Esta configuração de diretiva impede alterações do usuário nas configurações da guia Avançado da caixa de diálogo Opções da Internet. Se você ativar esta configuração de diretiva, os usuários não poderão alterar configurações avançadas de Internet, como opções de segurança, multimídia e impressão, e não serão capazes de selecionar ou desmarcar as caixas de seleção na guia Avançado. Se você desativar ou não configurar esta configuração de diretiva, os usuários poderão selecionar ou desmarcar opções na guia Avançado.

Se você definir a configuração Desativar a página Avançado, não precisará definir esta configuração de diretiva, porque essa configuração remove a guia Avançado da interface.

Os valores possíveis para Desativar a alteração das configurações da página Avançado são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem alterar algumas das configurações de segurança do Internet Explorer, o que pode permitir que eles visitem um site mal-intencionado ou executem código hostil.

Contramedida

Configure Desativar a alteração das configurações da página Avançado como Ativada.

Impacto potencial

Os usuários não poderão alterar as configurações na guia Avançado da caixa de diálogo Opções da Internet.

Desativar a alteração das definições de configuração automática

Esta configuração de diretiva impede alterações do usuário em definições automáticas de configuração. A configuração automática é um processo que os administradores podem usar para atualizar as configurações do navegador periodicamente. Se você ativar esta configuração de diretiva, as definições de configuração automática ficarão esmaecidas e não disponíveis. As configurações estão localizadas na área Configuração automática da caixa de diálogo Configurações da rede local (LAN). Se você desativar ou não definir esta configuração de diretiva, os usuários poderão alterar as definições automáticas de configuração.

Se você ativar a configuração Desativar a página Conexões, a guia Conexões será removida do Internet Explorer no Painel de controle e suas configurações substituirão esta configuração de diretiva (Desativar a alteração das definições de configuração automática).

Os valores possíveis para Desativar a alteração das definições de configuração automática são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem alterar algumas das configurações de segurança do Internet Explorer, o que pode permitir que eles visitem um site mal-intencionado ou executem código hostil.

Contramedida

Configure Desativar a alteração das definições de configuração automática como Ativada.

Impacto potencial

Os usuários não poderão alterar as definições de configuração automática.

Desativar a alteração das configurações de certificado

Esta configuração de diretiva impede alterações do usuário em configurações de certificação do Internet Explorer. Os certificados são usados para verificar a identidade dos editores de software. Se você ativar esta configuração de diretiva, as configurações na área Certificados da guia Conteúdo na caixa de diálogo Opções da Internet ficam esmaecidas e não disponíveis. Se você desativar ou não definir esta configuração, os usuários poderão importar novos certificados, remover editores aprovados e alterar configurações para certificados que já foram aceitos.

A configuração Desativar a página Conteúdo (localizada em \Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet) remove a guia Conteúdo do Internet Explorer no Painel de controle e suas configurações substituem esta configuração de diretiva (Desativar a alteração das configurações de certificado).

Os valores possíveis para Desativar a alteração das configurações de certificado são:

  • Ativada

  • Desativada

  • Não Configurado

Cuidado: se você ativar esta configuração de diretiva, os usuários ainda poderão clicar duas vezes em um arquivo de certificado de publicação de software (.spc de certificado) e executar o Assistente para importação do gerenciador de certificados. O assistente permite que os usuários importem e definam configurações para certificados de editores de software ainda não configurados no Internet Explorer.

Vulnerabilidade

Os usuários podem importar novos certificados, remover certificados aprovados ou alterar configurações de certificados já configurados. Tais ocorrências podem causar a falha de aplicativos aprovados ou a execução de software não aprovado.

Contramedida

Configure Desativar a alteração das configurações de certificado como Ativada.

Impacto potencial

Os usuários não poderão alterar as configurações de certificados.

Desativar a alteração das configurações de conexão

Esta configuração de diretiva impede alterações do usuário em configurações de dial-up. Se você ativar esta configuração de diretiva, o botão Configurações na guia Conexões da caixa de diálogo Opções da Internet fica indisponível. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão mudar suas configurações para conexões dial-up.

Se você ativar a configuração Desativar a página Conexões (localizada em \Configuração do usuário\
Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet) a guia Conexões será removida da caixa de diálogo Opções da Internet e não haverá nenhuma necessidade de definir esta configuração de diretiva (Desativar a alteração das configurações de conexão).

Os valores possíveis para Desativar a alteração das configurações de conexão são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem alterar as conexões existentes para impossibilitar o uso do Internet Explorer para navegar em alguns ou todos os sites.

Contramedida

Configure Desativar a alteração das configurações de conexão como Ativada.

Impacto potencial

Os usuários não poderão alterar as configurações de conexão.

Desativar a alteração das configurações de proxy

Esta configuração de diretiva impede alterações do usuário em configurações de proxy. Se você ativar esta configuração de diretiva, as configurações de proxy ficarão esmaecidas e não disponíveis. Essas configurações estão localizadas na área Servidor proxy da caixa de diálogo Configurações da rede local (LAN), que aparece quando o usuário clica na guia Conexões e, em seguida, clica em Configurações da LAN na caixa de diálogo Opções da Internet.

Se você ativar a configuração Desativar a página Conexões (localizada em Configuração do usuário\
Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet) não precisará definir esta configuração de diretiva (Desativar a alteração das configurações de proxy) porque a configuração Desativar a página Conexões remove a guia Conexões da caixa de diálogo Opções da Internet.

Os valores possíveis para Desativar a alteração das configurações de proxy são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem alterar as configurações de servidor proxy existentes e impossibilitar o uso do Internet Explorer para navegar em alguns ou todos os sites.

Contramedida

Configure Desativar a alteração das configurações de proxy como Ativada.

Impacto potencial

Os usuários não poderão alterar as configurações de proxy.

Desativar o Assistente para conexão com a Internet

Esta configuração de diretiva controla a capacidade dos usuários de executar o ICW (Assistente para Conexão com a Internet). Se você ativar esta configuração, o botão Configurações na guia Conexões da caixa de diálogo Opções da Internet fica esmaecido e indisponível. Esta configuração de diretiva também impede a execução do assistente por outros meios; por exemplo, os usuários não poderão clicar no ícone Conectar-se à Internet na área de trabalho ou clicar em Iniciar, Programas, Acessórios, Comunicações e Assistente para conexão com a Internet. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão alterar suas configurações de conexão por meio do ICW.

Os valores possíveis para a configuração Desativar o Assistente para conexão com a Internet são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: esta configuração de diretiva sobrepõe-se à configuração Desativar a página Conexões (localizada em \Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet), que remove a guia Conexões da caixa de diálogo Opções da Internet. No entanto, se você usar esta configuração, os usuários ainda poderão executar o ICW da área de trabalho ou do menu Iniciar.

Vulnerabilidade

Os usuários podem executar o ICW e criar uma nova conexão dial-up ou de rede, o que pode expor a rede da organização ao acesso de usuários não autorizados por meio da nova conexão não gerenciada.

Contramedida

Defina a configuração Desativar o Assistente para conexão com a Internet como Ativada.

Impacto potencial

Os usuários não poderão executar o ICW.

Não permitir que AutoCompletar salve senhas.

Esta configuração de diretiva desativa o preenchimento automático de nomes de usuário e senhas em formulários de páginas da Web e impede a exibição de prompts "salvar senha" aos usuários. Se você ativar esta configuração de diretiva, as caixas de seleção Nomes de usuário e senhas em formulários e Avisar para salvar senha ficam esmaecidas e não disponíveis. (Para exibir estas caixas de seleção, os usuários abrem a caixa de diálogo Opções da Internet, clicam na guia Conteúdo e clicam em AutoCompletar.) Se você desativar ou não definir esta configuração, os usuários poderão determinar se o Internet Explorer completará automaticamente os nomes de usuário e senhas em formulários e solicitará que eles salvem as senhas.

A configuração Desativar a página Conteúdo (localizada em \Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer\Painel de controle da Internet) remove a guia Conteúdo do Internet Explorer no Painel de controle e, desta forma, tem prioridade sobre esta configuração de diretiva (Não permitir que AutoCompletar salve senhas).

Os valores possíveis para a configuração Não permitir que AutoCompletar salve senhas são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Apesar de o recurso AutoCompletar ser muito útil, ele carrega senhas no Armazenamento protegido. O Armazenamento protegido é um mecanismo muito seguro; as informações armazenadas nele devem ser acessíveis para o usuário que as salvou. Foram lançadas ferramentas na Internet que pode exibir o conteúdo de Armazenamento protegido de um usuário. Essas ferramentas só funcionam quando são executadas por um usuário a fim de ver seu próprio Armazenamento protegido e não podem ser usadas para exibir o Armazenamento protegido ou a senha de outro usuário. Um usuário que execute inadvertidamente uma dessas ferramentas pode expor sua senha a um invasor.

Contramedida

Defina a configuração Não permitir que AutoCompletar salve senhas como Ativada.

Impacto potencial

Os usuários poderão usar o recurso AutoCompletar para salvar senhas.

Painel de controle da Internet

Você pode gerenciar configurações relacionadas à Internet no miniaplicativo Painel de controle de Internet. A disponibilidade dos recursos do miniaplicativo pode ser controlada pelo nó Painel de controle de Internet em Diretiva de Grupo. Essas configurações de diretiva podem ser definidas no seguinte local do Editor de objeto de diretiva de grupo:

Configuração de usuários\Modelos administrativos\Componentes do Windows\
Internet Explorer\Painel de controle de Internet

desativar a página Avançado

Essa configuração de diretiva remove a guia Avançado da caixa de diálogo Opções da Internet. Se você ativar esta configuração de diretiva, os usuários não poderão exibir ou alterar configurações avançadas de Internet, como opções de segurança, multimídia e impressão. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão exibir e alterar essas configurações.

Quando esta configuração de diretiva está ativada, você não precisa ativar a configuração Desativar a alteração das configurações da página Avançado (localizada em Configuração de usuários\Modelos administrativos\Componentes do Windows\Internet Explorer) porque a guia Avançado é removida da caixa de diálogo Opções da Internet.

Os valores possíveis para a configuração Desativar a alteração das configurações da página Avançado são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem alterar algumas das configurações de segurança do Internet Explorer, o que pode permitir que eles visitem um site mal-intencionado ou executem código hostil.

Contramedida

Defina a configuração Desativar a alteração das configurações da página Avançado como Ativada.

Impacto potencial

Os usuários não poderão exibir a caixa de diálogo Avançado.

desativar a página Segurança

Esta configuração de diretiva remove a guia Segurança da caixa de diálogo Opções da Internet. Se você ativar esta configuração, os usuários não poderão exibir ou alterar configurações de zonas de segurança, como aquelas de criação de scripts, downloads e autenticação de usuário. Se você desativar ou não definir esta configuração, os usuários poderão exibir e alterar essas configurações.

Os valores possíveis para a configuração Desativar a página Segurança são:

  • Ativada

  • Desativada

  • Não Configurado

Quando você define esta configuração, não precisa configurar as seguintes definições do Internet Explorer (porque a guia Segurança é removida da caixa de diálogo Opções da Internet):

  • Zonas de segurança: não permitir que os usuários alterem diretivas

  • Zonas de segurança: não permitir que os usuários adicionem/excluam sites

Vulnerabilidade

Os usuários podem alterar algumas das configurações de segurança do Internet Explorer, o que pode permitir que eles visitem um site mal-intencionado ou executem código hostil.

Contramedida

Defina a configuração Desativar a página Segurança como Ativada.

Impacto potencial

Os usuários não poderão exibir a página Segurança.

Páginas offline

O Internet Explorer pode baixar e armazenar páginas no cache para torná-las disponíveis para uso offline. Este recurso pode ser controlado pelo nó Páginas offline em Diretiva de Grupo. Essas configurações de diretiva podem ser definidas no seguinte local do Editor de objeto de diretiva de grupo:

Configuração de usuários\Modelos administrativos\Componentes do Windows\Internet Explorer\Páginas offline

desativar a adição de canais

Esta configuração de diretiva pode retirar a capacidade dos usuários de adicionar canais ao Internet Explorer. Canais são sites atualizados automaticamente em seu computador por meio de um agendamento que é especificado pelo provedor de canal.

Se você ativar esta configuração de diretiva, o botão Adicionar canal ativo no qual os usuários clicam para se inscrever é desativado. Os usuários também não podem adicionar conteúdo que se baseie em um canal, como alguns itens do Active Desktop® da galeria do Microsoft Active Desktop, às suas áreas de trabalho. Se você desativar ou não definir esta configuração, os usuários poderão adicionar canais à barra de ferramentas Canal ou a suas áreas de trabalho.

Os valores possíveis para a configuração Desativar a adição de canais são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar a adição de canais como Ativada.

Impacto potencial

Os usuários não poderão adicionar canais.

desativar a adição de agendas para páginas offline.

Essa configuração de diretiva é planejada para empresas preocupadas com a carga do servidor. Você pode usá-la para controlar a capacidade dos usuários de especificar que páginas da Web podem ser baixadas e exibidas offline quando o computador não está conectado à Internet.

Se você ativar esta configuração de diretiva, os usuários não poderão adicionar novos agendamentos para baixar conteúdo offline. A caixa de seleção Tornar disponível offline fica esmaecida e torna-se indisponível na caixa de diálogo Adicionar favorito. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão adicionar novos agendamentos de conteúdo offline. A configuração Menu 'Ocultar favoritos' (localizada em Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer) tem prioridade sobre essa configuração de diretiva.

Os valores possíveis para a configuração Desativar a adição de canais são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar a adição de agendas para páginas offline como Ativada.

Impacto potencial

Os usuários não poderão adicionar agendamentos para páginas offline.

desativar todas as páginas offline agendadas

Esta diretiva é planejada para organizações preocupadas com a carga do servidor. Você pode usá-la para desativar agendamentos atuais para baixar páginas da Web de modo que possam ser exibidas offline. Quando os usuários disponibilizam as páginas da Web para exibição offline, eles conseguem visualizá-las quando o computador não está conectado à Internet.

Se você ativar esta configuração de diretiva, as caixas de seleção para agendamentos na guia Agendamento da caixa de diálogo Propriedades da página da Web são desmarcadas e os usuários não podem selecioná-las. (Para exibir esta guia, os usuários clicam em Ferramentas e em Sincronizar, selecionam uma página da Web, clicam em Propriedades e então clicam na guia Agendamento.) Se você desativar esta configuração de diretiva, as páginas da Web poderão ser atualizadas de acordo com agendamentos que são especificados na guia Agendamento. A configuração Menu 'Ocultar favoritos' (localizada em Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer) tem prioridade sobre essa configuração.

Os valores possíveis para a configuração Desativar a adição de canais são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Isto é, o navegador pode baixar conteúdo da Web não solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar todas as páginas offline agendadas como Ativada.

Impacto potencial

Os usuários não poderão exibir nenhuma das páginas offline agendadas.

desativar totalmente a interface de usuário do canal

Esta configuração de diretiva controla se os usuários podem exibir a interface de Canal. Canais são sites atualizados automaticamente no computador do usuário por meio de um agendamento que é especificado pelo provedor de canal.

Se você ativar esta configuração de diretiva, a interface de usuário do Canal será desativada e os usuários não poderão marcar a caixa de seleção Barra de canais do Internet Explorer na guia Web da caixa de diálogo Propriedades de vídeo. Se você desativar ou não definir esta configuração, os usuários poderão exibir e se inscrever em canais pela interface de Canal.

Os valores possíveis para a configuração Desativar totalmente a interface de usuário do canal são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Isto é, o navegador pode baixar conteúdo da Web não solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar totalmente a interface de usuário do canal como Ativada.

Impacto potencial

Os usuários não poderão acessar a interface de usuário do canal.

desativar o download do conteúdo do site inscrito

Esta configuração de diretiva controla se os usuários podem baixar conteúdo dos sites nos quais se inscrevem. Esta capacidade permite aos usuários ver páginas da Web quando estão offline (quando o computador não está conectado à Internet).

Se você ativar esta configuração de diretiva, os usuários não poderão baixar conteúdo dos sites nos quais se inscreverem. No entanto, a sincronização com páginas da Web ainda ocorrerá para determinar se algum conteúdo foi atualizado desde a última vez em que o usuário sincronizou ou visitou a página. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão baixar conteúdo.

As configurações Desativar o download do conteúdo do site inscrito e Menu 'Ocultar favoritos' (localizada em Configuração do usuário\Modelos administrativos\Componentes do Windows\
Internet Explorer) substituem essa configuração.

Os valores possíveis para a configuração Desativar o download do conteúdo do site inscrito são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não foi solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar o download do conteúdo do site inscrito como Ativada.

Impacto potencial

Os usuários não poderão baixar automaticamente o conteúdo por meio de inscrições nos sites.

desativar edição e criação de grupos de agendamento

Esta configuração de diretiva controla se os usuários podem adicionar, editar ou remover agendamentos para baixar conteúdo de modo que páginas da Web e grupos de páginas da Web nas quais estejam inscritos possam ser exibidas offline. Uma página da Web favorita e as páginas às quais ela se liga compõem um grupo de inscrição.

Se você ativar esta diretiva, os botões Adicionar, Remover e Editar na guia Agendamento da caixa de diálogo Propriedades de página da Web estão esmaecidos e não disponíveis. (Para exibir esta guia, os usuários clicam em Ferramentas, Sincronizar, selecionam uma página da Web, clicam no botão Propriedades e, em seguida, na guia Agendamento.) Se você desativar ou não definir esta configuração, os usuários poderão adicionar, remover e editar agendamentos para sites e grupos de sites.

As configurações Desativar a edição de agendas para páginas off&-line e Menu 'Ocultar favoritos' (localizadas em Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer) substituem esta diretiva.

Os valores possíveis para a configuração Desativar edição e criação de grupos de agendamento são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar edição e criação de grupos de agendamento como Ativada.

Impacto potencial

Os usuários não poderão adicionar, editar ou remover agendamentos para baixar conteúdo de páginas da Web para que sejam exibidas offline.

Desativar a edição de agendas para páginas offline

Essa configuração de diretiva é planejada para empresas preocupadas com a carga do servidor. Ela controla se os usuários podem editar agendamentos que já existam para baixar páginas da Web de modo que possam ser exibidas offline (quando o computador não está conectado à Internet).

Se você ativar esta configuração de diretiva, os usuários não poderão exibir as propriedades de agendamento de páginas que são configurados para exibição offline. Se os usuários clicarem no menu Ferramentas e em Sincronizar, selecionarem uma página da Web e, em seguida, clicarem no botão Propriedades, nenhuma propriedade será exibida. Nenhum alerta é exibido que mostre que a opção está indisponível. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão editar agendamentos existentes para baixar conteúdo da Web para que seja exibido offline.

A configuração Menu 'Ocultar favoritos' (localizada em Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer) tem prioridade sobre essa configuração de diretiva.

Os valores possíveis para a configuração Desativar edição e criação de grupos de agendamento são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar a edição de agendas para páginas offline como Ativada.

Impacto potencial

Os usuários não poderão editar agendamentos que controlem quando o conteúdo de páginas da Web pode ser baixado para ser exibido offline.

desativar log de visitas a páginas offline

Esta configuração de diretiva controla se provedores de canal podem registrar informações sobre quando suas páginas de canal são exibidas por usuários que trabalham offline.

Se você ativar esta configuração de diretiva, quaisquer configurações de registro de canal que sejam definidas por provedores de canal no arquivo de formato de definição de canal (.cdf) serão desativadas. O arquivo .cdf determina o agendamento e outras configurações para baixar conteúdo da Web. Se você desativar ou não definir esta configuração de diretiva, os provedores de canal poderão registrar informações sobre quando suas páginas de canal são exibidas por usuários que trabalham offline.

Os valores possíveis para a configuração Desativar log de visitas a páginas offline são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar log de visitas a páginas offline como Ativada.

Impacto potencial

Os usuários que acessam conteúdo offline não terão suas visitas encaminhadas para o site da próxima vez em que ficarem online.

desativar a remoção de canais

Esta configuração de diretiva destina-se a ajudar os administradores a garantirem que os computadores dos usuários sejam atualizados uniformemente em toda a organização. Ela controla se os usuários podem desativar a sincronização de canal no Internet Explorer. Canais são sites atualizados automaticamente no computador do usuário de acordo com um agendamento que é especificado pelo provedor de canal.

Se você ativar esta configuração de diretiva, os usuários não poderão interferir na sincronização de canal. Se você desativar ou não definir esta configuração de diretiva, os usuários poderão desativar a sincronização de canal.

Os valores possíveis para a configuração Desativar a remoção de canais são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: esta configuração de diretiva não impede que os usuários removam conteúdo ativo da interface da área de trabalho.

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar a remoção de canais como Ativada.

Impacto potencial

Os usuários não poderão remover canais nem impedir sua sincronização.

desativar a remoção de agendas para páginas offline

Essa configuração de diretiva é planejada para empresas preocupadas com a carga do servidor. Ela controla se os usuários podem limpar restrições de configuração pré-configuradas para downloads de páginas da Web de modo que possam ser exibidas offline (quando o computador não está conectado à Internet).

Se você ativar esta configuração de diretiva, a caixa de seleção Tornar disponível offline na caixa de diálogo Organizar Favoritos e a caixa de seleção Tornar esta página disponível offline ficarão esmaecidas e não disponíveis (embora permaneçam selecionadas). (Para exibir a caixa de seleção Tornar esta página disponível offline, os usuários clicam em Ferramentas, Sincronizar e em Propriedades.) Se você desativar ou não definir esta configuração de diretiva, os usuários poderão remover restrições de configuração pré-configuradas em páginas para baixá-las de modo que possam ser exibidas offline.

A configuração Menu 'Ocultar favoritos' (localizada em Configuração do usuário\Modelos administrativos\Componentes do Windows\Internet Explorer) tem prioridade sobre essa configuração.

Os valores possíveis para a configuração Desativar a remoção de agendas para páginas offline são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

É possível enviar dados para o navegador de um usuário sem qualquer interação direta de sua parte. Ou seja, o navegador pode baixar conteúdo da Web que não é solicitado diretamente pelo usuário.

Contramedida

Defina a configuração Desativar a remoção de agendas para páginas offline como Ativada.

Impacto potencial

Os usuários não poderão remover agendamentos para páginas offline.

Menus do navegador

Os recursos individuais no sistema de menus do Internet Explorer podem ser ativados e desativados pelo nó Menus do navegador em Diretiva de Grupo. Essas configurações de diretiva podem ser definidas no seguinte local do Editor de objeto de diretiva de grupo:

Configuração de usuários\Modelos administrativos\Componentes do Windows\
Internet Explorer\Menus do navegador

Desativar a opção 'Salvar este programa em disco'

Se você ativar esta configuração de diretiva, os usuários não poderão clicar no botão Salvar este programa em disco para baixar arquivos de programas. Os usuários serão informados de que o comando não está disponível. Se você desativar ou não definir esta configuração, os usuários poderão baixar programas de seus navegadores.

Os valores possíveis para a configuração Menus do navegador: desativar a opção Salvar este programa em disco são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem baixar e executar código hostil de sites.

Contramedida

Defina a configuração de Desativar a opção 'Salvar este programa em disco' como Ativada.

Impacto potencial

Os usuários não poderão clicar no botão Salvar este programa em disco para baixar arquivos de programas.

Comportamento de persistência

O Internet Explorer permite que objetos HTML dinâmicos (DHTML) salvem suas configurações ou dados em disco; o termo para esta capacidade é persistência. Os dados de formulários, estilos, estado e variáveis de script podem persistir no fluxo de memória da sessão atual, na lista de favoritos, em HTML ou em XML. Os quatro comportamentos de persistência de DHTML são saveFavorite, saveHistory, saveSnapshot e userData. O Internet Explorer permite aplicar controles, por zona de segurança, à quantidade de dados que os aplicativos podem salvar usando este mecanismo.

Os valores possíveis para a configuração Comportamento de persistência são:

  • Ativada

    • Por domínio (em quilobytes). Esta configuração controla quantos dados totais podem ser salvos por scripts que são associados com um determinado domínio.

    • Por documento (em quilobytes). Esta configuração controla quantos dados totais podem ser salvos por construtos DHTML em uma página da Web específica.

  • Desativada

  • Não Configurado

Vulnerabilidade

Uma página da Web mal-intencionada pode secretamente salvar dados mal-intencionados ou quantidades excessivas de dados em um computador de destino.

Contramedida

Ative limites de tamanho de zona por segurança para zonas de Internet e Sites restritos.

Impacto potencial

Nenhum.

Gerenciador de Anexos

No Windows Server 2003 SP1 e no Windows XP SP2, um novo serviço chamado Gerenciador de Anexos fornece um conjunto de comportamentos para anexos de arquivo em mensagens de email e páginas da Web. O serviço Gerenciador de Anexos implementa um conjunto uniforme de prompts que são usados para downloads de arquivo, anexos de email, execução de processos de shell e instalação de programas. Estes prompts foram modificados para ficarem mais claros e mais coerentes do que eram em versões prévias do Windows. Além disso, as informações de editor são exibidas antes que um tipo de arquivo assinável e que poderia prejudicar o computador do usuário seja aberto. (Exemplos comuns de tipos de arquivo assináveis que poderiam prejudicar o computador são .exe, .dll, .ocx, .msi e .cab.). O serviço Gerenciador de Anexos inclui uma nova interface de programação de aplicativos (API) que permite aos desenvolvedores de aplicativos utilizar esta nova interface do usuário.

O serviço Gerenciador de Anexos classifica os arquivos que você recebe ou baixa baseado no tipo de arquivo e na extensão do nome do arquivo. O serviço classifica os arquivos como risco alto, risco médio e risco baixo. Quando você salva em seu disco rígido os arquivos de um programa que utiliza o serviço Gerenciador de Anexos, as informações de zona de conteúdo da Web referentes ao arquivo também são salvas com ele. Por exemplo, se você salvar um arquivo compactado (.zip) que esteja anexado a uma mensagem de email, as informações de zona de conteúdo da Web também serão salvas e você não poderá extrair o conteúdo do arquivo compactado.

Observação: as informações de zona de conteúdo da Web são salvas junto com os arquivos apenas se o computador usar o sistema de arquivos NTFS.

O serviço Gerenciador de Anexos divide os arquivos em três classes:

  • Alto risco. Se o anexo estiver na lista de tipos de arquivo de risco alto e pertencer à zona restrita, o Windows bloqueará o acesso do usuário ao arquivo. Se o arquivo for da zona da Internet, o Windows perguntará ao usuário antes de permitir acesso ao arquivo.  

  • Risco moderado. Se o anexo estiver na lista de tipos de arquivo de risco moderado e pertencer à zona restrita ou da Internet, o Windows perguntará ao usuário antes de permitir acesso ao arquivo.  

  • Baixo risco. Se o anexo estiver na lista de tipos de arquivo de baixo risco, o Windows não perguntará ao usuário antes de permitir acesso ao arquivo, independentemente das informações de zona do arquivo.

Essas configurações de diretiva podem ser definidas no seguinte local do Editor de objeto de diretiva de grupo:

Configuração de usuários\Modelos administrativos\Componentes do Windows\
Gerenciador de Anexos

Nível de risco padrão para anexos de arquivo

Esta configuração de diretiva permite gerenciar o nível de risco padrão para tipos de arquivo. Para personalizar totalmente o nível de risco para anexos de arquivo, você também pode precisar configurar a lógica de confiança para anexos de arquivo. Se você ativar esta configuração de diretiva, você pode especificar o nível de risco padrão para tipos de arquivo que não sejam explicitamente incluídos nas listas de tipo de risco alto, moderado ou baixo.  Se você desativar ou não definir essa configuração de diretiva, o Windows definirá o nível de risco padrão como moderado.

Os valores possíveis para a configuração Nível de risco padrão para anexos de arquivo são:

  • Ativada, com opções para configurar o nível de risco padrão como

    • Alto risco

    • Risco moderado

    • Baixo risco

  • Desativada

  • Não Configurado

Vulnerabilidade

Um invasor pode disfarçar código mal-intencionado para enganar os usuários e fazer com que eles o executem.

Contramedida

Defina a configuração Nível de risco padrão para anexos de arquivo como Ativada: risco moderado.

Impacto potencial

Os usuários terão que responder a prompts de segurança para acessar arquivos cujos tipos não estejam explicitamente incluídos na lista de tipos de arquivo de baixo risco.

Lista de inclusão de tipos de arquivo de alto risco

Esta configuração de diretiva permite configurar a lista de tipos de arquivo de alto risco. Se o anexo de arquivo estiver na lista de tipos de arquivo de risco alto e pertencer à zona restrita, o Windows bloqueará o acesso do usuário ao arquivo. Se o arquivo for da zona da Internet, o Windows perguntará ao usuário antes de permitir acesso ao arquivo. Esta lista de inclusão tem precedência sobre as listas de inclusão de Baixo risco e Risco moderado quando uma extensão estiver listada em mais de uma lista de inclusão. Se você ativar esta configuração de diretiva, poderá criar uma lista personalizada de tipos de arquivo de alto risco. Se você desativar ou não definir esta configuração de diretiva, o Windows usará sua lista interna de tipos de arquivo de alto risco.

Os valores possíveis para a configuração Lista de inclusão de tipos de arquivo de alto risco são:

  • Ativado (permite especificar uma lista separada por vírgulas de extensões de arquivo)

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem abrir acidentalmente um arquivo de alto risco, o que pode comprometer seus computadores e talvez outros computadores na rede.

Contramedida

Defina a configuração Lista de inclusão de tipos de arquivo de alto risco como Ativada e especifique os tipos de arquivo adicionais que você quer controlar.

Impacto potencial

Se um tipo de arquivo for listado em mais de uma lista de inclusão, a lista mais restritiva será aplicada. Quando você define um valor para esta configuração, ele substitui a lista de inclusão de tipos de arquivo de alto risco interna do Windows.

Lista de inclusão de tipos de arquivo de risco moderado

Esta configuração de diretiva permite configurar a lista de tipos de arquivo de risco moderado. Se o anexo estiver na lista de tipos de arquivo de risco moderado e pertencer à zona restrita ou da Internet, o Windows perguntará ao usuário antes de permitir acesso ao arquivo. Esta lista de inclusão substitui a lista interna de tipos de arquivo potencialmente de alto risco e tem precedência sobre a lista de inclusão de baixo risco, mas tem uma precedência mais baixa do que a lista de inclusão de alto risco. Se você ativar esta configuração de diretiva, poderá especificar tipos de arquivo que tenham um risco moderado. Se você desativar ou não definir essa configuração de diretiva, o Windows usará sua lógica de confiança padrão.

Os valores possíveis para a configuração Lista de inclusão de tipos de arquivo de risco moderado são:

  • Ativado (permite especificar uma lista separada por vírgulas de extensões de arquivo)

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem abrir acidentalmente um arquivo de alto risco, o que pode comprometer seus computadores e talvez outros computadores na rede.

Contramedida

Defina a configuração Lista de inclusão para tipos de arquivo de risco moderado como Ativado e especifique os tipos de arquivo adicionais que você quer controlar.

Impacto potencial

Se um tipo de arquivo for listado em mais de uma lista de inclusão, a lista mais restritiva será aplicada. Quando você define um valor para esta configuração, ele substitui a lista de inclusão de tipos de arquivo de risco moderado interna do Windows. Tenha cuidado ao mover tipos de arquivo de alto risco, como .EXE, para a lista de inclusão de risco moderado, porque então será mais fácil para os usuários executar arquivos potencialmente perigosos.

Lista de inclusão de tipos de arquivo de baixo risco

Esta configuração de diretiva permite configurar a lista de tipos de arquivo de baixo risco. Se o anexo estiver na lista de tipos de arquivo de baixo risco, o Windows não perguntará ao usuário antes de permitir acesso ao arquivo, independentemente das informações de zona do arquivo. Esta lista de inclusão substitui a lista interna do Windows de tipos de arquivo de alto risco e tem uma precedência mais baixa do que as listas de inclusão de alto risco ou risco moderado. Se você ativar esta configuração de diretiva, poderá especificar tipos de arquivo que tenham baixo risco. Se você desativar ou não definir essa configuração de diretiva, o Windows usará sua lógica de confiança padrão.

Os valores possíveis para a configuração Lista de inclusão de tipos de arquivo de baixo risco são:

  • Ativado (permite especificar uma lista separada por vírgulas de extensões de arquivo)

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem abrir acidentalmente um tipo de arquivo de alto risco, o que pode comprometer seus computadores e talvez outros computadores na rede.

Contramedida

Defina a configuração Lista de inclusão para tipos de arquivo de risco moderado como Ativado e especifique os tipos de arquivo adicionais que você quer controlar.

Impacto potencial

Se um tipo de arquivo for listado em mais de uma lista de inclusão, a lista mais restritiva será aplicada. Quando você define um valor para esta configuração de diretiva, ele substitui a lista de inclusão de tipos de arquivo de baixo risco interna do Windows. Tenha cuidado ao mover tipos de arquivo de alto risco, como .EXE, para a lista de inclusão de baixo risco, porque então será mais fácil para os usuários executar arquivos potencialmente perigosos.

Lógica de confiança para anexos de arquivo

Esta configuração de diretiva permite configurar a lógica que o Windows usará para determinar o risco de anexos de arquivo. Se você ativar esta configuração de diretiva, poderá escolher a ordem em que o Windows processará os dados de avaliação de riscos.  Se você desativar ou não definir esta configuração de diretiva, o Windows usará sua lógica de confiança padrão, que prefere o identificador de arquivo ao tipo de arquivo.

Os valores possíveis para a configuração Lógica de confiança para anexos de arquivo são:

  • Ativada, com as seguintes opções:

    • Consultando identificador e tipo de arquivo. Quando esta opção é selecionada, o Windows usa os dados de identificador de arquivo ou os dados de tipo de arquivo, o que for mais restritivo.

    • Preferência ao identificador de arquivo. Quando esta opção é selecionada, o Windows sempre confia no identificador de arquivo (por exemplo, notepad.exe) sem considerar o tipo de arquivo.

    • Preferência ao tipo de arquivo. Quando esta opção é selecionada, o Windows sempre confia no tipo de arquivo, sem considerar o identificador de arquivo.

  • Desativada

  • Não Configurado

Vulnerabilidade

Um invasor pode criar um arquivo para explorar uma vulnerabilidade de um identificador de arquivo específico.  

Contramedida

Defina a configuração Lógica de confiança para anexos de arquivo como Ativada: consultando identificador e tipo de arquivo.

Impacto potencial

Quando você define a configuração Lógica de confiança para anexos de arquivo para usar o identificador e o tipo de arquivo, os usuários vêem mais prompts de segurança de anexo, porque o Windows sempre usará o escopo mais restritivo para tomar decisões de segurança de anexo.

Não manter informações de zona em arquivos anexos

Esta configuração de diretiva permite decidir se o Windows marca anexos de arquivo com informações de zona de origem (restrita, Internet, intranet, local). Ela exige NTFS para funcionar corretamente e falhará sem aviso em um sistema de arquivos FAT32. Se as informações de zona não forem conservadas, o Windows não poderá fazer avaliações adequadas de risco. Se você ativar esta configuração de diretiva, o Windows não marcará anexos de arquivo com informações de zona. Se você desativar ou não definir esta configuração de diretiva, o Windows marcará anexos de arquivo com informações de zona.

Os valores possíveis para a configuração Não manter informações de zona em arquivos anexos são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Um arquivo que é baixado de um computador na zona de Internet ou de Sites restritos pode ser movido para um local que o faça parecer seguro, como um compartilhamento de arquivos de intranet, e ser executado por um usuário insuspeito.

Contramedida

Defina a configuração Não manter informações de zona em arquivos anexos como Ativada.

Impacto potencial

Nenhum.

Ocultar mecanismos para remover informações de zona

Esta configuração de diretiva permite decidir se os usuários podem remover manualmente as informações de zona dos anexos de arquivo salvos. Normalmente, eles podem clicar no botão Desbloquear da folha Propriedades do arquivo ou usar uma caixa de seleção no diálogo Aviso de segurança. Se puderem remover as informações de zona, os usuários poderão abrir anexos de arquivo potencialmente perigosos que o Windows havia bloqueado. Se você ativar esta configuração de diretiva, o Windows ocultará a caixa de seleção e o botão Desbloquear. Se você desativar ou não definir esta configuração de diretiva, o Windows exibirá a caixa de seleção e o botão Desbloquear.

Os valores possíveis para a configuração Ocultar mecanismos para remover informações de zona são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Um usuário poderia remover informações que indiquem que um arquivo veio de um local não-confiável.

Contramedida

Defina a configuração Ocultar mecanismos para remover informações de zona como Ativada.

Impacto potencial

Os usuários que tenham uma necessidade legítima de remover informações de zona dos arquivos não poderão fazê-lo.

Notificar programas antivírus ao abrir anexos

Esta configuração de diretiva permite decidir como os programas antivírus registrados são notificados quando anexos são abertos. Se vários programas estiverem registrados, todos serão notificados. Se o programa antivírus registrado já executar verificações de acesso ou verificar arquivos quando chegam ao servidor de email do computador, chamadas adicionais seriam redundantes. Se você ativar esta configuração de diretiva, o Windows chamará os programas antivírus registrados de modo que possam verificar qualquer anexo de arquivo que o usuário abra. Se o programa antivírus falhar, a abertura do anexo será bloqueada. Se você desativar ou não definir esta configuração de diretiva, o Windows não chamará os programas antivírus registrados quando anexos de arquivo forem abertos.

Os valores possíveis para a configuração Notificar programas antivírus ao abrir anexos são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Programas antivírus que não executem verificações de acesso podem não ser capazes de verificar arquivos baixados.

Contramedida

Defina a configuração Notificar programas antivírus ao abrir anexos como Ativada.

Impacto potencial

Quando a configuração Notificar programas antivírus ao abrir anexos estiver Ativada, cada arquivo baixado ou anexo de email que o usuário abrir será verificado.

Windows Explorer

O Windows Explorer é usado para navegar pelo sistema de arquivos em clientes que executem Windows XP Professional.

Você pode definir a configuração de usuário do Windows Explorer descrita abaixo no seguinte local do Editor de objeto de Diretiva de grupo:

Configuração de usuários\Modelos administrativos\Componentes do Windows\
Windows Explorer

Remover recursos de gravação de CD

Esta configuração de diretiva remove os recursos internos de gravação de CD do Windows XP. O Windows XP permite criar e mudar CDs regraváveis se houver uma unidade de leitura/gravação de CD no computador. Este recurso pode ser usado para copiar grandes quantidades de dados de um disco rígido para um CD, que então pode ser removido do computador.

Observação: esta configuração de diretiva não impede que aplicativos de terceiros criem ou modifiquem CDs com um gravador de CD. Este guia recomenda que você use diretivas de restrição de software para negar a aplicativos de terceiros a capacidade de criar ou modificar CDs. Para obter mais informações, consulte o capítulo 6, "Diretivas de restrição de software para clientes Windows XP".

Outro meio de impedir que os usuários gravem CDs é remover os gravadores de CD dos computadores clientes no ambiente e substituí-los por unidades de CD somente leitura, ou remover todas as unidades.

Vulnerabilidade

O recurso interno de gravação de CD pode ser usado para copiar clandestinamente informações do computador ou da rede.

Contramedida

Defina a configuração Remover recursos de gravação de CD como Ativada.

Impacto potencial

Quando a configuração Remover recursos de gravação de CD está Ativada, nenhum CD pode ser gravado sem o uso de aplicativos de terceiros.

Remover guia Segurança

Esta configuração de diretiva desativa a guia Segurança das caixas de diálogo de propriedades de arquivo e pasta no Windows Explorer. Se você ativar esta configuração de diretiva, os usuários não poderão acessar a guia Segurança (depois de abrirem a caixa de diálogo Propriedades) para todos os objetos do sistema de arquivos, incluindo pastas, arquivos, atalhos e unidades. Os usuários não poderão alterar configurações na guia Segurança ou exibir a lista de usuários.

Vulnerabilidade

Os usuários podem acessar a guia Segurança para determinar quais contas têm permissões para qualquer objeto do sistema de arquivos. Os invasores podem visar estas contas para ganhar acesso maior.

Contramedida

Defina a configuração Remover guia Segurança como Ativada.

Impacto potencial

Quando a configuração Remover guia Segurança está Ativada, os usuários não podem exibir a guia Segurança para objetos do sistema de arquivos, revisar permissões ou fazer alterações em permissões por meio do Windows Explorer.

Sistema

Você pode definir a configuração de usuário Sistema descrita abaixo no seguinte local, dentro do Editor de objeto de diretiva de grupo:

Configuração do usuário\Modelos administrativos\Sistema

Impedir o acesso a ferramentas de edição do Registro

Esta configuração de diretiva desativa os editores de Registro do Windows, Regedit.exe e Regedt32.exe. Se você definir esta configuração de diretiva, uma mensagem será exibida quando o usuário tentar iniciar um editor de Registro informando que ele não pode usar qualquer um destes editores. Esta configuração de diretiva nega o acesso por usuários ou invasores ao Registro com estas ferramentas, mas não impede o acesso ao Registro.

Vulnerabilidade

Os usuários podem tentar usar ferramentas de edição de Registro para ignorar outras restrições e diretivas. Embora muitas das configurações que são aplicadas por Diretiva de Grupo não possam ser ignoradas desta forma, configurações diretamente aplicadas ao Registro podem ser modificadas assim.

Contramedida

Defina a configuração Impedir o acesso a ferramentas de edição do Registro como Ativada.

Impacto potencial

Quando a configuração Impedir o acesso a ferramentas de edição do Registro está Ativada, os usuários não podem iniciar Regedit.exe ou Regedt32.exe para fazer alterações ao Registro.

Sistema\Gerenciamento de Energia

Você pode definir a configuração de usuário Sistema\Gerenciamento de Energia descrita abaixo no seguinte local, dentro do Editor de objeto de diretiva de grupo:

Configurações do Usuário\Modelos Administrativos\Sistema\Gerenciamento de Energia

Solicitar senha ao sair do modo de suspensão/hibernação

Esta configuração de diretiva controla se os computadores clientes em seu ambiente são bloqueados quando reiniciados a partir de um estado de hibernação ou suspensão. Se você ativar esta configuração, os computadores clientes serão bloqueados quando reiniciarem a operação e os usuários deverão digitar suas senhas para desbloqueá-los. Se você desativar ou não definir esta configuração, haverá potencial para uma brecha de segurança grave, porque os computadores clientes poderão ser acessados por qualquer pessoa depois que reiniciarem a operação.

Configurações de proteção de tela

As proteções de tela originalmente foram desenvolvidas para proteger monitores de computador com base em tubos de raios catódicos contra a queima de imagem na tela. Desde então, foi desenvolvida outra maneira de os usuários personalizarem a aparência e o comportamento da área de trabalho virtual de seus computadores. As proteções de tela também se tornaram uma ferramenta de segurança; as proteções de tela que bloqueiam automaticamente a área de trabalho tornaram-se úteis para proteger ainda mais os computadores dos usuários finais, quando eles esquecem de bloquear o console.

Você pode definir a configuração Proteção de tela descrita abaixo no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do usuário\Modelos administrativos\Painel de controle\Vídeo

Ocultar guia 'Proteção de tela'

Esta configuração de diretiva determina se os usuários podem adicionar, configurar ou alterar a proteção de tela no computador.

Se você ativar esta configuração de diretiva, a guia Proteção de tela é removida de Vídeo no Painel de controle e os usuários não podem fazer qualquer alteração às configurações de proteção de tela. Se você desativar ou não definir esta configuração de diretiva, os usuários terão acesso a esta guia.

Os valores possíveis para a configuração Ocultar guia 'Proteção de tela' são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Os usuários podem alterar as configurações de proteção de tela para remover senhas ou aumentar o tempo antes de uma proteção de tela bloquear o computador.

Contramedida

Defina a configuração Ocultar guia 'Proteção de tela' como Ativada.

Impacto potencial

Os usuários não poderão alterar configurações de proteção de tela.

Proteger com senha a proteção de tela

Esta configuração de diretiva determina se a proteção de tela usada no computador é protegida por senha.

Se você ativar esta configuração de diretiva, todas as proteções de tela serão protegidas por senha. Se você desativar esta configuração de diretiva, a proteção por senha não poderá ser definida em qualquer proteção de tela. Essa configuração também desativa a caixa de seleção Protegido por senha na guia Proteção de tela da caixa de diálogo Vídeo no Painel de controle, o que oferece outra maneira de impedir que os usuários alterem a configuração de proteção com senha.

Se você não definir esta configuração de diretiva, os usuários poderão escolher se desejam configurar a proteção de senha em cada proteção de tela em seus computadores. Para assegurar que um computador será protegido por senha, este guia recomenda que você ative a configuração Proteção de tela e depois especifique um tempo limite com a configuração Tempo limite de proteção de tela.

Os valores possíveis para a configuração Proteger com senha a proteção de tela são:

  • Ativada

  • Desativada

  • Não Configurado

Observação: para remover a guia Proteção de tela, use a configuração Ocultar guia 'Proteção de tela'.

Vulnerabilidade

As proteções de tela sem proteção com senha não bloquearão o console dos usuários que se afastarem de seus computadores.

Contramedida

Defina a configuração Proteger com senha a proteção de tela como Ativada.

Impacto potencial

Os usuários terão que desbloquear seus computadores depois que a proteção de tela for iniciada.

Screen Saver

Esta configuração de diretiva permite que a proteção de tela de área de trabalho funcione. Se você desativar esta configuração de diretiva, a proteção de tela não será executada.

Se você não definir esta configuração de diretiva, não haverá nenhum efeito no computador. Se você ativar esta configuração de diretiva, a proteção de tela poderá ser executada se as duas condições a seguir forem atendidas:

  • Uma proteção de tela válida no cliente está especificada por meio da configuração Nome do executável da proteção de tela ou do Painel de controle no computador cliente.

  • O tempo limite da proteção de tela está definido como um valor diferente de zero por meio da configuração ou do Painel de controle.

Os valores possíveis para a configuração Proteção de tela são:

  • Ativada

  • Desativada

  • Não Configurado

Vulnerabilidade

Essa configuração de diretiva deve ser ativada para usar o recurso de bloqueio por proteção de tela descrito acima.

Contramedida

Defina a configuração Proteção de tela como Ativada.

Impacto potencial

Esta configuração de diretiva ativa as proteções de tela nos computadores de usuários no seu ambiente.

Nome do arquivo executável da proteção de tela

Esta configuração de diretiva especifica a proteção de tela que é exibida na área de trabalho do usuário. Se você ativar esta configuração de diretiva, o computador exibirá a proteção de tela especificada na área de trabalho do usuário e desativará a lista suspensa de proteções de tela na guia Proteção de tela da caixa de diálogo Vídeo do Painel de controle (para impedir alterações do usuário). Se você desativar ou não definir esta configuração de diretiva, os usuários poderão selecionar qualquer proteção de tela.

Para ativar a configuração Nome do executável da proteção de tela

  1. Digite o nome do arquivo que contém a proteção de tela. Inclua a extensão do nome do arquivo .scr.

  2. Se o arquivo de proteção de tela não estiver na pasta %Systemroot%\System32, digite o caminho completo para o arquivo.

    Se a proteção de tela especificada não estiver instalada no computador ao qual essa configuração se aplica, a configuração será ignorada.

Os valores possíveis para a configuração Nome do executável da proteção de tela são:

  • Ativada. Depois que esse valor for especificado, insira o nome do executável da proteção de tela.

  • Desativada

  • Não Configurado

Observação: essa configuração pode ser substituída pela configuração Proteção de tela. Se você desativar a configuração Proteção de tela, a configuração do nome do executável de proteção de tela será ignorada e a proteção de tela não será executada.

Vulnerabilidade

Para que o recurso de bloqueio por proteção de tela funcione, é necessário especificar um executável de proteção de tela válido.

Contramedida

Defina a configuração Nome do executável da proteção de tela como Scrnsave.scr—a proteção de tela em branco—ou algum executável de proteção de tela.

Impacto potencial

A proteção de tela em branco, ou qualquer outra especificada, será executada quando o tempo limite for atingido.

Tempo limite de proteção de tela

Esta configuração de diretiva especifica quanto tempo de ociosidade do usuário deve se passar antes que a proteção de tela seja iniciada. Quando configurado, esse tempo de ociosidade pode ser definido de, no mínimo, 1 segundo até, no máximo, 86.400 segundos, ou 24 horas. Se você definir esta configuração como 0, a proteção de tela não será iniciada.

Esta configuração de diretiva não tem efeito nas seguintes circunstâncias:

  • Se a configuração de diretiva estiver Desativada ou Não Configurada.

  • Se o tempo de espera estiver definido como 0.

  • Se Nenhuma proteção de tela estiver ativada.

  • Se nem a configuração Nome do executável da proteção de tela nem a guia Proteção de tela da caixa de diálogo Propriedades de Vídeo especificarem um programa válido de proteção de tela existente no computador cliente.

Quando não for configurado, o tempo de espera que estiver configurado no cliente na guia Proteção de tela da caixa de diálogo Propriedades de Vídeo será usado. O padrão são 15 minutos.

Os valores possíveis para a configuração Tempo limite de proteção de tela são:

  • Ativada, com um tempo limite de proteção de tela entre 1 e 86.400 segundos.

  • Desativada

  • Não Configurado

Vulnerabilidade

Você deve configurar um tempo limite de proteção de tela válido para que o recurso de bloqueio por proteção de tela funcione.

Contramedida

Defina a configuração Tempo limite de proteção de tela com um valor apropriado para os requisitos de segurança de sua organização.

Impacto potencial

A proteção de tela será executada após um período de inatividade.

Mais informações

Os links a seguir fornecem mais informações sobre Modelos administrativos para Windows XP Professional e Windows Server 2003:

  • Para obter uma listagem completa de todas as configurações de Diretiva de Grupo de Modelos Administrativos que estão disponíveis no Windows XP e no Windows Server 2003, baixe a planilha "Group Policy Settings Reference for Windows Server 2003 with Service Pack 1" em

    www.microsoft.com/downloads/details.aspx?FamilyId=
    7821C32F-DA15-438D-8E48-45915CD2BC14.

  • Para obter mais informações sobre a localização dos arquivos .adm, consulte o artigo do Microsoft Knowledge Base (em inglês) "Location of ADM (Administrative Template) Files in Windows" em http://support.microsoft.com/?scid=228460.

  • Para obter mais informações sobre como criar arquivos de modelo administrativo personalizados no Windows, consulte o artigo do Microsoft Knowledge Base (em inglês) “How to: Create Custom Administrative Templates in Windows 2000” em http://support.microsoft.com/?scid=323639.

  • Para obter mais informações sobre como criar seus próprios Modelos Administrativos, consulte o informe oficial "Implementing Registry–Based Group Policy" em

    www.microsoft.com/windows2000/techinfo/howitworks/management/rbppaper.asp.

  • Para obter informações sobre relatórios de erro, consulte o site Relatório de Erros Corporativo do Windows em www.microsoft.com/resources/satech/cer/.

  • Para obter informações gerais sobre o Windows Server Update Service (WSUS), consulte Windows Server Update Services Product Overview  em

    www.microsoft.com/windowsserversystem/updateservices/evaluation/overview.mspx.

  • Para obter informações sobre como implantar o WSUS, consulte Deploying Microsoft Windows Server Update Services em

    www.microsoft.com/technet/prodtechnol/windowsserver2003/library/WSUS/
    WSUSDeploymentGuideTC/.

  • Para obter mais informações sobre o Gerenciamento de Diretiva de Grupo, consulte Enterprise Management with the Group Policy Management Console em

    www.microsoft.com/windowsserver2003/gpmc/.

  • O site principal Office 2003 Security tem links para artigos que explicam como usar as configurações de segurança e recursos do Office 2003 em

    http://office.microsoft.com/en-us/assistance/HA011403061033.aspx.

  • O download "Office 2003 Policy Template Files and Deployment Planning Tools" inclui os arquivos e planilhas de Modelos administrativos de Diretiva de Grupo do Office que resumem todas as configurações disponíveis em

    http://download.microsoft.com/download/9/5/f/95f7e000-d7ab-4b86-8a5d-804b124c7a69/Office-2003-SP1-ADMs-OPAs-and-Explain-Text.exe.

  • O "Office 2003 Resource Kit toolset" inclui "Office 2003 Policy Template Files and Deployment Planning Tools" além de várias outras ferramentas úteis para implantar e gerenciar o Office 2003 em

    http://download.microsoft.com/download/0/e/d/0eda9ae6-f5c9-44be-98c7-ccc3016a296a/ork.exe.

  • O artigo do MSDN em duas partes “Browsing the Web and Reading E-mail Safely as an Administrator” explica como você pode configurar navegadores da Web e clientes de correio para serem executados com privilégios mais baixos quando você faz logon em seu computador com uma conta que tenha privilégios de administrador. As duas partes estão disponíveis online em

    http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dncode/html/
    secure11152004.asp e http://msdn.microsoft.com/library/default.asp?url=/library/
    en-us/dncode/html/secure01182005.asp.



Download

Receba o Guia Ameaças e Contramedidas

Notificações de atualização

Inscreva-se para saber mais sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft