Configurações de política de segurança

Este tópico de referência descreve os cenários comuns, a arquitetura e o processos das configurações de segurança.

As políticas de configurações de segurança são regras que os administradores podem configurar em um ou vários dispositivos, com o objetivo de proteger os recursos em um dispositivo ou uma rede. A extensão de Configurações de Segurança do snap-in Editor de Política de Grupo Local permite que você defina as configurações como parte de um Objeto de Política de Grupo (GPO). Os GPOs são vinculados a contêineres do Active Directory, como sites, domínios ou unidades organizacionais, e permitem que você gerencie configurações de segurança para vários dispositivos de qualquer dispositivo que tenha ingressado no domínio. As políticas de configurações de segurança devem ser usadas como parte de sua implementação geral de segurança para ajudar a proteger controladores de domínio, servidores, clientes e outros recursos na sua organização.

As configurações de segurança podem controlar:

• A autenticação de usuário para uma rede ou um dispositivo.

• Os recursos que os usuários têm permissão para acessar.

• Se as ações de um usuário ou grupo devem ser registradas no log de eventos.

• A associação a um grupo.

Para gerenciar as configurações de segurança de vários dispositivos, você pode usar uma das seguintes opções:

• Edite configurações de segurança específicas em um GPO.

• Use o snap-in Modelos de Segurança para criar um modelo de segurança que contenha as políticas de segurança que você deseja aplicar e importe o modelo de segurança para um Objeto de Política de Grupo. Um modelo de segurança é um arquivo que representa uma configuração de segurança, e pode ser importado para um GPO, aplicado a um dispositivo local ou usado para analisar a segurança.

Para saber mais sobre como gerenciar as configurações de segurança, veja Administrar as configurações de política de segurança.

A extensão Configurações de Segurança do Editor de Política de Grupo Local inclui os seguintes tipos de políticas de segurança:

• Políticas de conta. Estas políticas são definidas em dispositivos; elas afetam a maneira como as contas de usuário podem interagir com o computador ou o domínio. Entre as políticas de conta estão os seguintes tipos de políticas:

  • Política de senha. Estas políticas determinam as configurações de senhas, como imposição e vida útil. As políticas de senha são usadas para contas de domínio.

  • Política de bloqueio de conta. Estas políticas determinam as condições e o período durante o qual uma conta permanecerá bloqueada no sistema. As políticas de bloqueio da conta são usadas em contas de usuário local ou domínio.

  • Política de Kerberos. Estas políticas são usadas em contas de usuário do domínio; elas determinam configurações relacionadas a Kerberos, como vida útil de tíquete e imposição.

• Políticas locais. Estas políticas se aplicam a um computador e incluem os seguintes tipos de configurações de política:

  • Política de auditoria. Especifique configurações de segurança que controlem o registro em log de eventos de segurança no log de segurança do computador e especifiquem quais tipos de eventos de segurança registrar em log (êxito, falha ou ambos).

    Observação  

    Para dispositivos que executam o Windows 7 e posterior, recomendamos usar as configurações de Configuração Avançada de Política de Auditoria e não as configurações de Política de Auditoria em Políticas Locais.

     

  • Atribuição de direitos de usuário. Especifique os usuários ou os grupos com privilégios ou direitos de logon em um dispositivo.

  • Opções de segurança. Especifique configurações de segurança para o computador, como nomes Administrador e conta Convidado; acesso a unidades de disquete e unidades de CD-ROM; instalação de drivers; prompts de logon etc.

• Firewall do Windows com Segurança Avançada. Especifique configurações para proteger os dispositivos na rede usando um firewall com monitoração de estado que permite determinar qual tráfego de rede tem permissão para passar entre o dispositivo e a rede.

• Políticas do Gerenciador de Listas de Redes. Especifique configurações de segurança que você possa usar para configurar diferentes aspectos de como as redes são listadas e exibidas em um dispositivo ou em vários dispositivos.

• Políticas de Chave Pública. Especifique configurações para controlar Encrypting File System, Proteção de Dados e Criptografia de Unidade de Disco BitLocker, além de determinados caminhos de certificado e configurações de serviços.

• Políticas de restrição de software. Especifique configurações para identificar o software e controlar a capacidade de executar no dispositivo local, na unidade organizacional, no domínio ou no site.

• Políticas de Controle de Aplicativo. Especifique configurações para controlar quais usuários ou grupos podem executar aplicativos específicos na organização com base em identidades exclusivas de arquivos.

• Políticas de segurança IP no computador Local. Especifique configurações para garantir comunicações privadas seguras via redes IP por meio do uso de serviços de segurança criptográficos. IPsec estabelece confiança e segurança de um endereço IP de origem para um endereço IP de destino.

• Configuração Avançada de Política de Auditoria. Especifique configurações que controlem o registro em log de eventos de segurança no log de segurança do dispositivo. As configurações em Configuração Avançada de Política de Auditoria oferecem um controle mais refinado de quais atividades monitorar em vez das configurações de Política de Auditoria em Políticas Locais.

Gerenciamento das configurações de segurança com base em política

A extensão Configurações de Segurança para Política de Grupo oferece uma infraestrutura de gerenciamento baseada em política integrada para ajudar a gerenciar e impor as políticas de segurança.

É possível definir e aplicar políticas de configurações de segurança a usuários, grupos, servidores de rede e clientes por meio da Política de Grupo e dos Serviços de Domínio do Active Directory (AD DS). Um grupo de servidores com a mesma funcionalidade pode ser criado, por exemplo, um Microsoft Web Server (IIS) e, em seguida, Objetos de Política de Grupo podem ser usados para aplicar configurações de segurança comuns ao grupo. Caso mais servidores sejam adicionados a esse grupo mais tarde, muitas das configurações de segurança comuns são aplicadas automaticamente, o que reduz a implantação e o trabalho administrativo.

Cenários comuns para usar políticas de configurações de segurança

As políticas de configurações de segurança são usadas para gerenciar os seguintes aspectos de segurança: política de contas, política local, atribuição de direitos de usuário, valores do Registro, listas de controle de acesso (ACLs) de arquivo e Registro, modos de inicialização de serviço e muito mais.

Como parte da estratégia de segurança, é possível criar GPOs com políticas de configurações de segurança definidas especificamente para as diversas funções na organização, como controladores de domínio, servidores de arquivos, servidores membros, clientes etc.

É possível criar uma estrutura de unidade organizacional (UO) que agrupe dispositivos de acordo com as funções. Usar UOs é o melhor método para separar os requisitos de segurança específicos para as diferentes funções na rede. Essa abordagem também permite aplicar modelos de segurança personalizados a cada classe de servidor ou computador. Depois de criar os modelos de segurança, você irá criar um novo GPO para cada uma das UOs e importar o modelo de segurança (arquivo .inf) para o novo GPO.

Importar um modelo de segurança para um GPO garante que todas as contas a que o GPO é aplicado recebam automaticamente as configurações de segurança do modelo quando as configurações da Política de Grupo forem atualizadas. Em uma estação de trabalho ou em um servidor, as configurações de segurança são atualizadas em intervalos regulares (com uma diferença aleatória máxima de 30 minutos) e, em um controlador de domínio, esse processo ocorre a cada poucos minutos caso alterações tenham ocorrido em qualquer uma das configurações de GPO aplicáveis. As configurações também são atualizadas a cada 16 horas, independentemente de uma alteração ter ocorrido ou não.

Observação  

Essas configurações de atualização variam entre versões do sistema operacional e podem ser definidas.

Usando configurações de segurança baseadas na Política de Grupo com a delegação de administração, você pode garantir que as configurações de segurança específicas, os direitos e o comportamento sejam aplicados a todos os servidores e computadores dentro de uma UO. Essa abordagem simplifica a atualização de vários servidores com eventuais alterações adicionais necessárias no futuro.

Dependências de outras tecnologias do sistema operacional

Para dispositivos que são membros de um domínio do Windows Server 2008 ou posterior, as políticas de configurações de segurança dependem das seguintes tecnologias:

• Serviços de Domínio do Active Directory (AD DS)

  O serviço de diretório baseado no Windows, AD DS, armazena informações sobre objetos em uma rede e disponibiliza essas informações para administradores e usuários. Usando o AD DS, você pode exibir e gerenciar objetos de rede na rede de um único local, e os usuários podem acessar recursos de rede permitidos usando um logon único.

• Política de Grupo

  A infraestrutura no AD DS que permite o gerenciamento de configuração com base no diretório de configurações de usuário e computador em dispositivos nos quais sistemas operacionais Windows Server estejam em execução. Usando a Política de Grupo, você pode definir configurações para grupos de usuários e computadores, inclusive configurações de política, políticas baseadas no Registro, instalação de software, scripts, redirecionamento de pasta, Serviços de Instalação Remota, manutenção do Internet Explorer e segurança.

• Sistema de Nomes de Domínio (DNS)

  Um sistema de nomenclatura hierárquica usado para localizar nomes de domínio na Internet e em redes TCP/IP privadas. O DNS oferece um serviço para mapear nomes de domínio DNS para endereços IP e endereços IP para nomes de domínio. Isso permite que usuários, computadores e aplicativos consultem o DNS para especificar sistemas remotos por nomes de domínio totalmente qualificados, em vez de endereços IP.

• Winlogon

  Uma parte do sistema operacional Windows que dá suporte a logon interativo. O Winlogon foi projetado para um modelo de logon interativo que consiste em três componentes: o executável do Winlogon, um provedor de credenciais e um número qualquer de provedores de rede.

• Instalação

  A configuração de segurança interage com o processo de instalação do sistema operacional durante uma instalação limpa ou uma atualização de versões anteriores do Windows Server.

• Gerente de Contas de Segurança (SAM)

  Um serviço Windows usado durante o processo de logon. O SAM mantém informações de conta do usuário, inclusive grupos aos quais um usuário pertence.

• Autoridade de segurança local (LSA)

  Um subsistema protegido que autentica e faz logon de usuários no sistema local. A LSA também mantém informações sobre todos os aspectos da segurança local em um sistema, conhecido coletivamente como a Política de Segurança Local do sistema.

• Instrumentação de Gerenciamento do Windows (WMI)

  Um recurso do sistema operacional Microsoft Windows, a WMI é a implementação Microsoft do Web-Based Enterprise Management (WBEM), que é uma iniciativa do setor para desenvolver uma tecnologia padrão para acessar informações de gerenciamento em um ambiente corporativo. A WMI dá acesso a informações sobre objetos em um ambiente gerenciado. Por meio da WMI e da interface de programação de aplicativo (API) WMI, os aplicativos podem consultar e fazer alterações em informações estáticas no repositório do Common Information Model (CIM) e informações dinâmicas mantidas pelos diversos tipos de provedores.

• Conjunto de Políticas Resultante (RSoP)

  Uma infraestrutura de Política de Grupo avançada que usa a WMI para facilitar o planejamento e a depuração das configurações de política. RSoP fornece métodos públicos que expõem o que uma extensão para Política de Grupo faria em uma situação hipotética e o que a extensão fez em uma situação real. Isso permite que os administradores determinem facilmente a combinação das configurações de política aplicáveis ou que se aplicarão a um usuário ou dispositivo.

• Gerenciador de Controle de Serviço (SCM)

  Usado na configuração dos modos de inicialização do serviço e segurança.

• Registro

  Usado na configuração dos valores do Registro e segurança.

• Sistema de arquivos

  Usado na configuração da segurança.

• Conversões do sistema de arquivos

  A segurança é definida quando um administrador converte um sistema de arquivos de FAT em NTFS.

• Console de Gerenciamento Microsoft (MMC)

  A interface do usuário da ferramenta Configurações de Segurança é uma extensão do snap-in do MMC Editor de Política de Grupo Local.

Políticas de configurações de segurança e Política de Grupo

A extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte do conjunto de ferramentas Gerenciador de Configuração de Segurança. Os componentes a seguir estão associados a Configurações de Segurança: um mecanismo de configuração; um mecanismo de análise; um modelo e uma camada de interface do banco de dados; lógica de integração da instalação e a ferramenta de linha de comando secedit.exe. O mecanismo de configuração de segurança é responsável por manipular solicitações de segurança relacionadas ao editor de configuração de segurança do sistema no qual ele é executado. O mecanismo de análise avalia a segurança do sistema para uma determinada configuração e salva o resultado. O modelo e a camada de interface do banco de dados manipulam solicitações de leitura e gravação do e no modelo ou banco de dados (para armazenamento interno). A extensão Configurações de Segurança do Editor de Política de Grupo Local manipula a Política de Grupo em um dispositivo local ou baseado em domínio. A lógica de configuração da segurança se integra à instalação e gerencia a segurança do sistema para uma instalação limpa ou uma atualização para um sistema operacional Windows mais recente. As informações de segurança são armazenadas em modelos (arquivos .inf) ou no banco de dados Secedit.sdb.

O diagrama a seguir mostra Configurações de Segurança e recursos relacionados.

Políticas de Configurações de Segurança e recursos relacionados

• Scesrv.dll

  Fornece a funcionalidade do mecanismo de segurança básica.

• Scecli.dll

  Fornece as interfaces do lado do cliente para o mecanismo de configuração de segurança e oferece dados ao Conjunto de Políticas Resultante (RSoP).

• Wsecedit.dll

  A extensão Configurações de Segurança do Editor de Política de Grupo Local. O scecli.dl é carregado em wsecedit.dll para dar suporte à interface do usuário de Configurações de Segurança.

• Gpedit.dll

  O snap-in do MMC Editor de Política de Grupo Local.

Arquitetura de extensão de Configurações de Segurança

A extensão de Configurações de Segurança do Editor de Política de Grupo Local faz parte das ferramentas do Gerenciador de Configuração de Segurança, conforme mostrado no diagrama a seguir.

Arquitetura de Configurações de Segurança

A definição das configurações de segurança e as ferramentas de análise incluem um mecanismo de configuração de segurança, que fornece ao computador local (não membro do domínio) configuração baseada em Política de Grupo e análise das políticas de configurações de segurança. O mecanismo de configuração de segurança também dá suporte à criação de arquivos de política de segurança. Os principais recursos do mecanismo de configuração de segurança são scecli.dll e scesrv.dll.

A lista a seguir descreve esses recursos principais do mecanismo de configuração de segurança e outros recursos relacionados a Configurações de Segurança.

• scesrv.dll

  Esse .dll está hospedado em services.exe e é executado no contexto do sistema local. O scesrv.dll oferece a funcionalidade básica do Gerenciador de Configuração de Segurança, como importação, configuração, análise e a propagação da política.

  Scesrv.dll executa configuração e análise de diversos parâmetros do sistema relacionados à segurança chamando APIs do sistema correspondentes, inclusive LSA, SAM e o Registro.

  Scesrv.dll expõe APIs como importar, exportar, configurar e analisar. Ele verifica se a solicitação foi feita via LRPC (Windows XP) e a chamada falha caso não tenha sido.

  A comunicação entre as partes da extensão Configurações de Segurança ocorre usando-se os seguintes métodos:

  • Chamadas ao Component Object Model (COM)

  • Chamada ao procedimento remoto local (LRPC)

  • Protocolo Lightweight Directory Access (LDAP)

  • Active Directory Service Interfaces (ADSI)

  • Protocolo Server Message Block (SMB)

  • APIs Win32

  • Chamadas à Instrumentação de Gerenciamento do Windows (WMI)

  Em controladores de domínio, scesrv.dll recebe notificações de alterações feitas em SAM e LSA que precisam ser sincronizadas nos controladores de domínio. Scesrv.dll incorpora essas alterações no GPO Política de Controlador de Domínio Padrão usando APIs de modificação do modelo scecli.dll no processo.

  Scesrv.dll também executa operações de configuração e análise.

• Scecli.dll

  Esta é a interface do lado do cliente ou wrapper para scesrv.dll. O scecli.dll é carregado em Wsecedit.dll para dar suporte a snap-ins do MMC. Ele é usado pela Instalação para configurar a segurança do sistema padrão e a segurança de arquivos, chaves do registro e serviços instalados pelos arquivos .inf da API de instalação.

  A versão de linha de comando da configuração de segurança e as interfaces do usuário de análise, secedit.exe, usam scecli.dll.

  Scecli.dll implementa a extensão do lado do cliente da Política de Grupo.

  Scesrv.dll usa scecli.dll para baixar arquivos de Política de Grupo aplicáveis de SYSVOL para aplicar configurações de segurança da Política de Grupo ao dispositivo local.

  Scecli.dll faz logon do aplicativo de política de segurança na WMI (RSoP).

  O filtro de política Scesrv.dll usa secli.dll para atualizar o GPO Política de Controlador de Domínio Padrão quando alterações são feitas em SAM e LSA.

• Wsecedit.dll

  A extensão Configurações de Segurança do snap-in Editor de Objeto de Política de Grupo. É possível usar essa ferramenta para definir configurações de segurança em um Objeto de Política de Grupo para um site, domínio ou unidade organizacional. Também é possível usar Configurações de Segurança para importar modelos de segurança para um GPO.

• Secedit.sdb

  Este é um banco de dados de sistema permanente usado na propagação da política, inclusive uma tabela de configurações persistentes para fins de reversão.

• Bancos de dados do usuário

  Um banco de dados do usuário é qualquer banco de dados que não seja o banco de dados do sistema criado por administradores para fins de configuração ou análise de segurança.

• Modelos .Inf

  Estes são arquivos de texto que contêm configurações de segurança declarativa. Eles são carregados em um banco de dados antes da configuração ou da análise. As políticas de segurança da Política de Grupo são armazenadas em arquivos .inf na pasta SYSVOL de controladores de domínio, onde elas são baixadas (usando-se a cópia do arquivo) e mescladas ao banco de dados do sistema durante a propagação da política.

Processos e interações da política de configurações de segurança

Para um dispositivo que ingressou no domínio, em que a Política de Grupo é administrada, as configurações de segurança são processadas com a Política de Grupo. Nem todas as configurações são configuráveis.

Processamento da Política de Grupo

Quando um computador é iniciado e um usuário faz logon, as políticas do computador e do usuário são aplicadas de acordo com a seguinte sequência:

1. A rede é iniciada. Remote Procedure Call System Service (RPCSS) e Multiple Universal Naming Convention Provider (MUP) são iniciados.

2. Uma lista ordenada de Objetos da Política de Grupo é obtida para o dispositivo. A lista pode depender destes fatores:

   • Se o dispositivo fizer parte de um domínio e, assim, está sujeito à Política de Grupo por meio do Active Directory.

   • O local do dispositivo no Active Directory.

   • Se a lista de objetos da Política de Grupo foi alterada. Caso a lista de objetos da Política de Grupo não tenha sido alterada, nenhum processamento é feito.

3. A política do computador é aplicada. Estas são as configurações em Configuração do Computador da lista obtida. Este é um processo síncrono por padrão e ocorre na seguinte ordem: local, site, domínio, unidade organizacional, unidade organizacional filha e assim por diante. Nenhuma interface do usuário será exibida enquanto as políticas do computador forem processadas.

4. Os scripts de inicialização são executados. Isso permanece oculto e síncrono por padrão; cada script deve ser concluído ou atingir o tempo limite antes do próximo ser iniciado. O tempo limite padrão é 600 segundos. É possível usar diversas configurações de política para modificar esse comportamento.

5. O usuário pressiona CTRL+ALT+DEL para fazer logon.

6. Depois que o usuário é validado, o perfil do usuário é carregado; ele é regido pelas configurações de política em vigor.

7. Uma lista ordenada de objetos da Política de Grupo é obtida para o usuário. A lista pode depender destes fatores:

   • Se o usuário fizer parte de um domínio e, assim, está sujeito à Política de Grupo por meio do Active Directory.

   • Se o processamento da política de loopback está habilitado e, em caso afirmativo, o estado (Mesclar ou Substituir) da configuração da política de loopback.

   • O local do usuário no Active Directory.

   • Se a lista de objetos da Política de Grupo foi alterada. Caso a lista de objetos da Política de Grupo não tenha sido alterada, nenhum processamento é feito.

8. A política do usuário é aplicada. Estas são as configurações em Configuração do Usuário da lista obtida. Este é um processo síncrono por padrão e ocorre na seguinte ordem: local, site, domínio, unidade organizacional, unidade organizacional filha e assim por diante. Nenhuma interface do usuário será exibida enquanto as políticas do usuário forem processadas.

9. Os scripts de logon são executados. Os scripts de logon baseados na Política de Grupo permanecem ocultos e assíncronos por padrão. O script do objeto de usuário é executado por último.

10. A interface do usuário do sistema operacional prescrita pela Política de Grupo é exibida.

Armazenamento dos Objetos de Política de Grupo

Objeto de Política de Grupo (GPO) é um objeto virtual identificado por um identificador global exclusivo (GUID) e armazenado no nível do domínio. As informações de configuração da política de um GPO são armazenadas nestes dois locais:

• Contêineres da Política de Grupo no Active Directory.

  O contêiner da Política de Grupo é um contêiner do Active Directory que contém propriedades do GPO, como informações da versão, status do GPO, além de uma lista de outras configurações de componente.

• Modelos de Política de Grupo na pasta do volume de sistema do domínio (SYSVOL).

  O modelo da Política de Grupo é uma pasta do sistema de arquivos que inclui dados de política especificados por arquivos .admx, configurações de segurança, arquivos de script e informações sobre aplicativos disponíveis para instalação. O modelo da Política de Grupo está localizado na pasta SYSVOL, na subpasta domain\Policies.

A estrutura OBJETO_DA_POLÍTICA_DE_GRUPO fornece informações sobre um GPO em uma lista de GPOs, inclusive o número da versão do GPO, um ponteiro para uma cadeia de caracteres que indica a parte do Active Directory do GPO e um ponteiro para uma cadeia de caracteres que especifica o caminho para a parte do sistema de arquivos do GPO.

Ordem de processamento da Política de Grupo

As configurações de Política de Grupo são processadas na seguinte ordem:

1. Objeto de Política de Grupo Local.

   Cada dispositivo no qual esteja em execução um sistema operacional Windows a partir do Windows XP tem exatamente um Objeto de Política de Grupo armazenado localmente.

2. Site.

   Todos os Objetos de Política de Grupo vinculados ao site são processados em seguida. O processamento é síncrono e em uma ordem que você especificar.

3. Domínio.

   O processamento de vários Objetos de Política de Grupo vinculados ao domínio é síncrono e em uma ordem especificada por você.

4. Unidades organizacionais.

   Os Objetos de Política de Grupo vinculados à unidade organizacional mais alta na hierarquia do Active Directory são processado primeiro, depois, os Objetos de Política de Grupo vinculados à unidade organizacional filho e assim por diante. Por fim, os Objetos de Política de Grupo vinculados à unidade organizacional que contém o usuário ou o dispositivo são processados.

No nível de cada unidade organizacional na hierarquia do Active Directory, um, muitos ou nenhum Objeto de Política de Grupo pode ser vinculado. Caso vários Objetos de Política de Grupo sejam vinculados a uma unidade organizacional, o processamento é síncrono e em uma ordem especificada por você.

Essa ordem significa que o Objeto de Política de Grupo local é processado primeiro, e os Objetos de Política de Grupo vinculados à unidade organizacional da qual o computador ou o usuário é um membro direto são processados por último, o que substitui os Objetos de Política de Grupo anteriores.

Esta é a ordem de processamento padrão, e os administradores podem especificar exceções para essa ordem. Um Objeto de Política de Grupo vinculado a um site, domínio ou unidade organizacional (e não a um Objeto de Política de Grupo local) pode ser definido como Imposto em relação a esse site, domínio ou unidade organizacional, de maneira que nenhuma das configurações de política possa ser substituída. Em qualquer site, domínio ou unidade organizacional, é possível marcar a herança da Política de Grupo seletivamente como Bloquear Herança. Os links de Objeto de Política de Grupo definidos como Imposto são sempre aplicados, mas eles não podem ser bloqueados.

Processamento da política de configurações de segurança

No contexto do processamento da Política de Grupo, a política de configurações de segurança é processada na ordem a seguir.

1. Durante o processamento da Política de Grupo, o mecanismo da Política de Grupo determina quais políticas de configurações de segurança devem ser aplicadas.

2. Caso haja políticas de configurações de segurança em um GPO, Política de Grupo invoca a extensão do lado do cliente Configurações de Segurança.

3. A extensão Configurações de Segurança baixa a política no local apropriado, como um controlador de domínio específico.

4. A extensão Configurações de Segurança mescla todas as políticas de configurações de segurança de acordo com as regras de precedência. O processamento está de acordo com a ordem de processamento da Política de Grupo de local, site, domínio e unidade organizacional (UO), conforme descrito anteriormente na seção "Ordem de processamento da Política de Grupo". Caso vários GPOs estejam em vigor para um determinado dispositivo e não haja políticas conflitantes, as políticas são cumulativas e mescladas.

   Este exemplo usa a estrutura do Active Directory mostrada na figura a seguir. Um determinado computador é um membro da OU2, a que o GPO GroupMembershipPolGPO está vinculado. Este computador também está sujeito ao GPO UserRightsPolGPO, vinculado à OU1, mais alta na hierarquia. Nesse caso, como não há políticas conflitantes, o dispositivo recebe todas as políticas contidas nos GPOs UserRightsPolGPO e o GroupMembershipPolGPO.

   Vários GPOs e mesclagem da Política de Segurança

   

5. As políticas de segurança resultantes são armazenadas em secedit.sdb, o banco de dados de configurações da segurança. O mecanismo de segurança obtém os arquivos de modelo de segurança e os importa para secedit.sdb.

6. As políticas de configurações de segurança são aplicadas a dispositivos.

A figura a seguir ilustra o processamento da política de configurações de segurança.

Processamento da política de Configurações de Segurança

Mesclagem das políticas de segurança em controladores de domínio

Políticas de senha, Kerberos e algumas opções de segurança só são mescladas em GPOs vinculados no nível da raiz no domínio. Isso é feito para manter essas configurações sincronizadas em todos os controladores de domínio no domínio. As seguintes opções de segurança são mescladas:

• Segurança de rede: forçar logoff quando o horário de logon terminar

• Contas: status de conta Administrador

• Contas: status de conta de convidado

• Contas: renomear conta do administrador

• Contas: renomear a conta Convidado

Existe outro mecanismo que permite que as alterações feitas na política de segurança por administradores usando contas de rede sejam mescladas ao GPO de Política de Domínio Padrão. As alterações nos direitos de usuário feitas usando-se APIs de autoridade de segurança local (LSA) são filtradas no GPO de Política de Controladores de Domínio Padrão.

Considerações especiais para controladores de domínio

Caso um aplicativo seja instalado em um controlador de domínio primário (PDC) com a função mestre de operações (também conhecida como operações de mestre único flexíveis ou FSMO) e o aplicativo faz alterações nos direitos de usuário ou na política de senha, essas alterações devem ser comunicadas para garantir que ocorra a sincronização entre controladores de domínio. Scesrv.dll recebe uma notificação de todas as alterações feitas no Gerenciador de Contas de Segurança (SAM) e no LSA que precisam ser sincronizadas entre controladores de domínio e incorpora as alterações ao GPO Política de Controlador de Domínio Padrão usando as APIs de modificação do modelo scecli.dll.

Quando as configurações de segurança são aplicadas

Depois que você editou as políticas de configurações de segurança, as configurações são atualizadas nos computadores da unidade organizacional vinculada ao Objeto de Política de Grupo nas seguintes instâncias:

• Quando um dispositivo é reiniciado.

• A cada 90 minutos em uma estação de trabalho ou em um servidor e a cada 5 minutos em um controlador de domínio. Esse intervalo de atualização é configurável.

• Por padrão, as configurações de política de segurança fornecidas pela Política de Grupo também são aplicadas a cada 16 horas (960 minutos) mesmo que uma GPO não tenha sido alterada.

Persistência da política de configurações de segurança

Configurações de segurança podem persistir, mesmo que uma configuração não esteja mais definida na política que a aplicou originalmente.

Configurações de segurança podem persistir nos seguintes casos:

• A configuração não foi definida anteriormente para o dispositivo.

• A configuração se destina a um objeto de segurança do Registro.

• As configurações se destinam a um objeto de segurança do sistema de arquivos.

Todas as configurações aplicadas por meio da política local ou de um Objeto de Política de Grupo são armazenadas em um banco de dados local no computador. Sempre que uma configuração de segurança é modificada, o computador salva o valor da configuração de segurança no banco de dados local, que mantém um histórico de todas as configurações que foram aplicadas ao computador. Se uma política primeiro definir uma configuração de segurança e depois não definir mais essa configuração, a configuração terá o valor anterior no banco de dados. Caso não haja um valor anterior no banco de dados, a configuração não é revertida para nada e permanece definida como está. Às vezes, esse comportamento é conhecido como "tatuagem".

As configurações do Registro e de segurança do arquivo manterão os valores aplicados por meio da Política de Grupo até que essa configuração seja definida como outros valores.

Permissões necessárias à aplicação da política

As permissões Aplicar política de grupo e Ler são necessárias para que as configurações de um Objeto de Política de Grupo se apliquem a usuários ou grupos e computadores.

Filtragem da política de segurança

Por padrão, todos os GPOs têm Ler e Aplicar política de grupo permitidas para o grupo Usuários Autenticados. O grupo Usuários Autenticados inclui usuários e computadores. As políticas de configurações de segurança se baseiam no computador. Para especificar quais computadores cliente terão ou não um Objeto de Política de Grupo aplicado, é possível negar a eles a permissão Aplicar política de grupo ou ler nesse Objeto de Política de Grupo. Alterar essas permissões permite limitar o escopo do GPO a um conjunto específico de computadores em um site, domínio ou UO.

Observação  

Não use a filtragem de política de segurança em um controlador de domínio, pois isso impediria a política de segurança de aplicá-la.

Migração de GPOs que contenham configurações de segurança

Em algumas situações, você talvez queira migrar GPOs de um ambiente de domínio para outro. Os dois cenários mais comuns são a migração de teste para produção e a migração de produção para produção. O processo de cópia do GPO tem implicações para alguns tipos de configurações de segurança.

Os dados de um único GPO são armazenados em vários locais e em vários formatos; alguns dados estão contidos no Active Directory e outros estão armazenados no compartilhamento SYSVOL nos controladores de domínio. Determinados dados de política podem ser válidos em um domínio, mas podem ser inválidos no domínio para o qual o GPO está sendo copiado. Por exemplo, identificadores de segurança (SIDs) armazenados em configurações de política de segurança normalmente são específicos de domínio. Assim, copiar GPOs não é tão simple quanto pegar uma pasta e copiá-la de um dispositivo para outro.

As políticas de segurança a seguir podem conter entidades de segurança e exigir certo trabalho adicional para movê-las com êxito de um domínio para outro.

• Atribuição de direitos de usuário

• Grupos restritos

• Serviços

• Sistema de arquivos

• Registro

• A DACL GPO, caso você opte por preservá-lo durante uma operação de cópia

Para garantir que os dados sejam copiados corretamente, você pode usar o Console de Gerenciamento de políticas de Grupo (GPMC). Ao migrar um GPO de um domínio para outro, o GPMC garante que todos os dados relevantes sejam devidamente copiados. O GPMC também oferece tabelas de migração, que podem ser usadas para atualizar dados específicos do domínio para novos valores como parte do processo de migração. O GPMC oculta boa parte da complexidade envolvida nas operações de GPO de migração, e ele oferece mecanismos simples e confiáveis para realizar operações como copiar e fazer backup de GPOs.

Nesta seção