Bloqueando Acesso ao Registro do Windows XP

Bloqueio simples e importante para se implantar em um domínio, o bloqueio de acesso ao registro do Windows.

Esses bloqueios mostrados aqui, são todos feito através do gpedit.msc, através dessa ferramente existente no windows server é possível bloquear e configurar muitas opções para as máquinas que estão no domínio.

Bem, para realizarmos esse bloqueio primeiramente devemos criar uma policy, após criada devemos editá-la e ir em: Configurações de Usuários >> Modelos Administrativos >> Sistema 

Localizar: Impedir Acesso a Ferramentas de Edição do Registro e Ativá-la.

Explicação dessa diretiva:

Desativa o editor do Registro do Windows, Regedit.exe.

Se esta configuração estiver ativada e o usuário tentar iniciar um editor do Registro, uma mensagem explicará que a ação é proibida por uma configuração.

Agora basta aplicar essa policy a OU desejada, que ao tentar executar o regedit o usuário receberá uma mensagem avisando que a edição do registro foi bloqueada pelo administrador.

Para realização de testes utilizei Windows Server 2003 Standard e Windows XP.

Bloquear UltraSurf

Hoje irei mostrar como fiz para bloquear o UltraSurf.

Para quem nao sabe o UltraSurf é um programa portátil (não requer instalação) que tem por finalidade burlar o bloquei da internet, ele seta o proxy para o IP 127.0.0.1 na porta 9666, isso mesmo no ip local da máquina, a maneira mais efetiva porém cansativa de realizar esse bloqueio foi através de bloqueio de HASH.

Para fazer isso em seu domínio acesse seu Windows Server e vá em Group Policy Management e crie uma nova policy com o nome de sua preferência e edite-a.

Vá em: Configurações de Usuários >> Configurações do Windows >> Configurações de Segurança >> Diretivas de restrição de Software >> Regras adicionais

Clique com o botão direito e vá em: Nova Regra de Hash

Clicar em Procurar e localizar o executável do UltraSurf, como são várias versões, para o bloqueio ser efetivo tem que localizar na internet as versões anteriores e ir realizando o bloqueio de hash uma a uma. Após isso é só aplicar a policy para a OU desejada.

Quando o usuário tentar executar o programa receberá uma mensagem na tela avisando que foi bloqueado pelo administrador.

Existem anti-virus que colaboram para o bloqueio, por exemplo o que eu utilizo não permite o download diretamente da página pois detecta como uma página perigosa.

Para as versões mais antigas ele não permitia a execução do UltraSurf, porém com a versão que testei ele aceitou. Portanto terei que efetuar o bloqueio por Hash.

Nesse post foi utilizado: Worry Free Business Security 5, UltraSurf 10.05 e Windows Server 2003.

Bloqueando Acesso ao Prompt de Comando

Para os administradores de rede quanto mais bloqueios for possível fazer, melhor, o objetivo sempre é deixar o usuário o mais "amarrado" possível, pois sempre existe aquele usuário com um conhecimento mais avançado que tenta burlar as regras. Como diz aquele tradicional frase dos administradores de rede "O usuário tem direito a não ter direitos", somente lendo isso nos parece muita rigidez, mas deixem os usuários "soltos" e verão o caos que se tornará sua vida, passará a trabalhar de bombeiro somente, pois terá um problema em cima do outro para resolver.
Abaixo vou mostrar como fazer para deixar o usuário sem acesso ao prompt de comando, e assim limitar as informações sobre o sistema que ele poderá ver.

Para fazermos isso existe uma diretiva de grupo.
Ir em Configurações de Usuários --> Modelos Administrativos --> Sistema

Ativar "Impedir Acesso ao Prompt de Comando"

Explicação dessa diretiva:

Impede que os usuários executem o prompt de comando interativo, Cmd.exe. Esta configuração também determina se arquivos em lotes (.cmd e .bat) podem ser executados no computador.

Se você ativar esta configuração e o usuário tentar abrir uma janela de comando, o sistema exibe uma mensagem explicando que uma configuração impede a ação.

Obs.: não impeça o computador de executar arquivos em lotes se o computador usa scripts de arquivos em lotes de logon, logoff, inicialização ou desligamento ou para usuários que utilizam serviços de terminal.


Aplicar a diretiva na OU desejada.

Após aplicada quando o usuário tentar executar o CMD receberá a seguinte mensagem:

Devemos ter cuidado quando habilitamos essa diretiva pois a própria Microsoft que seja desativado o processamento de scrips de inicialização. Essa opção deve ser marcada somente se realmente não é utilizado scrips de logon / logoff.

Autenticando Ubuntu 8.0.4 no Active Directory

Hoje irei mostrar uma solução útil e fácil para fazermos o Ubuntu 8.0.4 autenticar no Active Directory.

Boa parte das empresas brasileiras trabalham com estações de trabalho com Windows, e normalmente utilizam o AD para autenticação, fazer máquinas que utilizam SO Linux autenticar em ambientes Microsoft não é a tarefa mais simples, por isso fui buscar uma solução que me facilitasse essa tarefa.

Estou realizando essa atividade em ambiente de teste para estudo.
Softwares utilizados:

VM Linux Ubuntu 8.0.4
VirtualBox 4.0.4
Likewise Open 6.0
Windows Server 2003

Primeiro detalhe, como estou executando um VM dentro de uma rede que os IPs são atibuidos por DHCP tive que configurar a placa de rede da VM para modo Bridge. Assim quando iniciei ela pegou um IP válido e começou a pingar os sites.

Minha rede passa por proxy que tem liberação de acordo com os usuários do AD, então tive que configurar o proxy no navegador.

Acessar o site da Likewise escolher a opção LikeWise Open Free Download.

Inserir os dados solicitados e clicar em Download Now

Após isso aparecerá outra tela informando que o link para download foi enviado para o e-mail informado. Acesse seu e-mail  e clique sobre o link, abrirá uma nova página com as arquiteturas para ser selecionada, no meu caso foi a Linux 2.4/2.6 Kernel 32bit-DEB

 Deixei o arquivo salvo na área de trabalho, após isso pelo terminal acessei a pasta onde o arquivo estava localizado e deio comando
#sh nomedoarquivo

Isso gerou uma pasta na área de trabalho, com permissões restritas.
#chmod -R 777 caminhodapasta

Movi a pasta para /home/usuario pois tentei executar na área de trabalho e estava me dando erro.
Acessei a pasta de digitei o comando
#./install.sh

O sistema irá fazer as perguntas padrões: Aceita os termos: yes. Deseja começar a instalação agora: yes

Finalizada a intalação irá abrir uma tela para ser informado o domínio.

Aparecerá uma tela solicitando usuário e senha, esse usuário tem que ser um do domínio que tenha permissão para adicionar máquinas no dominio.

Pronto está finalizado a instalação.

Após fazer isso reiniciar a maquina e quando for fazer o login colocar dominio\usuario

Removendo Usuário do Grupo de Administradores por Script

Para quem trabalha com administração de redes sabe bem o problema que é ter os usuários com permissão de administrador nas máquinas. Por menor que seja a rede sempre dá trabalho ter que ir máquina por máquina removendo os usuários do grupo de admin.


Por questões de segurança é aconselhável deixar sempre os usuários somente com as permissões necessárias para a execução da função.

Abaixo mostro como fazer para remover os usuários do grupo de Administradores através de Script de Inicialização.

 Acesse o Group Policy Management

Criar um nova GPO, escolher o nome e ir em editar.

Configurações do Computador --> Configurações do Windows --> Scripts (Inicialização/Encerramento)

No bloco de notas digitar o seguinte script:


Set objNetwork = CreateObject("WScript.Network")
strComputer = objNetwork.ComputerName

strUsuario = objNetwork.username
strGrupo = "Administradores"
strDominio = "dominio"

Set objGrupo = GetObject("WinNT://" & strComputer & "/" & strGrupo & ",group")
objGrupo.remove("WinNT://"& strDominio  & "/" & strUsuario & ", group")

Se os Windows forem em inglês alterar strGrupo = "Administrator"

Salvar o arquivo com a extensão .VBS. Para encriptar o script visualizar post Encriptando Scripts VBS com o Microsoft Script Encoder

Adicionar o arquivo criado.

Aplicar - OK


Script de inicialização está criado, agora devemos informar em qual OU (Unidade Organizacional) que ele será aplicado.


Esse script eu aplico nas OU das minhas estações, para que todos sejam removido, mas caso alguém deva ficar como Administrador deve-se ter cuidado para que o computador desse usuário não esteja na OU, ou que esse script seja incluído nas configurações de usuários.

Pronto, está criado nossa policy que irá remover os usuários do grupo de administradores locais.

Essa policy não deve ficar muito tempo configurada, pois quando o script não encontra nenhum usuário para remover ele mostra uma mensagem de erro similar a essa:

O script desse post foi retirado do site: Script Center

Controlador de Dominio como Terminal Service

Boa noite pessoal,

Hoje vou explicar como fazer um controlador de dominio trabalhar como um servidor de terminal tambem.

Bom pessoal, muitas empresas com uma estrutura pequena optam por utilizar no mesmo servidor os servicos de TS e DC, é compreensivel essa escolha pois nem sempre se faz necessário um investimento as vezes considerado alto para uma estrutura pequena, porem, sempre é bom ter um segundo DC para nao ficar totalmente dependente dele, pois caso haja algum desastre com ele, a empresa para.

Para utilizar um DC como servidor de terminal basta ativaremos uma diretiva de segurança e adicionarmos o grupo de Usuarios da Area de Trabalho Remota.


Primeiramente abra o GPMC, localize a GPO Default Domain Controllers Policy, um clique com o botao direito e ir em EDIT.

Com o Editor de Objetos aberto navegue até:
Configuraçoes do Computador - Configuracoes do Windows - Configuracoes de Seguranca - Diretivas Locais - Atribuicao de Direito de Usuario.

Localize a Diretiva: Permitir Logon Pelos serviços de Terminal

Ative-a e clique em Adicionar usuário ou grupo. Ai entao adicione o grupo Usuarios da Area de Trabalho Remota.

Aplique a diretiva.
Agora é só testar, o usuario que for membro do grupo Usuarios da Area de Trabalho Remota, conseguira conectar no TS.

Lembre-se, adicione ao grupo Usuarios da Area de Trabalho Remota somente os usuários que voce realmente quer que se conecte ao servidor.
Outro ponto que devemos ter cuidado pois confunde é que a GPO a ser alterada é a Default Domain Controllers Policy que é que aplica para os controladores de dominio, nao devemos confundir com a Default Domain Policy.

Bom, era isso por hoje.