Configurações de política de segurança (Windows 10) (2023)

Aplicável ao

• Windows 10
• Windows 11

Este tópico de referência descreve os cenários, a arquitetura e os processos comuns para configurações de segurança.

As configurações de política de segurança são regras que os administradores configuram em um computador ou em vários dispositivos para proteger recursos em um dispositivo ou rede. A extensão Configurações de Segurança do snap-in editor de Política de Grupo local permite que você defina configurações de segurança como parte de um GPO (objeto Política de Grupo). Os GPOs estão vinculados a contêineres do Active Directory, como sites, domínios ou unidades organizacionais, e permitem que você gerencie as configurações de segurança para vários dispositivos de qualquer dispositivo ingressado no domínio. As políticas de configurações de segurança são usadas como parte da implementação geral de segurança para ajudar a proteger controladores de domínio, servidores, clientes e outros recursos em sua organização.

As configurações de segurança podem controlar:

• Autenticação do usuário em uma rede ou dispositivo.
• Os recursos que os usuários têm permissão para acessar.
• Se é necessário registrar as ações de um usuário ou grupo no log de eventos.
• Associação em um grupo.

Para gerenciar configurações de segurança para vários dispositivos, você pode usar uma das seguintes opções:

• Edite configurações de segurança específicas em um GPO.
• Use o snap-in modelos de segurança para criar um modelo de segurança que contenha as políticas de segurança que você deseja aplicar e importe o modelo de segurança para um objeto Política de Grupo. Um modelo de segurança é um arquivo que representa uma configuração de segurança e pode ser importado para um GPO, aplicado a um dispositivo local ou usado para analisar a segurança.

Para obter mais informações sobre como gerenciar configurações de segurança, consulte Administrar configurações de política de segurança.

A extensão Configurações de Segurança do Editor de Política de Grupo Local inclui os seguintes tipos de políticas de segurança:

• Políticas de Conta. Essas políticas são definidas em dispositivos; elas afetam como as contas de usuário podem interagir com o computador ou o domínio. As políticas de conta incluem os seguintes tipos de políticas:

  • Política de Senha. Essas políticas determinam as configurações para senhas, como a imposição e o tempo de vida. As políticas de senha são usadas para contas de domínio.
  • Política de Bloqueio da Conta. Essas políticas determinam as condições e o tempo em que uma conta será bloqueada do sistema. As políticas de bloqueio da conta são usadas para contas de usuário locais ou de domínio.
  • Política Kerberos. Essas políticas são usadas para contas de usuário de domínio; eles determinam configurações relacionadas ao Kerberos, como tempo de vida do tíquete e execução.

• Políticas locais. Essas políticas se aplicam a um computador e incluem os seguintes tipos de configurações de política:

  • Política de Auditoria. Especifique as configurações de segurança que controlam o registro em log de eventos de segurança no log de segurança no computador e especifica quais tipos de eventos de segurança fazer log (êxito, falha ou ambos).

    Observação

    Para dispositivos que executam o Windows 7 e posteriores, recomendamos usar as configurações em Configuração avançada de política de auditoria, em vez das configurações de Política de Auditoria em Políticas Locais.

  • Atribuição de direitos do usuário. Especifique os usuários ou grupos que têm direitos de entrada ou privilégios em um dispositivo

  • Opções de segurança. Especifique as configurações de segurança para o computador, como nomes de administrador e conta de convidado; acesso a unidades de disco disquete e unidades CD-ROM; instalação de drivers; Prompts de entrada; e assim por diante.

• Firewall do Windows com Segurança Avançada. Especifique as configurações para proteger o dispositivo em sua rede usando um firewall com estado que permite determinar qual tráfego de rede é permitido passar entre seu dispositivo e a rede.

• Políticas do Gerenciador de Listas de Rede. Especifique as configurações que você pode usar para configurar diferentes aspectos de como as redes são listadas e exibidas em um dispositivo ou em muitos dispositivos.

• Políticas de chave pública. Especifique as configurações para controlar a Criptografia do Sistema de Arquivos, a Proteção de Dados e a Criptografia de Unidade do BitLocker, além de determinados caminhos de certificado e configurações de serviços.

• Políticas de restrição de software. Especifique as configurações para identificar o software e controlar sua capacidade de execução em seu dispositivo local, unidade organizacional, domínio ou site.

• Políticas de Controle de Aplicativo. Especifique as configurações para controlar quais usuários ou grupos podem executar aplicativos específicos em sua organização com base em identidades exclusivas de arquivos.

• Políticas de segurança ip no computador local. Especifique as configurações para garantir comunicações privadas e seguras em redes IP usando serviços de segurança criptográfica. O IPsec estabelece confiança e segurança de um endereço IP de origem para um endereço IP de destino.

• Configuração avançada da política de auditoria. Especifique as configurações que controlam o registro em log de eventos de segurança no log de segurança do dispositivo. As configurações em Configuração avançada de política de auditoria fornecem um controle mais fino sobre quais atividades monitorar em oposição às configurações da Política de Auditoria em Políticas Locais.

Gerenciamento de configurações de segurança baseadas em política

A extensão Configurações de Segurança para Política de Grupo fornece uma infraestrutura de gerenciamento integrada baseada em políticas para ajudá-lo a gerenciar e impor suas políticas de segurança.

Você pode definir e aplicar políticas de configurações de segurança a usuários, grupos e servidores de rede e clientes por meio de Política de Grupo e Active Directory Domain Services (AD DS). Um grupo de servidores com a mesma funcionalidade pode ser criado (por exemplo, um servidor Microsoft Web (IIS) e Política de Grupo Objetos pode ser usado para aplicar configurações de segurança comuns ao grupo. Se mais servidores forem adicionados a esse grupo posteriormente, muitas das configurações de segurança comuns serão aplicadas automaticamente, reduzindo a implantação e o trabalho administrativo.

Cenários comuns para usar políticas de configurações de segurança

As políticas de configurações de segurança são usadas para gerenciar os seguintes aspectos de segurança: política de contas, política local, atribuição de direitos de usuário, valores de registro, ACLs (listas de Controle de Acesso de arquivo e registro), modos de inicialização de serviço e muito mais.

Como parte de sua estratégia de segurança, você pode criar GPOs com políticas de configurações de segurança configuradas especificamente para as várias funções em sua organização, como controladores de domínio, servidores de arquivos, servidores membros, clientes e assim por diante.

Você pode criar uma estrutura de U (unidade organizacional) que agrupa dispositivos de acordo com suas funções. O uso de OUs é o melhor método para separar requisitos de segurança específicos para as diferentes funções em sua rede. Essa abordagem também permite que você aplique modelos de segurança personalizados a cada classe de servidor ou computador. Depois de criar os modelos de segurança, você cria um novo GPO para cada uma das OUs e, em seguida, importa o modelo de segurança (arquivo.inf) para o novo GPO.

Importar um modelo de segurança para um GPO garante que todas as contas às quais o GPO é aplicado recebam automaticamente as configurações de segurança do modelo quando as configurações de Política de Grupo forem atualizadas. Em uma estação de trabalho ou servidor, as configurações de segurança são atualizadas em intervalos regulares (com um deslocamento aleatório de no máximo 30 minutos) e, em um controlador de domínio, esse processo ocorre a cada poucos minutos se ocorrerem alterações em qualquer uma das configurações de GPO aplicadas. As configurações também são atualizadas a cada 16 horas, se ocorreram ou não alterações.

Usando configurações de segurança baseadas em Política de Grupo em conjunto com a delegação de administração, você pode garantir que configurações de segurança, direitos e comportamento específicos sejam aplicados a todos os servidores e computadores dentro de uma UA. Essa abordagem torna simples atualizar muitos servidores com quaisquer outras alterações necessárias no futuro.

Dependências de outras tecnologias do sistema operacional

Para dispositivos que são membros de um domínio do Windows Server 2008 ou posterior, as políticas de configurações de segurança dependem das seguintes tecnologias:

• Serviços de Domínio do Active Directory (AD DS)

  O serviço de diretório baseado no Windows, AD DS, armazena informações sobre objetos em uma rede e disponibiliza essas informações para administradores e usuários. Usando o AD DS, você pode exibir e gerenciar objetos de rede na rede a partir de um único local, e os usuários podem acessar recursos de rede permitidos usando uma única entrada.

• Política de Grupo

  A infraestrutura dentro do AD DS que permite o gerenciamento de configuração baseado em diretório de configurações de usuário e computador em dispositivos que executam o Windows Server. Usando Política de Grupo, você pode definir configurações para grupos de usuários e computadores, incluindo configurações de política, políticas baseadas em registro, instalação de software, scripts, redirecionamento de pastas, Serviços de Instalação Remota, manutenção do Internet Explorer e segurança.

• Sistema de nome de domínio (DNS)

  See Also

  Funções locais – Guia de Programação em C#Locais confiáveis para arquivos do Office - Deploy OfficeBibliotecas do Windows - Windows Client ManagementAdministrar contas de serviço locais - Microsoft Entra

  Um sistema de nomenclatura hierárquico usado para localizar nomes de domínio na Internet e em redes TCP/IP privadas. O DNS fornece um serviço para mapear nomes de domínio DNS para endereços IP e endereços IP para nomes de domínio. Esse serviço permite que usuários, computadores e aplicativos consultem o DNS para especificar sistemas remotos por nomes de domínio totalmente qualificados e não por endereços IP.

• Winlogon

  Uma parte do sistema operacional Windows que fornece suporte a logon interativo. O Winlogon foi projetado em torno de um modelo de logon interativo que consiste em três componentes: o executável Winlogon, um provedor de credencial e qualquer número de provedores de rede.

• Configuração

  A configuração de segurança interage com o processo de instalação do sistema operacional durante uma instalação limpa ou atualização de versões anteriores do Windows Server.

• Sam (Gerenciador de Contas de Segurança)

  Um serviço Windows usado durante o processo de entrada. O SAM mantém informações da conta de usuário, incluindo grupos aos quais um usuário pertence.

• Autoridade de Segurança Local (LSA)

  Um subsistema protegido que autentica e entra usuários no sistema local. A LSA também mantém informações sobre todos os aspectos da segurança local em um sistema, conhecido coletivamente como Política de Segurança Local do sistema.

• Instrumentação de Gerenciamento do Windows (WMI)

  Um recurso do sistema operacional Microsoft Windows, o WMI é a Microsoft implementação do Web-Based Enterprise Management (WBEM), que é uma iniciativa do setor para desenvolver uma tecnologia padrão para acessar informações de gerenciamento em um ambiente corporativo. O WMI fornece acesso a informações sobre objetos em um ambiente gerenciado. Por meio da WMI e da API (interface de programação do aplicativo WMI), os aplicativos podem consultar e fazer alterações em informações estáticas no repositório CIM (Common Information Model) e informações dinâmicas mantidas pelos vários tipos de provedores.

• Conjunto resultante de política (RSoP)

  Uma infraestrutura de Política de Grupo aprimorada que usa o WMI para facilitar o planejamento e a depuração das configurações da política. O RSoP fornece métodos públicos que expõem o que uma extensão a Política de Grupo faria em uma situação de e-se e o que a extensão fez em uma situação real. Esses métodos públicos permitem que os administradores determinem facilmente a combinação de configurações de política que se aplicam ou se aplicam a um usuário ou dispositivo.

• SCM (Service Control Manager)

  Usado para configuração de modos de inicialização de serviço e segurança.

• Registro

  Usado para configuração de valores de registro e segurança.

• Sistema de arquivos

  Usado para configuração de segurança.

• Conversões do sistema de arquivos

  A segurança é definida quando um administrador converte um sistema de arquivos de FAT em NTFS.

• Microsoft Console de Gerenciamento (MMC)

  A interface do usuário para a ferramenta Configurações de Segurança é uma extensão do snap-in do MMC do Editor de Política de Grupo Local.

Políticas e Política de Grupo de configurações de segurança

A extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte do conjunto de ferramentas Configuration Manager de segurança. Os seguintes componentes estão associados às Configurações de Segurança: um mecanismo de configuração; um mecanismo de análise; uma camada de interface de modelo e banco de dados; lógica de integração de instalação; e a ferramenta de linha de comando secedit.exe. O mecanismo de configuração de segurança é responsável por lidar com solicitações de segurança relacionadas ao editor de configuração de segurança para o sistema no qual ele é executado. O mecanismo de análise analisa a segurança do sistema para uma determinada configuração e salva o resultado. A camada de modelo e interface do banco de dados lida com solicitações de leitura e gravação de e para o modelo ou banco de dados (para armazenamento interno). A extensão Configurações de Segurança do Editor de Política de Grupo Local manipula Política de Grupo de um dispositivo local ou baseado em domínio. A lógica de configuração de segurança se integra à configuração e gerencia a segurança do sistema para uma instalação limpa ou atualização para um sistema operacional Windows mais recente. As informações de segurança são armazenadas em modelos (arquivos.inf) ou no banco de dados Secedit.sdb.

O diagrama a seguir mostra configurações de segurança e recursos relacionados.

Políticas de configurações de segurança e recursos relacionados

• Scesrv.dll

  Fornece a funcionalidade principal do mecanismo de segurança.

• Scecli.dll

  Fornece as interfaces do lado do cliente para o mecanismo de configuração de segurança e fornece dados para o RSoP (Conjunto Resultante de Política).

• Wsecedit.dll

  A extensão Configurações de Segurança do Editor de Política de Grupo Local. scecli.dll é carregado em wsecedit.dll para dar suporte à interface do usuário configurações de segurança.

• Gpedit.dll

  O snap-in do MMC do Editor de Política de Grupo Local.

Arquitetura de extensão configurações de segurança

A extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte das ferramentas de segurança Configuration Manager, conforme mostrado no diagrama a seguir.

Arquitetura de Configurações de Segurança

As ferramentas de configuração e análise de configuração de segurança incluem um mecanismo de configuração de segurança, que fornece computador local (membro não-domínio) e configuração baseada em Política de Grupo e análise das políticas de configurações de segurança. O mecanismo de configuração de segurança também dá suporte à criação de arquivos de política de segurança. Os principais recursos do mecanismo de configuração de segurança são scecli.dll e scesrv.dll.

A lista a seguir descreve esses recursos primários do mecanismo de configuração de segurança e outros recursos relacionados a Configurações de Segurança.

• scesrv.dll

  See Also

  Exibir e configurar dados de serviço e eventos de desempenhoComo gerenciar administradores locais nos dispositivos ingressados do Azure AD - Microsoft EntraPesquisar e exportar dados de chat do Teams para usuários locais - Microsoft Purview (compliance)

  Esse arquivo .dll está hospedado em services.exe e é executado no contexto do sistema local. scesrv.dll fornece funcionalidades principais de segurança Configuration Manager, como importação, configuração, análise e propagação de políticas.

  Scesrv.dll executa a configuração e a análise de vários parâmetros de sistema relacionados à segurança chamando APIs correspondentes do sistema, incluindo LSA, SAM e o registro.

  Scesrv.dll expõe APIs como importar, exportar, configurar e analisar. Ele verifica se a solicitação é feita por LRPC (Windows XP) e falha na chamada se não for.

  A comunicação entre partes da extensão Configurações de Segurança ocorre usando os seguintes métodos:

  • Chamadas com modelo de objeto de componente (COM)
  • Chamada de procedimento remoto local (LRPC)
  • Protocolo de Acesso ao Diretório Leve (LDAP)
  • Interfaces de Serviço do Active Directory (ADSI)
  • SMB (Bloco de Mensagens do Servidor)
  • Win32 APIs
  • Chamadas de WMI (Instrumentação de Gerenciamento do Windows)

  Em controladores de domínio, scesrv.dll recebe notificações de alterações feitas no SAM e na LSA que precisam ser sincronizadas entre controladores de domínio. Scesrv.dll incorpora essas alterações no GPO da Política de Controlador de Domínio Padrão usando APIs de modificação de modelo scecli.dll em processo.Scesrv.dll também executa operações de configuração e análise.

• Scecli.dll

  Esse Scecli.dll é a interface do lado do cliente ou wrapper para scesrv.dll. scecli.dll é carregado em Wsecedit.dll para dar suporte a snap-ins MMC. Ele é usado pela Configuração para configurar a segurança padrão do sistema e a segurança de arquivos, chaves de registro e serviços instalados pelos arquivos .inf da API de Instalação.

  A versão da linha de comando das interfaces do usuário de configuração e análise de segurança, secedit.exe, usa scecli.dll.

  Scecli.dll implementa a extensão do lado do cliente para Política de Grupo.

  Scesrv.dll usa scecli.dll para baixar arquivos Política de Grupo aplicáveis do SYSVOL para aplicar Política de Grupo configurações de segurança ao dispositivo local.

  Scecli.dll registra o aplicativo da política de segurança na WMI (RSoP).

  Scesrv.dll filtro de política usa scecli.dll para atualizar o GPO da Política de Controlador de Domínio Padrão quando são feitas alterações no SAM e no LSA.

• Wsecedit.dll

  A extensão Configurações de Segurança do snap-in do Editor de Objetos Política de Grupo. Você usa essa ferramenta para configurar as configurações de segurança em um objeto Política de Grupo para um site, domínio ou unidade organizacional. Você também pode usar configurações de segurança para importar modelos de segurança para um GPO.

• Secedit.sdb

  Este Secedit.sdb é um banco de dados permanente do sistema usado para propagação de políticas, incluindo uma tabela de configurações persistentes para fins de reversão.

• Bancos de dados de usuário

  Um banco de dados de usuário é qualquer banco de dados diferente do banco de dados do sistema criado pelos administradores para fins de configuração ou análise de segurança.

• . Modelos inf

  Esses modelos são arquivos de texto que contêm configurações declarativas de segurança. Eles são carregados em um banco de dados antes da configuração ou análise. Política de Grupo políticas de segurança são armazenadas em arquivos .inf na pasta SYSVOL dos controladores de domínio, em que são baixadas (usando cópia de arquivo) e mescladas no banco de dados do sistema durante a propagação da política.

Processos e interações de política de configurações de segurança

Para um dispositivo ingressado no domínio, em que Política de Grupo é administrado, as configurações de segurança são processadas em conjunto com Política de Grupo. Nem todas as configurações são configuráveis.

Política de Grupo processamento

Quando um computador é iniciado e um usuário entra, a política do computador e a política de usuário são aplicadas de acordo com a seguinte sequência:

1. A rede é iniciada. Início do RPCSS (Serviço de Sistema de Chamadas de Procedimento Remoto) e MUP (Provedor de Convenções de Nomenclatura Universal Múltipla).

2. Uma lista ordenada de objetos Política de Grupo é obtida para o dispositivo. A lista pode depender desses fatores:

   • Se o dispositivo faz parte de um domínio e, portanto, sujeito a Política de Grupo por meio do Active Directory.
   • A localização do dispositivo no Active Directory.
   • Se a lista de objetos Política de Grupo foi alterada. Se a lista de objetos Política de Grupo não tiver sido alterada, nenhum processamento será feito.

3. A política de computador é aplicada. Essas configurações são as que estão em Configuração do Computador da lista coletada. Esse processo é síncrono por padrão e ocorre na seguinte ordem: local, site, domínio, unidade organizacional, unidade organizacional filho e assim por diante. Nenhuma interface do usuário é exibida enquanto as políticas de computador são processadas.

4. Os scripts de inicialização são executados. Esses scripts são ocultos e síncronos por padrão; cada script deve ser concluído ou um tempo limite antes que o próximo seja iniciado. O tempo limite padrão é de 600 segundos. Você pode usar várias configurações de política para modificar esse comportamento.

5. O usuário pressiona CTRL+ALT+DEL para entrar.

6. Depois que o usuário é validado, o perfil de usuário é carregado; é regido pelas configurações de política que estão em vigor.

7. Uma lista ordenada de objetos Política de Grupo é obtida para o usuário. A lista pode depender desses fatores:

   • Se o usuário faz parte de um domínio e, portanto, sujeito a Política de Grupo por meio do Active Directory.
   • Se o processamento de política de loopback está habilitado e, se for o caso, o estado (Mesclagem ou Substituição) da configuração da política de loopback.
   • A localização do usuário no Active Directory.
   • Se a lista de objetos Política de Grupo foi alterada. Se a lista de objetos Política de Grupo não tiver sido alterada, nenhum processamento será feito.

8. A política de usuário é aplicada. Essas configurações são as que estão em Configuração de Usuário da lista coletada. Essas configurações são síncronas por padrão e na seguinte ordem: local, site, domínio, unidade organizacional, unidade organizacional filho e assim por diante. Nenhuma interface do usuário é exibida enquanto as políticas de usuário são processadas.

9. Scripts de logon são executados. scripts de logon baseados em Política de Grupo são ocultos e assíncronos por padrão. O script do objeto de usuário é executado por último.

10. A interface do usuário do sistema operacional prescrita pelo Política de Grupo é exibida.

armazenamento de objetos Política de Grupo

Um GPO (Objeto Política de Grupo) é um objeto virtual identificado por um GUID (Identificador Globalmente Exclusivo) e armazenado no nível de domínio. As informações de configuração de política de um GPO são armazenadas nos dois locais a seguir:

• Política de Grupo contêineres no Active Directory.

  O contêiner Política de Grupo é um contêiner do Active Directory que contém propriedades GPO, como informações de versão, status de GPO, além de uma lista de outras configurações de componente.

• Política de Grupo modelos na pasta de volume do sistema de um domínio (SYSVOL).

  O modelo Política de Grupo é uma pasta do sistema de arquivos que inclui dados de política especificados por arquivos .admx, configurações de segurança, arquivos de script e informações sobre aplicativos disponíveis para instalação. O modelo Política de Grupo está localizado na pasta SYSVOL na <subpasta domain>\Policies.

A estrutura GROUP_POLICY_OBJECT fornece informações sobre um GPO em uma lista de GPO, incluindo o número de versão do GPO, um ponteiro para uma cadeia de caracteres que indica a parte do Active Directory do GPO e um ponteiro para uma cadeia de caracteres que especifica o caminho para a parte do sistema de arquivos do GPO.

Política de Grupo ordem de processamento

Política de Grupo configurações são processadas na seguinte ordem:

1. Objeto Política de Grupo local.

   Cada dispositivo que executa um sistema operacional Windows começando com o Windows XP tem exatamente um objeto Política de Grupo armazenado localmente.

2. Site.

   Todos os objetos Política de Grupo que foram vinculados ao site são processados em seguida. O processamento é síncrono e em uma ordem especificada.

3. Domínio.

   O processamento de vários objetos Política de Grupo vinculados ao domínio é síncrono e em uma ordem especificada.

4. Unidades organizacionais.

   Política de Grupo Objetos vinculados à unidade organizacional que é mais alta na hierarquia do Active Directory são processados primeiro e, em seguida, Política de Grupo Objetos vinculados à sua unidade organizacional filho e assim por diante. Por fim, os objetos Política de Grupo vinculados à unidade organizacional que contém o usuário ou o dispositivo são processados.

No nível de cada unidade organizacional na hierarquia do Active Directory, um, muitos ou nenhum objeto Política de Grupo pode ser vinculado. Se vários objetos Política de Grupo estiverem vinculados a uma unidade organizacional, o processamento deles será síncrono e, em uma ordem especificada.

Essa ordem significa que o objeto Política de Grupo local é processado primeiro e Política de Grupo Objetos vinculados à unidade organizacional da qual o computador ou usuário é um membro direto são processados por último, o que substitui os objetos Política de Grupo anteriores.

Essa ordem é a ordem de processamento padrão e os administradores podem especificar exceções a essa ordem. Um objeto Política de Grupo vinculado a um site, domínio ou unidade organizacional (não um objeto de Política de Grupo local) pode ser definido como Imposto em relação a esse site, domínio ou unidade organizacional, para que nenhuma de suas configurações de política possa ser substituída. Em qualquer site, domínio ou unidade organizacional, você pode marcar Política de Grupo herança seletivamente como Herança de Bloco. Política de Grupo Links de objeto definidos como Imposto sempre são aplicados, no entanto, e não podem ser bloqueados. Para obter mais informações, consulte Política de Grupo Basics – Parte 2: Entendendo quais GPOs aplicar.

Processamento de política de configurações de segurança

No contexto do processamento de Política de Grupo, a política de configurações de segurança é processada na ordem a seguir.

1. Durante Política de Grupo processamento, o mecanismo Política de Grupo determina quais políticas de configurações de segurança serão aplicadas.

2. Se houver políticas de configurações de segurança em um GPO, Política de Grupo invocará a extensão do lado do cliente configurações de segurança.

3. A extensão Configurações de Segurança baixa a política do local apropriado, como um controlador de domínio específico.

4. A extensão Configurações de Segurança mescla todas as políticas de configurações de segurança de acordo com as regras de precedência. O processamento é de acordo com a ordem de processamento Política de Grupo da OU (unidade local, site, domínio e organizacional), conforme descrito anteriormente na seção "Política de Grupo ordem de processamento". Se vários GPOs estiverem em vigor para um determinado dispositivo e não houver políticas conflitantes, as políticas serão cumulativas e serão mescladas.

   Este exemplo usa a estrutura do Active Directory mostrada na figura a seguir. Um determinado computador é um membro do OU2, ao qual o GPO GroupMembershipPolGPO está vinculado. Este computador também está sujeito ao GPO UserRightsPolGPO , que está vinculado ao OU1, mais alto na hierarquia. Nesse caso, não existem políticas conflitantes para que o dispositivo receba todas as políticas contidas nos GPOs UserRightsPolGPO e GroupMembershipPolGPO .

   Vários GPOs e a mesclagem da política de segurança

   

5. As políticas de segurança resultantes são armazenadas em secedit.sdb, o banco de dados de configurações de segurança. O mecanismo de segurança obtém os arquivos de modelo de segurança e os importa para secedit.sdb.

6. As políticas de configurações de segurança são aplicadas a dispositivos.A figura a seguir ilustra o processamento da política de configurações de segurança.

Processamento de política de configurações de segurança

Mesclagem de políticas de segurança em controladores de domínio

Políticas de senha, Kerberos e algumas opções de segurança só são mescladas de GPOs vinculados no nível raiz do domínio. Essa mesclagem é feita para manter essas configurações sincronizadas em todos os controladores de domínio no domínio. As seguintes opções de segurança são mescladas:

• Segurança de Rede: Forçar a saída quando as horas de entrada expirarem
• Contas: Status da conta de administrador
• Contas: Status da conta de convidado
• Contas: Renomear conta de administrador
• Contas: Renomear conta de convidado

Existe outro mecanismo que permite que as alterações na política de segurança feitas pelos administradores usando contas líquidas sejam mescladas no GPO da Política de Domínio Padrão. As alterações de direitos do usuário feitas usando APIs LSA (Autoridade de Segurança Local) são filtradas no GPO da Política de Controladores de Domínio Padrão.

Considerações especiais para controladores de domínio

Se um aplicativo estiver instalado em um PDC (controlador de domínio primário) com função mestra de operações (também conhecida como operações mestras individuais flexíveis ou FSMO) e o aplicativo fizer alterações nos direitos do usuário ou na política de senha, essas alterações deverão ser comunicadas para garantir que a sincronização entre controladores de domínio ocorra. Scesrv.dll recebe uma notificação de quaisquer alterações feitas no SAM (gerenciador de contas de segurança) e LSA que precisam ser sincronizadas entre controladores de domínio e incorpora as alterações no GPO da Política de Controlador de Domínio Padrão usando scecli.dll APIs de modificação de modelo.

Quando as configurações de segurança são aplicadas

Depois de editar as políticas de configurações de segurança, as configurações são atualizadas nos computadores da unidade organizacional vinculada ao objeto Política de Grupo nas seguintes instâncias:

• Quando um dispositivo é reiniciado.
• A cada 90 minutos em uma estação de trabalho ou servidor e a cada 5 minutos em um controlador de domínio. Esse intervalo de atualização é configurável.
• Por padrão, as configurações de política de segurança entregues por Política de Grupo também são aplicadas a cada 16 horas (960 minutos), mesmo que um GPO não tenha sido alterado.

Persistência da política de configurações de segurança

As configurações de segurança podem persistir mesmo que uma configuração não seja mais definida na política que a aplicou originalmente.

As configurações de segurança podem persistir nos seguintes casos:

• A configuração não foi definida anteriormente para o dispositivo.
• A configuração é para um objeto de segurança do registro.
• As configurações são para um objeto de segurança do sistema de arquivos.

Todas as configurações aplicadas por meio da política local ou por meio de um objeto Política de Grupo são armazenadas em um banco de dados local em seu computador. Sempre que uma configuração de segurança é modificada, o computador salva o valor da configuração de segurança no banco de dados local, que mantém um histórico de todas as configurações que foram aplicadas ao computador. Se uma política primeiro definir uma configuração de segurança e não definir mais essa configuração, a configuração assumirá o valor anterior no banco de dados. Se um valor anterior não existir no banco de dados, a configuração não será revertida para nada e permanecerá definida como está.Esse comportamento às vezes é chamado de "tatuagem".

As configurações de segurança do registro e do arquivo manterão os valores aplicados por meio de Política de Grupo até que essa configuração seja definida como outros valores.

Permissões necessárias para que a política seja aplicada

As permissões Aplicar Política de Grupo e Leitura são necessárias para que as configurações de um objeto Política de Grupo se apliquem a usuários ou grupos e computadores.

Política de segurança de filtragem

Por padrão, todos os GPOs têm Leitura e Aplicar Política de Grupo permitidos para o grupo Usuários Autenticados. O grupo Usuários Autenticados inclui usuários e computadores. As políticas de configurações de segurança são baseadas em computador. Para especificar quais computadores cliente terão ou não um objeto Política de Grupo aplicado a eles, você pode negar a eles a permissão Aplicar Política de Grupo ou Ler nesse objeto Política de Grupo. A alteração dessas permissões permite limitar o escopo do GPO a um conjunto específico de computadores em um site, domínio ou OU.

Migração de GPOs que contêm configurações de segurança

Em algumas situações, talvez você queira migrar GPOs de um ambiente de domínio para outro ambiente. Os dois cenários mais comuns são migração de teste para produção e migração de produção para produção. O processo de cópia de GPO tem implicações para alguns tipos de configurações de segurança.

Os dados de um único GPO são armazenados em vários locais e em vários formatos; alguns dados estão contidos no Active Directory e outros dados são armazenados no compartilhamento SYSVOL nos controladores de domínio. Determinados dados de política podem ser válidos em um domínio, mas podem ser inválidos no domínio ao qual o GPO está sendo copiado. Por exemplo, SIDs (Identificadores de Segurança) armazenados em configurações de política de segurança geralmente são específicos do domínio. Portanto, copiar GPOs não é tão simples quanto pegar uma pasta e copiá-la de um dispositivo para outro.

As políticas de segurança a seguir podem conter entidades de segurança e podem exigir mais trabalho para movê-las com êxito de um domínio para outro.

• Atribuição de direitos do usuário
• Grupos restritos
• Serviços
• Sistema de arquivos
• Registro
• O DACL de GPO, se você optar por preservá-lo durante uma operação de cópia

Para garantir que os dados sejam copiados corretamente, você pode usar Política de Grupo GpMC (Console de Gerenciamento). Quando há uma migração de um GPO de um domínio para outro, o GPMC garante que todos os dados relevantes sejam copiados corretamente. O GPMC também oferece tabelas de migração, que podem ser usadas para atualizar dados específicos do domínio para novos valores como parte do processo de migração. O GPMC oculta grande parte da complexidade envolvida nas operações de GPO de migração e fornece mecanismos simples e confiáveis para executar operações como cópia e backup de GPOs.

Nesta seção