Se quiser mudar o comportamento do Windows, assumindo mais controle sobre a segurança ou desabilitando algumas coisas que a Microsoft lança sobre você, você pode fazer isso ajustando as configurações da Política de Grupo. Sim, você também pode fazer o mesmo no Editor do Registro, mas a Política de Grupo tem mais algumas vantagens, como a Política de Grupo não será alterada após uma atualização do Windows, ao contrário do Registro. Mais importante ainda, você pode configurar a Política de Grupo localmente em seu sistema ou fazer com que o diretório ativo seja aplicado a vários sistemas em seu domínio. Portanto, isso é especialmente útil para escritórios e escolas que executam computadores Windows.
Melhores configurações de Política de Grupo
Antes de começarmos, vamos entender que a Política de Grupo é uma ferramenta gráfica que permite editar Configurações do sistema operacional, configurações do kernel, etc. No entanto, ajustar a Política de Grupo de maneira errada pode até causar mau funcionamento do sistema operacional. Portanto, se você for fazer alguma alteração, exporte a lista antes de fazer qualquer alteração.
Como acessar a Política de Grupo
Uma das maiores advertências da Política de Grupo é que ela é disponível apenas nos computadores que executam as versões Windows Professional, Education ou Enterprise. Mesmo que você esteja executando o Windows Home, você pode acessar a Política de Grupo, mas com algumas soluções alternativas, que explicarei abaixo.
Para acessar a Política de Grupo, existem várias maneiras, uma das maneiras mais fáceis é abra o prompt de comando > digite “gpedit.msc”e clique em Enter.
Embora a Política de Grupo não faça parte das edições Home do Windows, ainda há uma maneira de acessá-lo. Tudo que você precisa fazer é instalar um Editor de Política de Grupo de terceiros fazendo download deste arquivo em lote. Abra-o como administrador, a instalação começará no prompt de comando. A instalação levará cerca de 2 a 3 minutos. Quando o processo for concluído, abra o prompt de comando novamente e digite gpedit.msc para acessá-lo.
1. Desative qualquer instalação de software
Ao não permitir que os usuários instalem vários softwares, você pode diminuir a quantidade de manutenção e limpeza necessária quando algo ruim é instalado, pois também é um dos razões potenciais para o malware. Isso é ainda mais útil, especialmente em escolas, onde você deseja que os alunos acessem apenas o que for necessário.
Se quiser impedir que os usuários instalem ou executem programas, você pode definir isso abrindo a Política de Grupo > Navegue até Configurações do computador > Modelos administrativos > Componentes do Windows > Windows Installer e clique duas vezes na opção Desativar o Windows Installer. Altere a configuração para ativar e certifique-se de que a opção diz “Somente para aplicativos não gerenciados”, para que eles possam instalar todos os aplicativos permitidos pelo gerenciamento. Agora clique em Aplicar e reinicie o computador para que as alterações ocorram.
Bloquear a execução de aplicativos específicos
Bloquear a instalação de todos os aplicativos é um exagero em muitas situações. Se tudo o que você deseja é bloquear apenas alguns aplicativos, você pode fazer isso. essas alterações na Política de Grupo.
Abra Política de Grupo > Configuração do Usuário > Modelos Administrativos > Sistema e clique duas vezes na opção Não executar aplicativos especificados do Windows . Altere a configuração para ativar e clique no botão Mostrar. Agora você pode entrar na lista de aplicativos que deseja bloquear para os usuários e clicar em OK. Agora clique em Aplicar e reinicie o sistema para que as configurações sejam aplicadas.
2. Bloqueie o acesso ao Painel de Controle
É importante definir limites para o painel de controle principalmente em ambientes empresariais, pois isso lhe dá controle sobre todo o sistema. Você pode bloquear todo o acesso ou limitar seu acesso.
Para bloquear o acesso, abra Política de grupo > Configuração do usuário > Modelos administrativos > Painel de controle > e clique duas vezes em Proibir o acesso ao Painel de Controle e às configurações do PC e clicar em ativar e aplicar. E as alterações serão aplicadas imediatamente.
Mostrar apenas itens específicos do painel de controle
O processo acima bloqueia o acesso a todo o painel de controle. Mas se você deseja limitar o uso. você pode fazer isso abrindo Política de grupo > Configuração do usuário > Modelos administrativos > Painel de controle > e clicar duas vezes em Mostrar apenas itens especificados do Painel de controle e clicar em ativar. Agora clique na opção de exibição para especificar cada opção do painel de controle a ser exibida. Se não estiver nesta lista, não será exibido ao usuário.
Isso significa que você precisará escolher e digitar cuidadosamente cada item do Painel de Controle que deseja incluir. Você pode encontrar os nomes de todos os itens do Painel de Controle no site da Microsoft .
3. Desativar Prompt de Comando
O Prompt de Comando é sem dúvida muito útil e também um pesadelo ao mesmo tempo que dá aos usuários a oportunidade de executar comandos e programas que não deveriam. Também pode ser uma ferramenta perigosa nas mãos de inexperientes. Há muitos motivos para desativar o prompt de comando. Talvez você tenha filhos que compartilham um computador familiar ou permita que convidados usem seu computador quando ficam com você. Ou talvez você esteja executando um computador comercial e precise bloqueá-lo.
Para desativar, abra Política de Grupo > Configuração do Usuário > Modelos Administrativos > Sistema e clique duas vezes em > Impedir o acesso ao prompt de comando. Altere a Política para ativar e aplicar. Agora você precisa reiniciar para que as alterações sejam aplicadas.
4. Desative o Editor de Registro do Windows
Assim como o prompt de comando, o editor de registro pode até quebrar coisas e ignorar algumas restrições de política de grupo. Portanto, para proteger a política, você pode abrir Política de Grupo > Configuração do Usuário > Modelos Administrativos > Sistema e clicar duas vezes em Impedir acesso a ferramentas de edição de registro e ativá-lo. Agora clique em Aplicar e reinicie o PC para aplicar as alterações.
5. Bloquear drivers de mídia removível
USBs ou outras formas de dispositivos de mídia removível podem ser perigosos para o PC. Se alguém conectar acidentalmente ou propositalmente um dispositivo de armazenamento infectado por vírus, isso poderá afetar o PC ou até mesmo o domínio. Ao executar muitos computadores, permitir drivers de mídia dificulta o gerenciamento do armazenamento. O bloqueio de drivers de mídia removíveis é comumente usado em muitas escolas e faculdades.
Para bloquear drivers de mídia, abra Política de Grupo > Configuração do Usuário > Modelos Administrativos > Sistema > Acesso ao Armazenamento Removível e clique duas vezes. em Discos removíveis: negar acesso de leitura. Agora clique na opção ativar e aplique para impedir que o PC leia drivers externos.
Opção de bloqueio de gravação
A opção acima apenas fará com que o PC não leia os arquivos no dispositivo externo. Mas você ainda pode copiar os arquivos para o dispositivo externo. Se quiser proteger os arquivos, você também precisa bloquear a opção de gravação. Isso é comumente implementado em ambientes de negócios.
Para bloquear opções de gravação, abra Política de Grupo > Configuração do Usuário > Modelos Administrativos > Sistema > Acesso ao Armazenamento Removível e clique duas vezes em Discos removíveis: negar acesso de gravação. Agora ative a opção e selecione Aplicar para aplicar as alterações.
Como alternativa, você pode usar Todas as classes de armazenamento removível: negar todo o acesso para bloquear as opções de leitura e gravação ao mesmo tempo..
6. Ocultar unidade de partição do computador
Se houver alguma informação confidencial nos sistemas, você pode querer ocultá-la de usuários específicos para acessá-la. Você pode fazer isso nas configurações de Política de Grupo. Mas lembre-se de que essa configuração apenas o ocultará do explorador de arquivos e de alguns outros aplicativos, mas as pessoas ainda poderão acessá-lo no prompt de comando.
De qualquer forma, você pode ocultá-lo abrindo a Política de Grupo > Configuração do usuário > Modelos administrativos > Componentes do Windows > Windows Explorer e clique duas vezes em Ocultar essas unidades especificadas em Meu computador e selecione a opção ativar. Uma vez ativado, clique no menu suspenso no painel Opções e selecione quais unidades você gostaria de ocultar. As unidades ficarão ocultas quando você clicar em OK.
7. Aumente o comprimento mínimo da senha
O comprimento padrão da senha do Windows é 8 e você precisa usar pelo menos uma letra maiúscula, minúscula e um número ou caractere especial. Na verdade, está bem protegido. Mas você pode melhorar a segurança aumentando o comprimento da senha. Você pode configurá-lo até 14, além de usar letras maiúsculas, minúsculas e números ou caracteres especiais.
Você pode alterar isso abrindo Política de grupo > Configuração do computador > Configurações do Windows > Configurações de segurança > Políticas de conta > Política de senha e clique duas vezes em política deComprimento mínimo da senha. Especifique um valor para o comprimento e clique em e aplique.
8. Rastrear logins de contas
Com a Política de Grupo você pode forçar o Windows a rastrear todos os logins bem-sucedidos e com falha no PC. Você pode configurá-lo para um computador específico ou para um usuário específico. De qualquer forma, isso será útil para rastrear pessoas não autorizadas que estão tentando fazer login. Você pode habilitá-lo abrindo Política de Grupo > Configuração do Computador > Configurações do Windows > Configurações de Segurança > Políticas Locais > Política de Auditoria e toque duas vezes em Eventos de logon de auditoria.
Marque aqui a caixa de seleção ao lado das opções “Sucesso” e “Falha”. Quando você clicar em ok, o Windows começará a manter um registro dos logins feitos no PC.
Para visualizar esses logins, abra Executar e digite eventvwr para abrir o Visualizador de Eventos do Windows. Agora expanda os Logs do Windows e selecione a opção Segurança . No painel do meio, você pode ver todas as tentativas de login. Você pode ver a conta que tentou fazer login, a data e também a hora. Mas o sucesso e as tentativas fracassadas são menções com código.
9. Desative o OneDrive
Você pode gostar do OneDrive ou odiá-lo totalmente. Se você ou sua organização não usam o OneDrive ou apenas desejam removê-lo do seu PC, você pode fazer isso com a Política de Grupo. Abra Política de Grupo > Configuração do Computador > Modelos Administrativos > Componentes do Windows > OneDrive e clique duas vezes em Impedir o uso do OneDrive para armazenamento de arquivos. Agora habilite-o e clique em aplicar. Você precisa reiniciar o PC para fazer as alterações.
10. Mantenha as alterações na Política de Grupo sob controle
De qualquer forma, essas alterações podem ser revertidas ao normal usando a Política de Grupo com o mesmo método, mas configurando-as novamente para desativadas. Você pode permanecer responsável pela Política de Grupo usando a Auditoria de Objeto de Política de Grupo. Para acompanhar continuamente as alterações feitas nos objetos de política de grupo, experimente o Lepide Change Reporter.
Concluindo
Depois de ajustar as configurações da Política de Grupo, você precisa mova as configurações para o grupo de computadores no Active Directory , onde você pode definir o diretório para cada PC no domínio. Você também pode definir Políticas de grupo apenas para usuários ou computadores individuais. Agora tudo que você precisa fazer é baixar a Política de Grupo do Active Directory para aplicá-la. Quaisquer alterações no diretório ativo serão aplicadas automaticamente aos sistemas individuais.
