TechNet Magazine > Home > Todas as edições > 2007 > June >  Segurança: Gerenciando restriçõe...
Segurança
Gerenciando restrições de hardware por meio de Diretiva de grupo
Jeremy Moskowitz
 
Visão geral:
  • Restringindo instalações de hardware
  • Restringindo dispositivos específicos
  • Restringindo classes de dispositivos

Você sabe que é verdade: aqueles pen drives USB e todos os outros dispositivos removíveis tornam a sua vida pessoal mais fácil, mas também dificultam a sua vida profissional. Você precisa de uma forma de controlar os
dispositivos de hardware que podem ser instalados e os que não podem. Felizmente, com a Diretiva de grupo do Windows Vista™ e da próxima versão do Windows Server®, cujo codinome é "Longhorn", você tem a opção de aprovar a conexão de um mouse USB mas desaprovar os pen drives USB, permitir leitores de CD-ROM, mas não gravadores de DVD ou permitir Bluetooth e impedir a conexão de PCMCIA.
Duas seções da Diretiva de grupo podem ajudá-lo a proteger o seu hardware: Configuração do Computador | Modelos Administrativos | Sistema | Acesso de Armazenamento Removível (consulte a Figura 1) e Configuração do Computador | Modelos Administrativos | Sistema | Instalação de Dispositivo | Restrições de Instalação de Dispositivo (consulte a Figura 2).
Figura 1 Restrições de hardware predefinidas da Diretiva de grupo (Clique na imagem para aumentar a exibição)
Figura 2 Personalize os tipos de hardware que você deseja restringir (Clique na imagem para aumentar a exibição)
O primeiro conjunto (Acesso de Armazenamento Removível) é bastante auto-explicativo: se você habilitar uma definição de diretiva para aquele tipo de armazenamento removível (CD/DVD, disquete, entre outros), poderá restringir a leitura e/ou a gravação para todo o tipo de dispositivo, se desejado. Mas ele não possui os superpoderes de Restrições de Instalação de Dispositivo.
Em Acesso de armazenamento removível, há grupos de definição de diretiva chamados Classes personalizadas: Negar acesso de leitura e Classes personalizadas: Negar acesso de gravação. Isso parece bom, mas a diretiva Acesso de Armazenamento Removível não evita que os drivers sejam instalados — o driver da classe já estará instalado quando o hardware for detectado. O que a diretiva faz é evitar que haja leitura ou gravação no dispositivo. Na próxima seção, onde vou explorar as configurações da diretiva Restrições de Instalação de Dispositivo, impedirei a utilização do próprio driver.

Manipulando classes e IDs
Primeiro, o mais importante: você precisa saber o que deseja restringir. É possível pensar grande ou pensar pequeno. Ou seja, você pode restringir uma "classe" de dispositivos específica ou obter uma super-específica e restringir um único tipo de hardware. Ou pode fazer o contrário e permitir somente algumas classes específicas de dispositivo, como um mouse USB. No entanto, este é o truque: para ser realmente eficiente, você precisa rastrear o hardware que deseja restringir.
Assim, se você quer dizer "Nenhum driver de joystick pode ser instalado" e "O único mouse que poderá ser instalado é o USB", precisa encontrar um joystick e um mouse USB. A alternativa é usar a Internet para rastrear a ID do Hardware, a identificação compatível ou a classe de dispositivo. Entretanto, será muito mais fácil se você tiver um desses dispositivos na sua frente. Dessa forma, você poderá conectá-lo à sua máquina e verificar o ID do Hardware, a identificação compatível ou a classe de dispositivo. Depois de descobrir essa informação, você saberá exatamente como restringi-los (ou como disponibilizá-los).
No exemplo a seguir, impedirei a utilização de uma família específica de placas de som: uma Creative AutoPCI ES1371/ES1373. Se você quiser restringir algum outro recurso específico (como dispositivos USB, portas USB etc.), basta acompanhar o procedimento e substituir pelo dispositivo desejado.
Abra o Gerenciador de dispositivos em uma máquina que já tenha os itens de hardware instalados. Quando encontrar o dispositivo, clique-o com o botão direito do mouse e selecione Propriedades e a guia Detalhes. Por padrão, você verá uma "Descrição do dispositivo"; ela é interessante, mas não é muito útil. Selecione a lista suspensa Propriedade e escolha "IDs de Hardware", como mostrado na Figura 3.
Figura 3 A guia Detalhes do dispositivo (Clique na imagem para aumentar a exibição)
A página IDs de Hardware exibe, de cima para baixo, as identificações de dispositivo da mais específica para a menos específica. Se você examinar mais de perto o item superior da lista de valores IDs de Hardware, verá que esta placa de som é, especificamente, uma Ver 2 da placa de som ES1371. Isso é bastante específico. À medida que percorremos a lista, a descrição vai se tornando menos específica para englobar toda a família.
Além disso, você pode alterar a Propriedade para identificações compatíveis. Elas também descrevem o hardware e são consideradas menos específicas do que as IDs de Hardware. Você pode optar por utilizar as informações das identificações compatíveis e tentar obter mais tipos de hardware que sejam similares aos presentes em sua lista dos que não podem ser usados — uma vez que elas são menos específicas e podem capturar mais resultados. A desvantagem é que você pode restringir algo que não deveria ser restringido.
E, finalmente, a categoria menos específica pode ser encontrada por meio da seleção de Classe de Dispositivo na lista suspensa Propriedade. No meu caso, a placa de som é exibida simplesmente como Mídia. Mas alguns itens podem ser considerados como Mídia e, novamente, ao optar pelo menos específico, você deve tomar ainda mais cuidado.
Depois de decidir o valor a ser usado, clique sobre ele com o botão direito do mouse, selecione Copiar e cole-o no Bloco de notas. O fato de copiá-lo diretamente, como é apresentado, é importante, já que nas próximas etapas o valor precisará ser inserido com exatidão. Todos os caracteres em maiúsculas e minúsculas do valor devem ser transferidos com precisão.
Se você quiser utilizar um comando da linha de comando em vez de usar o Gerenciador de dispositivos para capturar os IDs de Hardware ou as classes de dispositivo, consulte o utilitário de linha de comando Devcom em support.microsoft.com/kb/311272. Observe que a Microsoft possui alguns identificadores para classes comuns que podem ser úteis caso você não tenha acesso físico ao dispositivo; consulte as informações em go.microsoft.com/fwlink/?LinkId=52665.

Controle de acesso ao hardware por meio de Diretiva de grupo
Mesmo explorando todas as configurações de diretiva de Configuração do Computador | Modelos Administrativos | Sistema | Instalação de Dispositivo | Restrições de Instalação de Dispositivo (mostrado na Figura 2), só uma delas será necessária para concluirmos este primeiro exemplo.
Primeiro, crie um GPO (Objeto de diretiva de grupo) e vincule-o a uma OU (ou a um domínio, entre outros) que contenha máquinas com o Windows Vista que você deseja controlar. Agora edite o GPO e vá até Configuração do Computador | Modelos Administrativos | Sistema | Instalação de Dispositivo | Restrições de Instalação de Dispositivo | Impedir a instalação de dispositivos que correspondam a qualquer destas identificações de dispositivo. Selecione Habilitado na configuração da diretiva, clique em Mostrar (também na configuração da diretiva) e selecione Adicionar na caixa de diálogo "Mostrar conteúdo". Em seguida, na caixa de diálogo "Adicionar item", cole as informações do dispositivo salvas anteriormente como mostrado na Figura 4.
Figura 4 Cole a identificação do dispositivo para capturar a sua descrição exata (Clique na imagem para aumentar a exibição)
Aqui temos o problema. Se uma máquina já tiver o dispositivo instalado, ela não o desinstalará e restringirá o acesso a ele em um passe de mágica. Assim, ser você quiser restringir o hardware, terá de fazer isso antes da implementação do seu Windows Vista. No entanto, é preciso observar que o Windows Vista fará uma nova verificação sempre que um dispositivo for removido e reinstalado. Portanto, itens como pen drives USB (que são removidos e reinseridos novamente) são excelentes candidatos para esse processo. Uma vez que o Windows Vista só faz uma nova verificação quando o dispositivo é reconectado, o dispositivo será restringido nesse momento (mesmo que o seu driver já tenha sido carregado na máquina). O problema mais difícil está relacionado aos dispositivos que vêm com a máquina e que não são removidos e reconectados. Para eles, não há uma solução instantaneamente óbvia.
Quando você liga uma máquina que nunca viu o dispositivo de hardware antes, o Windows tentará instalá-lo, oferecendo as informações de status à medida que for progredindo. Se você configurou uma diretiva restringindo esses dispositivos, obterá o resultado mostrado na Figura 5.
Figure 5Figura 5 A instalação de um dispositivo foi impedida  (Clique na imagem para aumentar a exibição)

Mais restrições de hardware
No exemplo anterior, nós restringimos somente um dispositivo. Se quisesse, você poderia ter tomado o caminho inverso, restringindo todo o hardware por padrão e então permitindo somente alguns. Novamente, você pode ver uma lista dessas configurações de diretiva na Figura 2, que mostra a ramificação Configuração do Computador | Modelos Administrativos | Sistema | Instalação de Dispositivo | Restrições de Instalação de Dispositivo da Diretiva de grupo. É possível escolher entre diversas configurações disponíveis.
Primeiro, há "Permitir que os administradores substituam as diretivas de Restrição de Instalação de Dispositivos". Por padrão, os administradores locais do Windows Vista devem seguir as restrições configuradas. Se você habilitar essa configuração, os administradores locais poderão substituir a restrição e instalar qualquer hardware que desejarem.
Em seguida, há "Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação de dispositivo". Ao inserir descrições de dispositivo nessa configuração de diretiva, você está permitindo expressamente que esses dispositivos de hardware sejam instalados no sistema. Observe que essa configuração de diretiva considera somente as classes de instalação, e não as identificações de dispositivo (como as usadas no exemplo).
Para obter o efeito contrário, você pode definir "Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação de dispositivo".
As duas configurações "Exibir uma mensagem personalizada quando a instalação for impedida pela diretiva (texto do balão)" e "Exibir uma mensagem personalizada quando a instalação for impedida pela diretiva (título do balão)" ajudam na personalização da mensagem, como mostrado na Figura 5.
Como mencionado anteriormente, a forma menos específica de descrever o hardware se baseia na classe de hardware. Devemos observar que a configuração de diretiva "Permitir a instalação de dispositivos que correspondam a qualquer destas identificações de dispositivo" não considera as descrições de identificação de classe. Para usar as descrições de identificação de classe, você pode escolher "Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação de dispositivo" ou "Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação de dispositivo". Essa última diretiva é melhor quando usada em conjunto com a configuração "Impedir a instalação de dispositivos não descritos por outras configurações de diretiva". Ao impedir tudo (por padrão) e então optar por essa configuração, você poderá especificar, com precisão, quais são os dispositivos que deseja permitir.
No exemplo, utilize a diretiva "Impedir a instalação de dispositivos que correspondam a qualquer destas identificações de dispositivo" para restringir um tipo específico de hardware com base nas identificações de dispositivo". Se você quiser implementar restrições usando as classes de dispositivo, deve utilizar outras configurações de diretiva específicas, como "Permitir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação de dispositivo" ou "Impedir a instalação de dispositivos usando drivers que correspondam a essas classes de instalação de dispositivo".
"Impedir a instalação de dispositivos removíveis" é uma forma rápida e genérica de restringir qualquer dispositivo de hardware que se descreva como removível, incluindo os dispositivos USB. Essa configuração é bem geral, por isso é melhor não usá-la com muita freqüência. Em vez dela, utilize as técnicas descritas anteriormente para obter identificações de dispositivo moderadamente restritivas e para bloquear os dispositivos de forma específica.
Finalmente, "Impedir a instalação de dispositivos não descritos por outras configurações de diretiva" é a configuração geral de diretiva que, basicamente, restringe todos os dispositivos de hardware, a menos que você informe que alguns deles poderão ser instalados. Essa diretiva, em conjunto com as várias diretivas "Permitir" (como "Impedir a instalação de dispositivos que correspondam a qualquer destas identificações de dispositivo"), formam uma ferramenta realmente poderosa que permitirá a você instalar em seu ambiente somente o hardware desejado.

Conclusão
A Diretiva de grupo do Windows Vista possui alguns superpoderes, extremamente úteis e que permitirão a você instalar em seu ambiente somente o hardware desejado. Basta implementar as configurações de diretiva antes da sua implementação para que o hardware indesejado que esteja em sua rede nunca encontre uma forma de se conectar.
Entrevista com Michael Dennis, gerente-chefe de programa para Diretiva de grupo da Microsoft
Recentemente, tive a oportunidade de entrevistar Michael Dennis, que comandou o lançamento da Diretiva de grupo na Microsoft desde a sua concepção. Michael está deixando a equipe de Diretiva de grupo para buscar novas oportunidades na Microsoft. Conversei com Michael para refletir sobre os últimos nove anos de Diretiva de grupo, onde ela está e para onde está indo.

Jeremy Moskowitz Michael, acho que muita gente gostaria de saber o que você considera como a sua maior realização durante o tempo em que você comandou a equipe de Diretiva de grupo na Microsoft.

Michael Dennis As maiores realizações datam de algum tempo, quando nos concentramos no desenvolvimento do que seria conhecido como Diretiva de grupo. Nós já tínhamos a Diretiva do Sistema no Win­dows NT® 4.0 e, portanto, a examinamos junto com seus problemas. Já que isso foi durante o período de desenvolvimento do Active Directory®, vimos onde que precisávamos melhorar a gerenciabilidade de clientes e de servidores.
A idéia de criar a Diretiva de grupo em uma hierarquia e o fato de que isso nunca tinha sido feito antes eram muito importantes para nós. Assim, nos concentramos na infra-estrutura principal, nos processos cliente e na integração com o Active Directory.
O subproduto de nossa melhor realização também foi a nossa pior realização. Isso aconteceu porque a GUI lançada com o Windows 2000 era problemática. As pessoas precisavam ter um doutorado em Diretiva de grupo para usá-la de forma eficiente, já que os administradores precisavam saber como tudo funcionava. Eu queria ter criado o GPMC (Console de Gerenciamento de Diretiva de Grupo) e o RSoP (Conjunto de Diretivas Resultante) e os lançado na época (eles estavam nas especificações)

JM Que itens você gostaria de ter incluído na experiência da Diretiva de grupo?

MD A boa notícia é que tudo o que eu queria desde a versão do Windows 2000 agora está aqui no Windows Vista — coisas como RsoP, o GPMC, mais configurações e assim por diante. Eu gostaria de ter criado esses recursos muito mais cedo.
Além disso, eu queria que a infra-estrutura da Diretiva de grupo pudesse ser estendida com mais facilidade pelos parceiros. O nosso modelo de extensão lado servidor/lado cliente requer uma boa dose de trabalho dos desenvolvedores. No entanto, poderíamos argumentar que a nossa estrutura de modelo ADM/ADMX oferece um framework facilmente extensível. Mas teria sido ainda mais fácil se essa parte do sistema permitisse que as pessoas estendessem mais tipos de configurações.
Eu também gostaria que os relatórios do GPMC fossem mais extensíveis para parceiros e para desenvolvedores de ferramentas de terceiros. É uma área em que os fornecedores de ferramentas de terceiros têm sido bem atuantes.

JM O que as pessoas ainda não sabem sobre a equipe da Diretiva de grupo?

MD Algumas vezes, não fica claro para as pessoas onde a equipe da Diretiva de grupo se encaixa no quadro geral. A idéia é que criamos a infra-estrutura, o transporte e as partes do lado servidor e do lado cliente. Somente no Windows Vista, trabalhamos em conjunto com cerca de 120 equipes diferentes na Microsoft para criarmos as novas configurações para essa versão.
Os leitores devem observar que a Diretiva de grupo não tem culpa dos problemas de lentidão do sistema na inicialização ou no logon. Se houver lentidão, a culpa será da carga da Diretiva de grupo. Se você mandar a Diretiva de grupo fazer algo pesado, é justamente isso que ela fará. Por exemplo, se você mandá-la instalar o Microsoft Office em todas as máquinas, tudo bem. Mas saiba que ela fará o que você pediu; ela instalará todo o Office antes da exibição do prompt de logon. Podemos chamar isso de lentidão? Pode apostar que sim, mas, como um administrador que acabou de fazer essa implementação, isso é exatamente o que você queria que o sistema fizesse.

JM O que você mais gosta de exibir usando a Diretiva de grupo?

MD Ultimamente, gosto de exibir algumas das novas configurações feitas no Windows Vista. As configurações de dispositivos removíveis (para restringir cartões USB, entre outras coisas) são aquelas que todos estavam pedindo. Existem cerca de 2.400 configurações disponíveis no Windows Vista, o que traz um nível significativo de controle para os administradores. Gosto de perguntar os clientes o que eles desejam controlar e então mostro a eles como fazê-lo.

JM Por que você trocou os arquivos ADM para ADMX?

MD Tecnicamente, não precisávamos fazer isso para chegarmos ao novo recurso de armazenamento central do Windows Vista. O grande incentivo para a conversão para ADMX foi a capacidade de suportarmos vários idiomas de forma apropriada.
Antes, nos ambientes multilíngües, com freqüência você se deparava com uma situação em que o conteúdo dos arquivos ADM de um GPO estava, inadvertidamente, escrito em outro idioma. Historicamente, pegamos emprestado o formato ADM do Windows NT 4.0, que o tinha pegado do Windows 98 e que fora emprestado pelo Windows 95. Se o XML já existisse, teria sido um bom candidato para o nosso formato de arquivo.
Mas, agora que temos o XML, ficou mais fácil oferecer suporte a vários idiomas, além de representar oportunidades futuras de melhorarmos o registro e as configurações com a nossa nova linguagem esquematizada.

JM Qual foi o maior desafio interno que você teve de superar quando trabalhava na equipe da Diretiva de grupo?

MD O maior problema contínuo que a equipe enfrenta é a tentativa de habilitar os recursos de diretiva do Windows nos recursos de outros componentes.
A Equipe X poderia responder "Acabamos de criar esse novo recurso incrível. Por que alguém poderia querer desligá-lo?" E nós podemos entender isso. Mas resolvemos muitos desses problemas.
Há também os desafios técnicos relacionados à habilitação de alguns recursos por meio de diretivas, como, por exemplo, o WFAS (Firewall do Windows com Segurança Avançada. A criação do WFAS foi difícil. Não é fácil ou direto habilitá-lo para diretivas de forma correta. A interface criada pela equipe do WFAS para o Windows Vista é magnífica, mas acertar foi bem complicado.
Nas versões anteriores ao Windows Vista, as equipes de produto nem sempre pensavam em habilitar seus componentes para diretivas. Porém, durante o desenvolvimento do Windows Vista, um número bem razoável de equipes nos perguntou como fazê-lo. Isso foi ótimo!
JM E quais são seus planos?

MD Estou mudando para a equipe "Mobile Information Worker", responsável pelos Smart Phones, Pocket PCs, entre outros. Minha função será estender algumas das tecnologias de gerenciamento do Sistema do Windows Server para dispositivos Windows Mobile®.
Tentarei levar a minha visão e a minha paixão por gerenciabilidade e aplicá-las nesse novo espaço. Enquanto isso, estou deixando a equipe da Diretiva de grupo em uma ótima posição para tudo prossiga sem mim.

JM Há algo mais que você gostaria de dizer aos nossos leitores?

MD Durante o desenvolvimento da Diretiva de grupo, uma etapa importante foi a ouvirmos o cliente para realmente entendermos o que eles estavam tentando fazer. Se os clientes tiverem uma opinião bem estruturada sobre os cenários que podem ser cobertos pela Diretiva de grupo e se tiverem um caso comercial, eles precisam comunicar isso para nós.
Temos um bom mecanismo de feedback disponível em WindowsServerFeedback.com. Procure pelo botão Group Policy.
Se a sua equipe puder nos dizer "este é o meu problema, este é o meu caso comercial e eu preciso que o sistema possa fazer por este motivo", esse é o tipo de informação que é muito, muito valioso para nós. Aqueles tomam decisões sobre o destino da Diretiva de grupo lêem cada entrada vinda desse site.
Novamente, se você deseja ter influência no futuro da Diretiva de grupo, diga-nos de que precisa. Mas não basta nos dizer "Precisamos de uma configuração de diretiva que faça X" sem nos contar o porquê. A nossa função é descobrir "como". O que a equipe da Diretiva de grupo realmente precisa saber é o "porquê."
JM Obrigado por passar um tempo nos contando sobre as suas experiências na equipe de Diretiva de grupo da Microsoft. Desejo a você muita sorte!
MD Obrigado, Jeremy.


Jeremy Moskowitz, MCSE e MVP em Diretiva de grupo, administra o GPanswers.com, um fórum comunitário sobre Diretivas de grupo. Ele também ministra uma série de workshops de treinamento intensivo sobre Diretiva de grupo. Seu livro mais recente foi lançado pela editora Sybex em 2007 e se chama Group Policy: Management, Troubleshooting and Security (Diretiva de grupo: gerenciamento, solução de problemas e segurança). Entre em contato com Jeremy pelo endereço www.GPanswers.com.
© 2008 Microsoft Corporation e CMP Media, LLC. Todos os direitos reservados. A reprodução parcial ou completa sem autorização é proibida..
Page view tracker