• Home

  • Documents

  • Gerenciando restrições de hardware por meio de Diretiva de grupo
6
 Gerenciando restrições de hardware por meio de Diretiva de grupo Visão geral: Restringindo instalações de hardware Restringindo dispositivos específicos Restringindo classes de dispositivos V ocê sabe que é verdade: aqueles pen drives US e todos os outros dispositivos re!ovíveis torna! a sua vida pessoal !ais f"cil# !as ta!bé! dificulta! a sua vida profissional$ V ocê precisa de u!a for!a de controlar os dispositivos de hardware que pode! ser instalados e os que n%o pode!$ &eli'!ente# co! a (iretiva de grupo do )indows Vista* e da pr+,i!a vers%o do )indows Server - # cu.o codino!e é /0onghorn/# você te! a opç%o de aprovar a cone,%o de u! !ouse US !as desaprovar os pen drives US# per!itir leitores de 1(2R34# !as n%o gravadores de (V( ou per!itir luetooth e i!pedir a cone,%o de 514167$ (uas seções da (iretiva de grupo pode! a.ud"2lo a proteger o seu hardware: 1onfiguraç%o do 1o!putador 8 4odelos 7d!inistra tivos 8 Siste!a 8 7cesso de 7r!a'ena!ento Re!ovível 9consulte a Figura 1 e 1onfiguraç%o do 1o!putador 8 4odelos 7d! inistrativos 8 Siste!a 8 6nstalaç%o de (ispositivo 8 Restrições de 6nstalaç%o de (ispositivo 9consulte a Figura 2$ Figura 1 Restrições de hardware predefinidas da (iretiva de grupo 91lique na i !age! para au!entar a e,ibiç%o Figura 2 5ersonali'e os tipos de hardware que você dese.a restringir 91lique na i!age! para au!entar a e,ibiç%o 3 pri!eiro con.unto 97cesso de 7r!a'ena! ento Re!ovível é bastante auto2e,plicativo: se você habilitar u!a definiç%o de diretiva para aquele tipo de ar!a'ena!ento re!ovível 91(;(V(# disquete# entre outros# poder"

Gerenciando restrições de hardware por meio de Diretiva de grupo

Embed Size (px)

DESCRIPTION

Gerenciando restrições de hardware por meio de Diretiva de grupo

Citation preview

Gerenciando restries de hardware por meio de Diretiva de grupo

Gerenciando restries de hardware por meio de Diretiva de grupo

Viso geral:

Restringindo instalaes de hardware

Restringindo dispositivos especficos

Restringindo classes de dispositivos

Voc sabe que verdade: aqueles pen drives USB e todos os outros dispositivos removveis tornam a sua vida pessoal mais fcil, mas tambm dificultam a sua vida profissional. Voc precisa de uma forma de controlar os

dispositivos de hardware que podem ser instalados e os que no podem. Felizmente, com a Diretiva de grupo do Windows Vista e da prxima verso do Windows Server, cujo codinome "Longhorn", voc tem a opo de aprovar a conexo de um mouse USB mas desaprovar os pen drives USB, permitir leitores de CD-ROM, mas no gravadores de DVD ou permitir Bluetooth e impedir a conexo de PCMCIA.

Duas sees da Diretiva de grupo podem ajud-lo a proteger o seu hardware: Configurao do Computador | Modelos Administrativos | Sistema | Acesso de Armazenamento Removvel (consulte a Figura 1) e Configurao do Computador | Modelos Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo (consulte a Figura 2).

Figura 1Restries de hardware predefinidas da Diretiva de grupo (Clique na imagem para diminuir a exibio)

Figura 1Restries de hardware predefinidas da Diretiva de grupo (Clique na imagem para aumentar a exibio)

Figura 2Personalize os tipos de hardware que voc deseja restringir (Clique na imagem para diminuir a exibio)

Figura 2Personalize os tipos de hardware que voc deseja restringir (Clique na imagem para aumentar a exibio) O primeiro conjunto (Acesso de Armazenamento Removvel) bastante auto-explicativo: se voc habilitar uma definio de diretiva para aquele tipo de armazenamento removvel (CD/DVD, disquete, entre outros), poder restringir a leitura e/ou a gravao para todo o tipo de dispositivo, se desejado. Mas ele no possui os superpoderes de Restries de Instalao de Dispositivo.

Em Acesso de armazenamento removvel, h grupos de definio de diretiva chamados Classes personalizadas: Negar acesso de leitura e Classes personalizadas: Negar acesso de gravao. Isso parece bom, mas a diretiva Acesso de Armazenamento Removvel no evita que os drivers sejam instalados o driver da classe j estar instalado quando o hardware for detectado. O que a diretiva faz evitar que haja leitura ou gravao no dispositivo. Na prxima seo, onde vou explorar as configuraes da diretiva Restries de Instalao de Dispositivo, impedirei a utilizao do prprio driver.

Manipulando classes e IDs

Primeiro, o mais importante: voc precisa saber o que deseja restringir. possvel pensar grande ou pensar pequeno. Ou seja, voc pode restringir uma "classe" de dispositivos especfica ou obter uma super-especfica e restringir um nico tipo de hardware. Ou pode fazer o contrrio e permitir somente algumas classes especficas de dispositivo, como um mouse USB. No entanto, este o truque: para ser realmente eficiente, voc precisa rastrear o hardware que deseja restringir.

Assim, se voc quer dizer "Nenhum driver de joystick pode ser instalado" e "O nico mouse que poder ser instalado o USB", precisa encontrar um joystick e um mouse USB. A alternativa usar a Internet para rastrear a ID do Hardware, a identificao compatvel ou a classe de dispositivo. Entretanto, ser muito mais fcil se voc tiver um desses dispositivos na sua frente. Dessa forma, voc poder conect-lo sua mquina e verificar o ID do Hardware, a identificao compatvel ou a classe de dispositivo. Depois de descobrir essa informao, voc saber exatamente como restringi-los (ou como disponibiliz-los).

No exemplo a seguir, impedirei a utilizao de uma famlia especfica de placas de som: uma Creative AutoPCI ES1371/ES1373. Se voc quiser restringir algum outro recurso especfico (como dispositivos USB, portas USB etc.), basta acompanhar o procedimento e substituir pelo dispositivo desejado.

Abra o Gerenciador de dispositivos em uma mquina que j tenha os itens de hardware instalados. Quando encontrar o dispositivo, clique-o com o boto direito do mouse e selecione Propriedades e a guia Detalhes. Por padro, voc ver uma "Descrio do dispositivo"; ela interessante, mas no muito til. Selecione a lista suspensa Propriedade e escolha "IDs de Hardware", como mostrado na Figura 3.

Figura 3A guia Detalhes do dispositivo (Clique na imagem para diminuir a exibio)

Figura 3A guia Detalhes do dispositivo (Clique na imagem para aumentar a exibio) A pgina IDs de Hardware exibe, de cima para baixo, as identificaes de dispositivo da mais especfica para a menos especfica. Se voc examinar mais de perto o item superior da lista de valores IDs de Hardware, ver que esta placa de som , especificamente, uma Ver 2 da placa de som ES1371. Isso bastante especfico. medida que percorremos a lista, a descrio vai se tornando menos especfica para englobar toda a famlia.

Alm disso, voc pode alterar a Propriedade para identificaes compatveis. Elas tambm descrevem o hardware e so consideradas menos especficas do que as IDs de Hardware. Voc pode optar por utilizar as informaes das identificaes compatveis e tentar obter mais tipos de hardware que sejam similares aos presentes em sua lista dos que no podem ser usados uma vez que elas so menos especficas e podem capturar mais resultados. A desvantagem que voc pode restringir algo que no deveria ser restringido.

E, finalmente, a categoria menos especfica pode ser encontrada por meio da seleo de Classe de Dispositivo na lista suspensa Propriedade. No meu caso, a placa de som exibida simplesmente como Mdia. Mas alguns itens podem ser considerados como Mdia e, novamente, ao optar pelo menos especfico, voc deve tomar ainda mais cuidado.

Depois de decidir o valor a ser usado, clique sobre ele com o boto direito do mouse, selecione Copiar e cole-o no Bloco de notas. O fato de copi-lo diretamente, como apresentado, importante, j que nas prximas etapas o valor precisar ser inserido com exatido. Todos os caracteres em maisculas e minsculas do valor devem ser transferidos com preciso.

Se voc quiser utilizar um comando da linha de comando em vez de usar o Gerenciador de dispositivos para capturar os IDs de Hardware ou as classes de dispositivo, consulte o utilitrio de linha de comando Devcom em support.microsoft.com/kb/311272. Observe que a Microsoft possui alguns identificadores para classes comuns que podem ser teis caso voc no tenha acesso fsico ao dispositivo; consulte as informaes em go.microsoft.com/fwlink/?LinkId=52665.

Controle de acesso ao hardware por meio de Diretiva de grupo

Mesmo explorando todas as configuraes de diretiva de Configurao do Computador | Modelos Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo (mostrado na Figura 2), s uma delas ser necessria para concluirmos este primeiro exemplo.

Primeiro, crie um GPO (Objeto de diretiva de grupo) e vincule-o a uma OU (ou a um domnio, entre outros) que contenha mquinas com o Windows Vista que voc deseja controlar. Agora edite o GPO e v at Configurao do Computador | Modelos Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo | Impedir a instalao de dispositivos que correspondam a qualquer destas identificaes de dispositivo. Selecione Habilitado na configurao da diretiva, clique em Mostrar (tambm na configurao da diretiva) e selecione Adicionar na caixa de dilogo "Mostrar contedo". Em seguida, na caixa de dilogo "Adicionar item", cole as informaes do dispositivo salvas anteriormente como mostrado na Figura 4.

Figura 4Cole a identificao do dispositivo para capturar a sua descrio exata (Clique na imagem para diminuir a exibio)

Figura 4Cole a identificao do dispositivo para capturar a sua descrio exata (Clique na imagem para aumentar a exibio) Aqui temos o problema. Se uma mquina j tiver o dispositivo instalado, ela no o desinstalar e restringir o acesso a ele em um passe de mgica. Assim, ser voc quiser restringir o hardware, ter de fazer isso antes da implementao do seu Windows Vista. No entanto, preciso observar que o Windows Vista far uma nova verificao sempre que um dispositivo for removido e reinstalado. Portanto, itens como pen drives USB (que so removidos e reinseridos novamente) so excelentes candidatos para esse processo. Uma vez que o Windows Vista s faz uma nova verificao quando o dispositivo reconectado, o dispositivo ser restringido nesse momento (mesmo que o seu driver j tenha sido carregado na mquina). O problema mais difcil est relacionado aos dispositivos que vm com a mquina e que no so removidos e reconectados. Para eles, no h uma soluo instantaneamente bvia.

Quando voc liga uma mquina que nunca viu o dispositivo de hardware antes, o Windows tentar instal-lo, oferecendo as informaes de status medida que for progredindo. Se voc configurou uma diretiva restringindo esses dispositivos, obter o resultado mostrado na Figura 5.

Figure 5Figura 5A instalao de um dispositivo foi impedida (Clique na imagem para diminuir a exibio)

Figure 5Figura 5A instalao de um dispositivo foi impedida (Clique na imagem para aumentar a exibio)

Mais restries de hardware

No exemplo anterior, ns restringimos somente um dispositivo. Se quisesse, voc poderia ter tomado o caminho inverso, restringindo todo o hardware por padro e ento permitindo somente alguns. Novamente, voc pode ver uma lista dessas configuraes de diretiva na Figura 2, que mostra a ramificao Configurao do Computador | Modelos Administrativos | Sistema | Instalao de Dispositivo | Restries de Instalao de Dispositivo da Diretiva de grupo. possvel escolher entre diversas configuraes disponveis.

Primeiro, h "Permitir que os administradores substituam as diretivas de Restrio de Instalao de Dispositivos". Por padro, os administradores locais do Windows Vista devem seguir as restries configuradas. Se voc habilitar essa configurao, os administradores locais podero substituir a restrio e instalar qualquer hardware que desejarem.

Em seguida, h "Permitir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao de dispositivo". Ao inserir descries de dispositivo nessa configurao de diretiva, voc est permitindo expressamente que esses dispositivos de hardware sejam instalados no sistema. Observe que essa configurao de diretiva considera somente as classes de instalao, e no as identificaes de dispositivo (como as usadas no exemplo).

Para obter o efeito contrrio, voc pode definir "Impedir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao de dispositivo".

As duas configuraes "Exibir uma mensagem personalizada quando a instalao for impedida pela diretiva (texto do balo)" e "Exibir uma mensagem personalizada quando a instalao for impedida pela diretiva (ttulo do balo)" ajudam na personalizao da mensagem, como mostrado na Figura 5.

Como mencionado anteriormente, a forma menos especfica de descrever o hardware se baseia na classe de hardware. Devemos observar que a configurao de diretiva "Permitir a instalao de dispositivos que correspondam a qualquer destas identificaes de dispositivo" no considera as descries de identificao de classe. Para usar as descries de identificao de classe, voc pode escolher "Permitir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao de dispositivo" ou "Impedir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao de dispositivo". Essa ltima diretiva melhor quando usada em conjunto com a configurao "Impedir a instalao de dispositivos no descritos por outras configuraes de diretiva". Ao impedir tudo (por padro) e ento optar por essa configurao, voc poder especificar, com preciso, quais so os dispositivos que deseja permitir.

No exemplo, utilize a diretiva "Impedir a instalao de dispositivos que correspondam a qualquer destas identificaes de dispositivo" para restringir um tipo especfico de hardware com base nas identificaes de dispositivo". Se voc quiser implementar restries usando as classes de dispositivo, deve utilizar outras configuraes de diretiva especficas, como "Permitir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao de dispositivo" ou "Impedir a instalao de dispositivos usando drivers que correspondam a essas classes de instalao de dispositivo".

"Impedir a instalao de dispositivos removveis" uma forma rpida e genrica de restringir qualquer dispositivo de hardware que se descreva como removvel, incluindo os dispositivos USB. Essa configurao bem geral, por isso melhor no us-la com muita freqncia. Em vez dela, utilize as tcnicas descritas anteriormente para obter identificaes de dispositivo moderadamente restritivas e para bloquear os dispositivos de forma especfica.

Finalmente, "Impedir a instalao de dispositivos no descritos por outras configuraes de diretiva" a configurao geral de diretiva que, basicamente, restringe todos os dispositivos de hardware, a menos que voc informe que alguns deles podero ser instalados. Essa diretiva, em conjunto com as vrias diretivas "Permitir" (como "Impedir a instalao de dispositivos que correspondam a qualquer destas identificaes de dispositivo"), formam uma ferramenta realmente poderosa que permitir a voc instalar em seu ambiente somente o hardware desejado.

Concluso

A Diretiva de grupo do Windows Vista possui alguns superpoderes, extremamente teis e que permitiro a voc instalar em seu ambiente somente o hardware desejado. Basta implementar as configuraes de diretiva antes da sua implementao para que o hardware indesejado que esteja em sua rede nunca encontre uma forma de se conectar.

Jeremy Moskowitz, MCSE e MVP em Diretiva de grupo, administra o GPanswers.com, um frum comunitrio sobre Diretivas de grupo. Ele tambm ministra uma srie de workshops de treinamento intensivo sobre Diretiva de grupo. Seu livro mais recente foi lanado pela editora Sybex em 2007 e se chama Group Policy: Management, Troubleshooting and Security (Diretiva de grupo: gerenciamento, soluo de problemas e segurana). Entre em contato com Jeremy pelo endereo www.GPanswers.com.

DaJune 2007edio deTechNet Magazine.Agradecemos seus comentrios. Fique vontade para enviar-nos seus comentrios.


Gerenciando seu empreendimento e5

Gerenciando seu empreendimento e5

Documents
Diretiva 12-2015

Diretiva 12-2015

Documents
Gerenciando ventas #MeliDevConf

Gerenciando ventas #MeliDevConf

Technology
Diretiva máquinas

Diretiva máquinas

Law
Gerenciando para el futuro

Gerenciando para el futuro

Documents
Gerenciando Voluntários 20130801

Gerenciando Voluntários 20130801

Government & Nonprofit
WordPress - Gerenciando Conteúdo

WordPress - Gerenciando Conteúdo

Marketing
Equipe Diretiva - PAM

Equipe Diretiva - PAM

Education
Gerenciando las organizaciones

Gerenciando las organizaciones

Documents
Gerenciando una pyme

Gerenciando una pyme

Documents
GarridoVaz - Gerenciando Projetos

GarridoVaz - Gerenciando Projetos

Business
Gerenciando referências zotero

Gerenciando referências zotero

Education
GERENCIANDO RESULTADOS

GERENCIANDO RESULTADOS

Documents
Scrum - Gerenciando Projetos Ágeis

Scrum - Gerenciando Projetos Ágeis

Education
Criando e Gerenciando Tabelas

Criando e Gerenciando Tabelas

Documents
Gerenciando a si mesmo

Gerenciando a si mesmo

Documents
Gerenciando sua loja

Gerenciando sua loja

Documents
GERENCIANDO UNA PYME.pdf

GERENCIANDO UNA PYME.pdf

Documents
Gerenciando Educación

Gerenciando Educación

Documents
Gerenciando talentos

Gerenciando talentos

Business
Gerenciando custos setor vendas

Gerenciando custos setor vendas

Business
Gerenciando seu empreendimento e3

Gerenciando seu empreendimento e3

Documents
Diretiva máquinas ppt

Diretiva máquinas ppt

Law
Gerenciando Crises

Gerenciando Crises

Documents
Gerenciando grupo freeze

Gerenciando grupo freeze

Documents
Gerenciando seu empreendimento e2

Gerenciando seu empreendimento e2

Documents
Gerenciando seu empreendimento e8

Gerenciando seu empreendimento e8

Documents
Diretiva 24

Diretiva 24

Documents
Gerenciando Releases

Gerenciando Releases

Software
Gerenciando conflitos

Gerenciando conflitos

Education