Magic Quadrant™ para gerenciamento de acesso privilegiado 2025: Netwrix reconhecida pelo quarto ano consecutivo. Baixe o relatório.

Fale conoscoSuporteCommunity
English Español Italiano Français Deutsch Português
Plataforma
Soluções

Data Security Posture Management

Descubra e classifique dados em ambientes híbridos. Avalie, priorize e mitigue riscos aos dados sensíveis.

Directory Management

Simplifique e proteja a administração de diretórios reduzindo a complexidade, o risco e o esforço manual.

Endpoint Management

Proteja endpoints e previna a perda de dados enquanto mantém as equipes produtivas — não importa onde trabalhem.

Identity Management

Proteja cada identidade, simplifique cada processo e mantenha-se à frente da conformidade — sem adicionar complexidade.

Identity Threat Detection & Response

Mantenha-se à frente de ameaças baseadas em identidade — remediação proativa de riscos, bloqueio de ataques e garantia de recuperação rápida.

Privileged Access Management

Reduza sua superfície de ataque eliminando privilégios permanentes, protegendo credenciais e monitorando sessões privilegiadas.
Produtos em destaque Ver todos os produtos
Netwrix AuditorNetwrix Access AnalyzerNetwrix PingCastleNetwrix Endpoint Protector

A plataforma Netwrix 1Secure™

Explore
Netwrix AI Ambientes que protegemos Integrações MSPs Riscos de segurança do Active Directory Conformidade Preços
Resource Center Ver Todos
BlogAttack CatalogConformidadeHistórias de ClientesFrameworks de CibersegurançaGlossário de CibersegurançaEventsFreewareGuiasIdeas PortalNotíciasPodcastsPublicaçõesAnúncios de ProdutosPesquisaWebinars
Asset not found

História em Destaque de Cliente

A DXC Technology possibilita que clientes alcancem a conformidade com PCI DSS e se concentrem em iniciativas estratégicas
Parceiros
Programa de ParceirosTorne-se um ParceiroMSPsLocalizador de parceirosWebinars
Asset not found

História em Destaque de Cliente

AppRiver aprimora o controle sobre o Active Directory enquanto reduz significativamente o tempo de auditoria
Asset not found

História em Destaque de Cliente

MSP Ajuda Cliente a Recuperar de Ransomware em 6 Horas
Por que a Netwrix
Sobre NósLiderançaNetwrix AIHistórias de clientesReconhecimentoNoticiasCarreiras
Asset not found

História em Destaque de Cliente

Horizon Leisure Centres acelera a classificação de dados para cumprir o RGPD e economiza £80.000 por ano
Asset not found

História em Destaque de Cliente

Samsung R&D Institute garante a segurança dos dados com uso multiplataforma e implantação rápida no macOS usando Netwrix Endpoint Protector
Centro de recursosMelhores práticas
Melhores Práticas de Group Policy: Um Guia Completo para Administradores

Melhores Práticas de Group Policy: Um Guia Completo para Administradores

A Política de Grupo permite que as organizações controlem uma ampla variedade de atividades em todo o ambiente de TI. Por exemplo, você pode usar a Política de Grupo para impedir o uso de drives USB, executar um determinado script quando o sistema é iniciado ou desligado, implantar software ou forçar uma página inicial específica a ser aberta para cada usuário do Active Directory na rede.

Este guia oferece tanto as melhores práticas gerais de Política de Grupo quanto recomendações para configurações específicas. Ele também oferece orientações para solucionar problemas com seus objetos de Política de Grupo (GPOs).

Melhores práticas gerais de Group Policy

Estabeleça unidades organizacionais (OUs) separadas para usuários e computadores

Ter uma boa estrutura de OU facilita a aplicação e a resolução de problemas de Política de Grupo. Em particular, colocar usuários e computadores do Active Directory em OUs separadas facilita a aplicação de políticas de computador a todos os computadores e políticas de usuário a todos os usuários.

Observe que as pastas raiz Usuários e Computadores no Active Directory não são UOs. Se um novo objeto de usuário ou computador aparecer nessas pastas, mova-o imediatamente para a UO apropriada.

Use OUs aninhadas para controle granular

Para delegar permissões a usuários ou grupos específicos, coloque esses objetos em uma OU aninhada apropriada (sub OU) e vincule a GPO a ela. Por exemplo, dentro da OU Usuários, você pode criar uma sub OU para cada departamento e vincular GPOs a essas sub OUs.

Aplique uma política clara de nomenclatura

Ser capaz de determinar o que um GPO faz simplesmente olhando para o nome tornará a administração de Group Policy muito mais fácil. Por exemplo, você pode usar os seguintes prefixos:

  • U para GPOs relacionados a usuários, como U_SoftwareRestrictionPolicy
  • C para GPOs relacionados a contas de computador, como C_DesktopSettings

Adicione comentários aos seus GPOs

Adicione um comentário a cada GPO explicando seu propósito e configurações. Isso tornará sua Política de Grupo mais transparente e fácil de manter.

Entenda a precedência de GPO

Várias GPOs podem ser aplicadas ao mesmo objeto do Active Directory ao mesmo tempo. Elas são aplicadas em uma ordem específica, e as novas configurações sobrescrevem aquelas definidas pelas GPOs aplicadas anteriormente. Esta ordem é LSDOU, que significa:

  • Local: As configurações de Group Policy aplicadas no nível do computador local têm a menor precedência.
  • Site: As configurações para sites do Active Directory são aplicadas em seguida.
  • Domínio: A seguir estão as configurações de Política de Grupo que afetam todas as UOs no domínio.
  • OU: As últimas configurações de GPO aplicadas estão no nível da OU.

Crie GPOs menores para casos de uso específicos

Alinhe cada GPO com um propósito específico, para que seja mais fácil gerenciá-los e entender a herança. Aqui estão alguns exemplos de GPOs com foco específico:

  • Configurações do navegador
  • Configurações de Segurança
  • Configurações de Instalação de Software
  • Configurações do AppLocker
  • Configurações de Rede
  • Mapeamentos de Unidade

No entanto, tenha em mente que carregar muitos GPOs pequenos pode exigir mais tempo e processamento durante o logon do que ter alguns GPOs que cada um tenha mais configurações.

Defina GPOs no nível da OU em vez do nível do domínio

Qualquer GPO definido no nível do domínio será aplicado a todos os objetos do Active Directory no domínio, o que pode levar a que algumas configurações sejam aplicadas a usuários e computadores inadequados. A única GPO que deve ser definida no nível do domínio é a Política de Domínio Padrão.

Em vez disso, aplique as GPOs no nível da OU. Uma sub-OU herda as políticas aplicadas à sua OU pai; você não precisa vincular a política a cada sub-OU. Se você tem usuários ou computadores que não deseja que herdem uma configuração, coloque-os em sua própria OU.

Evite bloquear a herança de políticas e a aplicação de políticas

O bloqueio da herança de políticas e a aplicação de políticas tornam a gestão e a resolução de problemas de GPO muito mais difíceis. Em vez disso, esforce-se por uma estrutura de OU bem projetada que torne essas configurações desnecessárias.

Em vez de desativar um GPO, exclua seu link

Desativar uma GPO fará com que ela não seja aplicada a nenhuma UO no domínio, o que pode causar problemas. Portanto, se uma GPO estiver vinculada a uma UO específica onde você não deseja que ela seja aplicada, exclua o vínculo em vez de desativar a GPO. Excluir o vínculo não excluirá a GPO.

Evite usar a permissão ‘deny’ em Group Policy

Os administradores podem negar explicitamente a um usuário ou grupo a capacidade de ser excluído de uma GPO específica. Embora essa funcionalidade possa ser útil em certos cenários, pode facilmente levar a consequências não intencionais porque não será claro que uma GPO não está sendo aplicada a certos objetos. Para descobrir quais usuários ou grupos foram bloqueados; os administradores precisariam examinar cada GPO separadamente.

Implemente a gestão de mudanças e a auditoria de mudanças para Group Policy

Alterações nas GPOs podem ter efeitos profundos na segurança, produtividade, conformidade e mais. Portanto, todas as alterações devem ser planejadas e totalmente documentadas. Além disso, você deve acompanhar todas as alterações na Política de Grupo e ser alertado para mudanças críticas. Infelizmente, ambos os objetivos são difíceis com ferramentas nativas: Os registros de segurança não fornecem um histórico exato de quais configurações foram alteradas, e receber alertas requer scripts em PowerShell. Para uma abordagem mais abrangente e conveniente, invista em uma solução de terceiros como Netwrix Auditor for Active Directory.

Para saber mais sobre como rastrear alterações na Política de Grupo, consulte o Group Policy Auditing Quick Reference Guide.

Acelere o processamento de GPO desativando configurações de computador e usuário não utilizadas

Se você tem uma GPO que possui configurações de computador, mas não configurações de usuário, você deve desativar a configuração de Usuário para essa GPO para acelerar o tempo de processamento da GPO.

Além disso, esteja ciente dos seguintes fatores adicionais que podem causar lentidão no arranque e no tempo de login:

  • Scripts de login baixando arquivos grandes
  • Scripts de inicialização baixando arquivos grandes
  • Mapeando unidades de rede domésticas que estão distantes
  • Implantando drivers de impressora grandes através das preferências de Group Policy
  • Uso excessivo de filtragem de Política de Grupo por associação a grupos do Active Directory
  • Pastas pessoais de usuários aplicadas via GPO
  • Uso de filtros de Windows Management Instrumentation (WMI) (veja a próxima seção)

Evite usar muitos filtros WMI

WMI contém um grande número de classes com as quais você pode descrever quase todas as configurações de usuários e computadores. No entanto, usar muitos filtros WMI vai desacelerar os logins dos usuários e levar a uma má experiência do usuário. Quando possível, use filtros de segurança em vez disso, pois eles necessitam de menos recursos.

Utilize o processamento em loopback para casos de uso específicos

O processamento de loopback limita as configurações do usuário ao computador ao qual a GPO é aplicada. Um uso comum do processamento de loopback é quando você precisa que certas configurações sejam aplicadas quando os usuários fazem login apenas em servidores terminais específicos. Você precisa criar uma GPO, habilitar o processamento de loopback e aplicar a GPO à OU que contém os servidores.

Utilize o Gerenciamento Avançado de Política de Grupo (AGPM)

O AGPM oferece edição de GPO com versionamento e rastreamento de alterações. Faz parte do Microsoft Desktop Optimization Pack (MDOP) para Software Assurance.

Faça backup dos seus GPOs

Como parte das melhores práticas avançadas de GPO, sempre garanta que seus GPOs estejam sob controle de versão e possam ser restaurados.

Configure o backup diário ou semanal de políticas usando scripts Power Shell ou uma solução de terceiros para que você possa sempre restaurá-las para um estado conhecido como bom.

Melhores práticas de GPO para gerenciamento de configurações

As seguintes melhores práticas ajudarão você a configurar suas GPOs para garantir segurança robusta e produtividade.

Não modifique a Política de Domínio Padrão ou a Política de Controlador de Domínio Padrão

A Política de Domínio Padrão afeta todos os usuários e computadores no domínio, portanto, deve ser usada apenas para configurações de política de conta, bloqueio de conta, senha e Kerberos.

Utilize a Política de Controlador de Domínio Padrão apenas para a Política de Atribuição de Direitos de Usuário e Política de Auditoria.

No entanto, é ainda melhor usar GPOs separados até mesmo para as políticas listadas acima.

Limite o acesso ao Painel de Controle

É importante limitar o acesso ao Painel de Controle nas máquinas Windows. Você pode bloquear todo o acesso ao Painel de Controle ou permitir acesso limitado a usuários específicos usando as seguintes políticas:

  • Ocultar itens especificados do Painel de Controle
  • Proibir o acesso ao Painel de Controle e configurações do PC
  • Mostrar apenas os itens especificados do Painel de Controle

Não permita mídias removíveis

Mídias removíveis podem ser perigosas. Se alguém conectar um drive infectado ao seu sistema, isso pode liberar malware na rede. Além disso, esses drives são um caminho para a exfiltração de dados.

Você pode desativar o uso de drives removíveis utilizando a política “Prevent installation of removable devices”. Você também pode desativar o uso de DVDs, CDs e até mesmo drives de disquete se desejar, embora eles apresentem menos risco.

Desativando atualizações automáticas de driver no seu sistema

As atualizações de driver podem causar problemas sérios para usuários do Windows: Elas podem causar erros no Windows, quedas de desempenho ou até mesmo a temida tela azul da morte (BSOD). Usuários comuns não podem desativar as atualizações, pois é um recurso automatizado.

Como administrador, você pode desativar as atualizações automáticas de drivers usando a Política de Grupo “Desativar a busca de driver de dispositivo no Windows Update”. Você precisará dos IDs de hardware dos dispositivos, que podem ser encontrados no Gerenciador de Dispositivos.

Restringir o acesso ao prompt de comando

O prompt de comando é muito útil para administradores de sistema, mas permitir que usuários executem comandos pode prejudicar sua rede. Portanto, é melhor desativá-lo para usuários regulares. Você pode fazer isso usando a política “Impedir o acesso ao prompt de comando”.

Desative os reinícios forçados

Se um usuário não desligar o computador ao sair do trabalho e a máquina for reiniciada à força pela Atualização do Windows, ele pode perder os arquivos não salvos. Você pode usar a Diretiva de Grupo para desativar essas reinicializações forçadas.

Impedir que os usuários instalem software

Impedir que os usuários instalem softwares em suas máquinas ajuda a prevenir uma série de problemas. Você pode evitar a instalação de softwares alterando as configurações do AppLocker e de Restrição de Software e desativando extensões como “.exe” para que não sejam executadas.

Desative a autenticação NTLM

O protocolo de autenticação NTLM possui muitas vulnerabilidades, incluindo criptografia fraca, por isso é muito vulnerável a ataques. Usando a Diretiva de Grupo, você pode desativar a autenticação NTLM na sua rede e usar apenas o moderno protocolo Kerberos. No entanto, primeiro certifique-se de verificar se nenhuma aplicação requer autenticação NTLM.

Bloquear o PowerShell localmente

O PowerShell geralmente não é necessário para usuários de negócios, e impedi-los de usá-lo pode ajudar a prevenir a execução de scripts maliciosos. Usando a Diretiva de Grupo, você pode bloquear o uso do PowerShell em computadores ligados ao domínio.

Administradores que precisam usar o PowerShell podem ser excluídos da política. Alternativamente, você pode exigir que eles executem scripts do PowerShell apenas em uma máquina designada para melhor segurança.

Desative contas de convidado nos computadores do domínio

Contas de convidado geralmente têm acesso e funcionalidades limitadas em comparação com contas de usuários regulares, mas ainda representam riscos de segurança importantes. Desativá-las usando a Diretiva de Grupo ajuda a prevenir que usuários mal-intencionados ganhem acesso ao seu ambiente.

Limite a participação no grupo de Administradores Locais

Os membros do grupo de Administradores Locais podem instalar software, excluir arquivos do sistema, modificar configurações de segurança e muito mais. Esse acesso elevado aumenta o risco de infecções por malware, perda acidental de dados e exfiltração deliberada de dados, além de instabilidade e problemas de desempenho do sistema.

Usando a Diretiva de Grupo, você pode remover contas desnecessárias do grupo de Administradores Locais em todos os computadores.

Renomeie a conta de Administrador local

A conta de Administrador Local é um alvo principal para atacantes porque oferece acesso privilegiado na máquina. Para reduzir o risco, é uma boa prática renomear a conta de Administrador Local. Além disso, use a conta apenas quando absolutamente necessário; para tarefas rotineiras, utilize outras contas administrativas com privilégios limitados.

Restrinja o acesso anônimo a pipes nomeados e compartilhamentos de rede

Por padrão, pipes nomeados e compartilhamentos podem ser acessados anonimamente, o que pode permitir que atores maliciosos acessem dados sensíveis, como arquivos confidenciais, informações do sistema e configurações de segurança de rede. Portanto, é uma prática recomendada usar a Diretiva de Grupo para impor restrições ao acesso anônimo a pipes nomeados e compartilhamentos em toda a rede.

Aplicar as melhores práticas atuais de senha

Órgãos normativos como o NIST oferecem diretrizes para configurações de política de senha que reduzem o seu risco de ataques baseados em senha e reutilização de credenciais. Você pode usar o Group Policy para aplicar essas recomendações no seu ambiente.

Tenha em mente que, embora requisitos rigorosos para fatores como comprimento da senha, complexidade e idade da senha teoricamente aumentem a segurança, na prática nem sempre funciona assim. Em vez disso, tais políticas podem levar os usuários a adotar soluções inseguras como anotar senhas para evitar o transtorno de bloqueios de conta.

Para obter o benefício completo de políticas de senha fortes, considere adotar uma ferramenta como Netwrix Password Secure, que criará, armazenará e inserirá credenciais automaticamente para os usuários. Dessa forma, você pode melhorar a segurança exigindo que as senhas sejam longas, incluam caracteres especiais, sejam alteradas frequentemente e assim por diante.

Desativar enumeração de SID anônimo

Quando a enumeração de SID anônima está ativada, adversários podem coletar informações sobre contas de usuários e grupos que são valiosas no planejamento e execução de ciberataques. Você pode desativar a enumeração de SID anônima modificando esta configuração do registro:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa

Certifique-se de fazer backup do registro antes de fazer quaisquer alterações e tenha cautela ao editar as configurações do registro. As alterações devem ser realizadas apenas por pessoal autorizado e com conhecimento.

Impedir que os usuários desativem o Windows Defender

Você deve garantir que a proteção antivírus e antimalware integrada permaneça ativa em todos os sistemas Windows. Acesse o seguinte caminho no Editor de Política de Grupo:

Configuração do Computador > Modelos Administrativos > Componentes do Windows > Windows Defender Antivírus

Configure a configuração da Política de Grupo "Desativar o Windows Defender Antivírus" como Desativado.

Como o Netwrix Endpoint Policy Manager pode ajudar

A Política de Grupo é uma ferramenta eficaz para o gerenciamento detalhado de configurações dentro de um ambiente Windows. No entanto, desafios como a proliferação de Objeto de Política de Grupo (GPO), mudanças organizacionais devido a fusões, aquisições, desinvestimentos, níveis de pessoal flutuantes e a formação de novas entidades tornaram seu gerenciamento cada vez mais complexo. Netwrix Endpoint Policy Manager aborda esses desafios ao reduzir a proliferação de GPOs e simplificar o processo de gerenciamento pela fusão de múltiplos GPOs em menos entidades. Essa consolidação leva a tempos de login melhorados, segurança aprimorada, confiabilidade do sistema aumentada e redução de erros de configuração. Netwrix Endpoint Policy Manager também permite que administradores implantem quase 100% das configurações de Política de Grupo para o Microsoft Intune sem a complexidade adicional de OMA-URI.

Dicas de solução de problemas de Group Policy

As dicas de solução de problemas a seguir ajudarão você a investigar questões relacionadas à Política de Grupo.

  • No Windows 10 e Windows Server 2016, utilize o comando gpresult para exibir informações da Política de Grupo para um usuário e computador remotos, incluindo o tempo necessário para processar o GPO.
  • Verifique o Visualizador de Eventos para quaisquer erros ou avisos relacionados à Política de Grupo.
  • Utilize a ferramenta Group Policy Results para ver quais políticas estão sendo aplicadas a um usuário ou computador específico e quais políticas não estão sendo aplicadas.
  • Utilize a ferramenta Group Policy Modeling para simular a aplicação de Group Policies para um usuário ou computador específico e identificar quaisquer problemas.
  • Verifique se o usuário ou computador afetado está na OU correta no Active Directory e que a Política de Grupo está vinculada à OU correta.
  • Verifique se há quaisquer GPOs conflitantes que possam estar substituindo as configurações desejadas usando a ferramenta Resultant Set of Policy (RSoP).
  • Utilize o Group Policy Management Console para verificar se o usuário ou computador possui as permissões necessárias para aplicar as configurações do GPO.
  • Verifique se há problemas de conectividade de rede que possam estar impedindo o usuário ou computador de receber as configurações de Política de Grupo.
  • Revise se as configurações de Group Policy estão configuradas corretamente.
  • Para problemas com as configurações de Group Policy Preferences, utilize a extensão de solução de problemas de Group Policy Preferences.
  • Se tudo o mais falhar, considere redefinir as configurações de Política de Grupo para o usuário ou computador afetado executando o comando "gpupdate /force" ou utilizando a opção "Redefinir Configurações de Política de Grupo" no Console de Gerenciamento de Política de Grupo.

Compartilhar em

Recursos Relacionados

Aprofunde-se com nossos recursos relacionados

Resource Center
eBook

Facilitando a Prevenção de Perda de Dados com as Soluções Netwrix

Prevenção de Perda de Dados
eBook

Instalando Software no Windows: Doloroso, mas não precisa ser

Endpoint Management