Executar Apenas Aplicativos do Windows (Via GPO)

Nesse artigo vamos mostrar como configurar uma GPO para executar apenas programas específicos no Windows. Esse recursos bloqueia as aplicações que você desejar em um ambiente com Windows Server e estações Windows Client. Esse recurso está presente desde o Windows Server 2003 e sempre gerou muitas dúvidas entre os administradores. 

O recurso tem algumas particularidades que devem ser analisadas com cuidado. O recurso efetua o bloqueio apenas no Windows Explorer, isso significa se o usuário estiver acesso ao prompt de comando ou gerenciador de tarefas, esse programas, mesmo listados no bloqueio, serão executados normalmente. Portanto, essa GPO dever ser aplicada juntamente com o bloqueio do gerenciador de tarefas e o prompt de comando.

Existe duas GPO bem parecidas que vamos mostrar agora na prática e explicar qual é a melhor para ser aplicada em seu cenário Windows Server.

Primeiramente abra a console de gerenciamento da GPO dentro de “Ferramentas Administrativas”. Veja que na escolhemos abaixo a opção “Executar apenas programas específicos no Windows”.

Importante: Muito cuidado, pois essa GPO é bem poderosa e pode impedir seu acesso ao servidor mesmo sendo administrador total do sistema. Nunca aplique essa GPO para o usuário administrador para evitar problemas de acesso e permissões ao server.

Outra opções é incluir apenas os programas que devem ser bloqueados, diferente da GPO acima que colocamos apenas o que será executado. Essa opção é menos perigosa e pode ser aplicada tranquilamente em seu cenário.

Esperamos que essa dica ajude a todos os administradores que utilizam o Windows Server em seus cenários e que sirva de mais uma opção para bloqueio de aplicativos Windows sem a necessidade de utilização de softwares terceiros.

Distribuindo Certificado Digital A1 Via GPO

Nesse artigo vamos mostrar como distribuir certificados digitais via GPO. Muitas empresas procuram uma forma de distribuir esses certificados de modo centralizado e sem precisar passar informações de segurança para o usuário final. Esse procedimento automatiza e centraliza todos os seus certificados digitais e ainda distribuí de forma rápida para diferentes tipos de departamentos conforme sua necessidade.

Para que esse procedimento funcione, você deve possuir um domínio (Active Directory) com sua saúde 100%, dois scripts e seus certificados A1. Veja na imagem abaixo o  que iremos utilizar para que essa distribuição tenha sucesso:

Importante: Você deve escolher um caminho para compartilhamento e dar as permissões necessárias para que os scripts sejam executados corretamente. O caminho escolhido em nosso exemplo, foi a pasta “Scripts” dentro da estrutura SYSVOL.

Abrindo o primeiro script “Certificados”, veja a linha para a importação do A1. Não esqueça de inserir a senha do seu certificado conforme o exemplo abaixo. Você deve se preocupar com a segurança desses scripts e tratar suas permissões NTFS, pois as senhas dos certificados ficarão armazenadas dentro desses arquivos.

Abrindo o script “Import-Certificate-Silently”, você encontrará o código que fará a importação do seu certificado A1 de forma silenciosa para o navegador. Observe que o caminho onde escolher armazenar o certificado é muito importante e deve estar correto para que tudo funcione de acordo.

Por último, mostramos o nosso certificado A1 com extensão .pfx. Esse certificado é protegido por senha e será de exemplo em nosso artigo.

Você precisa criar uma GPO com o nome que desejar e vincular a unidade organizacional onde os usuários utilizarão os certificados. Você pode organizar da forma que desejar, por departamentos ou usuários. Edite a GPO que desejar, como mostra a imagem abaixo:

Navegue em “User Configuration”“Windows Settings”“Scripts Logon/Logout” e abre a opção “Logon”:

Adicione o caminho do arquivo .vbs “Import-Certificate-Silently” e clique em OK:

Faça o login com sua estação de trabalho e verá o certificado importado em seu navegador “Internet Explorer”.

Esperamos que essa dica seja útil a todos que desejam organizar seus certificados A1 e manter em sigilo suas senhas para nunca passar ao usuário final. Centralizar certificados é uma ótima forma de manter a segurança de suas informações contra vazamento e fraudes internas.

WhatsApp chat