Determina se administradores e operadores de configuração de rede podem alterar as propriedades de componentes usados por uma conexão de rede local. Show
Essa configuração determina se o botão Propriedades dos componentes de uma conexão de rede local está habilitado. Se você habilitar essa configuração (e habilitar a configuração "Habilitar Configurações de Conexões de Rede para Administradores"), o botão Propriedades será desabilitado para administradores. Os operadores de configuração de rede são proibidos de acessar componentes de conexão, independentemente da configuração "Habilitar Configurações de Conexões de Rede para Administradores". Importante: se "Habilitar Configurações de Conexões de Rede para Administradores" for desabilitada ou não for configurada, essa configuração não será aplicada aos administradores em computadores com versões posteriores ao Windows 2000. Se você desabilitar essa configuração ou não a definir, o botão Propriedades será habilitado para administradores e operadores de configuração de rede. A caixa de diálogo Propriedades de Conexão de Rede Local contém uma lista dos componentes de rede usados pela conexão. Para exibir ou alterar as propriedades de um componente, clique no nome do componente e no botão Propriedades abaixo da lista de componentes. Observação: nem todos os componentes de rede têm propriedades configuráveis. Para componentes que não são configuráveis, o botão Propriedades está sempre desabilitado. Observação: quando a configuração "Proibir o acesso a propriedades de uma conexão de rede local" é habilitada, os usuários têm o acesso bloqueado ao botão Propriedades para componentes de conexões de rede local. Observação: os operadores de configuração de rede têm permissão apenas para alterar propriedades TCP/IP. As propriedades de todos os outros componentes não estão disponíveis para esses usuários. Observação: usuários que não são administradores são proibidos de acessar as propriedades de componentes para uma conexão de rede local, independentemente desta configuração. Suporte em: Somente os sistemas operacionais Microsoft Windows Server 2003, Windows XP e Windows 2000 Service Pack 1
networkconnections.admx Avançar para o conteúdo principal Não há mais suporte para esse navegador. Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes. Configurações de política de segurança
Neste artigoAplicável ao
Este tópico de referência descreve os cenários, arquitetura e processos comuns para configurações de segurança. As configurações de política de segurança são regras que os administradores configuram em um computador ou em vários dispositivos para proteger recursos em um dispositivo ou rede. A extensão De configurações de segurança do snap-in editor local Política de Grupo permite definir configurações de segurança como parte de um GPO (objeto Política de Grupo). Os GPOs são vinculados a contêineres do Active Directory, como sites, domínios ou unidades organizacionais, e permitem que você gerencie configurações de segurança para vários dispositivos de qualquer dispositivo ingressado no domínio. As políticas de configurações de segurança são usadas como parte de sua implementação geral de segurança para ajudar a proteger controladores de domínio, servidores, clientes e outros recursos em sua organização. As configurações de segurança podem controlar:
Para gerenciar configurações de segurança para vários dispositivos, você pode usar uma das seguintes opções:
Para obter mais informações sobre como gerenciar configurações de segurança, consulte Administrar configurações de política de segurança. A extensão Configurações de Segurança do Editor de Política de Grupo Local inclui os seguintes tipos de políticas de segurança:
Gerenciamento de configurações de segurança baseadas em políticasA extensão configurações de segurança Política de Grupo fornece uma infraestrutura de gerenciamento integrada baseada em políticas para ajudá-lo a gerenciar e impor suas políticas de segurança. Você pode definir e aplicar políticas de configurações de segurança a usuários, grupos e servidores de rede e clientes por meio do Política de Grupo e Active Directory Domain Services (AD DS). Um grupo de servidores com a mesma funcionalidade pode ser criado (por exemplo, um servidor Microsoft Web (IIS) e, em seguida, objetos Política de Grupo podem ser usados para aplicar configurações de segurança comuns ao grupo. Se mais servidores forem adicionados a esse grupo posteriormente, muitas das configurações de segurança comuns serão aplicadas automaticamente, reduzindo a implantação e o trabalho administrativo. Cenários comuns para usar políticas de configurações de segurançaAs políticas de configurações de segurança são usadas para gerenciar os seguintes aspectos de segurança: política de contas, política local, atribuição de direitos de usuário, valores de registro, ACLs (listas de Controle de Acesso de arquivo e registro), modos de inicialização de serviço e muito mais. Como parte de sua estratégia de segurança, você pode criar GPOs com políticas de configurações de segurança configuradas especificamente para as várias funções em sua organização, como controladores de domínio, servidores de arquivos, servidores membros, clientes e assim por diante. Você pode criar uma estrutura de UO (unidade organizacional) que agrupa os dispositivos de acordo com suas funções. O uso de UOs é o melhor método para separar requisitos de segurança específicos para as diferentes funções em sua rede. Essa abordagem também permite aplicar modelos de segurança personalizados a cada classe de servidor ou computador. Depois de criar os modelos de segurança, você cria um novo GPO para cada uma das UOs e importa o modelo de segurança (arquivo .inf) para o novo GPO. Importar um modelo de segurança para um GPO garante que todas as contas às quais o GPO é aplicado recebam automaticamente as configurações de segurança do modelo quando as configurações de Política de Grupo são atualizadas. Em uma estação de trabalho ou servidor, as configurações de segurança são atualizadas em intervalos regulares (com um deslocamento aleatório de no máximo 30 minutos) e, em um controlador de domínio, esse processo ocorrerá a cada poucos minutos se ocorrerem alterações em qualquer uma das configurações de GPO que se aplicam. As configurações também são atualizadas a cada 16 horas, independentemente de alguma alteração ter ocorrido ou não. Observação Essas configurações de atualização variam entre as versões do sistema operacional e podem ser configuradas. Usando configurações de segurança baseadas em Política de Grupo em conjunto com a delegação de administração, você pode garantir que configurações de segurança, direitos e comportamento específicos sejam aplicados a todos os servidores e computadores em uma UO. Essa abordagem simplifica a atualização de muitos servidores com outras alterações necessárias no futuro. Dependências de outras tecnologias do sistema operacionalPara dispositivos que são membros de um domínio do Windows Server 2008 ou posterior, as políticas de configurações de segurança dependem das seguintes tecnologias:
Políticas de configurações de segurança e Política de GrupoA extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte do conjunto de ferramentas Configuration Manager segurança. Os seguintes componentes estão associados às Configurações de Segurança: um mecanismo de configuração; um mecanismo de análise; uma camada de interface de modelo e banco de dados; lógica de integração de instalação; e a secedit.exe de linha de comando. O mecanismo de configuração de segurança é responsável por lidar com solicitações de segurança relacionadas ao editor de configuração de segurança para o sistema no qual ele é executado. O mecanismo de análise analisa a segurança do sistema para uma determinada configuração e salva o resultado. A camada de interface do modelo e do banco de dados lida com solicitações de leitura e gravação de e para o modelo ou banco de dados (para armazenamento interno). A extensão Configurações de Segurança do Editor Política de Grupo Local manipula Política de Grupo de um dispositivo local ou baseado em domínio. A lógica de configuração de segurança integra-se à instalação e gerencia a segurança do sistema para uma instalação limpa ou atualização para um sistema operacional Windows mais recente. As informações de segurança são armazenadas em modelos (arquivos .inf) ou no banco de dados Secedit.sdb. O diagrama a seguir mostra as Configurações de Segurança e os recursos relacionados. Políticas de configurações de segurança e recursos relacionados
Arquitetura de extensão de Configurações de SegurançaA extensão Configurações de Segurança do Editor de Política de Grupo Local faz parte das ferramentas de Configuration Manager segurança, conforme mostrado no diagrama a seguir. Arquitetura de configurações de segurança As ferramentas de configuração e análise de configurações de segurança incluem um mecanismo de configuração de segurança, que fornece computador local (membro não domínio) e configuração baseada em Política de Grupo-based e análise de políticas de configurações de segurança. O mecanismo de configuração de segurança também dá suporte à criação de arquivos de política de segurança. Os principais recursos do mecanismo de configuração de segurança são scecli.dll e scesrv.dll. A lista a seguir descreve esses principais recursos do mecanismo de configuração de segurança e outros recursos relacionados às Configurações de Segurança.
Processos e interações da política de configurações de segurançaPara um dispositivo ingressado no domínio, em que Política de Grupo é administrado, as configurações de segurança são processadas em conjunto com Política de Grupo. Nem todas as configurações são configuráveis. Política de Grupo processamentoQuando um computador é iniciado e um usuário entra, a política de computador e a política de usuário são aplicadas de acordo com a seguinte sequência:
Política de Grupo de objetosUm POLÍTICA DE GRUPO (GPO) é um objeto virtual identificado por um GUID (Identificador Global Exclusivo) e armazenado no nível de domínio. As informações de configuração de política de um GPO são armazenadas nos dois locais a seguir:
A estrutura GROUP_POLICY_OBJECT fornece informações sobre um GPO em uma lista de GPO, incluindo o número de versão do GPO, um ponteiro para uma cadeia de caracteres que indica a parte do Active Directory do GPO e um ponteiro para uma cadeia de caracteres que especifica o caminho para a parte do sistema de arquivos do GPO. Política de Grupo de processamentoPolítica de Grupo configurações são processadas na seguinte ordem:
No nível de cada unidade organizacional na hierarquia do Active Directory, um, muitos ou Política de Grupo objetos podem ser vinculados. Se vários Política de Grupo objetos forem vinculados a uma unidade organizacional, o processamento deles será síncrono e em uma ordem especificada por você. Essa ordem significa que o objeto Política de Grupo local é processado primeiro e os objetos Política de Grupo que estão vinculados à unidade organizacional da qual o computador ou usuário é um membro direto são processados por último, o que substitui os objetos Política de Grupo anteriores. Essa ordem é a ordem de processamento padrão e os administradores podem especificar exceções a essa ordem. Um objeto Política de Grupo vinculado a um site, domínio ou unidade organizacional (não um objeto Política de Grupo local) pode ser definido como Imposto em relação a esse site, domínio **** ou unidade organizacional, para que nenhuma de suas configurações de política possa ser substituída. Em qualquer site, domínio ou unidade organizacional, você pode marcar Política de Grupo herança seletivamente como Herança de Bloco. Política de Grupo links de objeto definidos como Imposto são sempre aplicados, no entanto, e não podem ser bloqueados. Para obter mais informações, consulte Política de Grupo Básico – Parte 2: Noções básicas sobre quais GPOs aplicar. Processamento de política de configurações de segurançaNo contexto de Política de Grupo processamento, a política de configurações de segurança é processada na ordem a seguir.
Processamento de política de configurações de segurança Mesclagem de políticas de segurança em controladores de domínioAs políticas de senha, Kerberos e algumas opções de segurança são mescladas apenas de GPOs vinculados no nível raiz do domínio. Essa mesclagem é feita para manter essas configurações sincronizadas em todos os controladores de domínio no domínio. As seguintes opções de segurança são mescladas:
Existe outro mecanismo que permite que as alterações de política de segurança feitas pelos administradores usando contas líquidas sejam mescladas no GPO de Política de Domínio Padrão. As alterações de direitos de usuário feitas usando APIs de LSA (Autoridade de Segurança Local) são filtradas para o GPO da Política de Controladores de Domínio Padrão. Considerações especiais para controladores de domínioSe um aplicativo for instalado em um PDC (controlador de domínio primário) com função mestra de operações (também conhecida como operações mestras individuais flexíveis ou FSMO) e o aplicativo fizer alterações nos direitos do usuário ou na política de senha, essas alterações deverão ser comunicadas para garantir que a sincronização entre controladores de domínio ocorra. Scesrv.dll recebe uma notificação de quaisquer alterações feitas no SAM (gerenciador de contas de segurança) e LSA que precisam ser sincronizadas entre controladores de domínio e incorpora as alterações no GPO de Política do Controlador de Domínio Padrão usando APIs de modificação de modelo do scecli.dll. Quando as configurações de segurança são aplicadasDepois de editar as políticas de configurações de segurança, as configurações são atualizadas nos computadores na unidade organizacional vinculada ao objeto Política de Grupo nas seguintes instâncias:
Persistência da política de configurações de segurançaAs configurações de segurança podem persistir mesmo que uma configuração não esteja mais definida na política que a aplicou originalmente. As configurações de segurança podem persistir nos seguintes casos:
Todas as configurações aplicadas por meio da política local ou por meio de um objeto Política de Grupo são armazenadas em um banco de dados local em seu computador. Sempre que uma configuração de segurança é modificada, o computador salva o valor da configuração de segurança no banco de dados local, que mantém um histórico de todas as configurações que foram aplicadas ao computador. Se uma política definir primeiro uma configuração de segurança e, em seguida, não definir mais essa configuração, a configuração assume o valor anterior no banco de dados. Se um valor anterior não existir no banco de dados, a configuração não será revertida para nada e permanecerá definida como está. Às vezes, esse comportamento é chamado de "tatuagem". As configurações de segurança de registro e arquivo manterão os valores aplicados por meio Política de Grupo até que essa configuração seja definida para outros valores. Permissões necessárias para que a política seja aplicadaAs permissões Política de Grupo e Leitura são necessárias para que as configurações de um objeto Política de Grupo se apliquem a usuários ou grupos e computadores. Política de segurança de filtragemPor padrão, todos os GPOs têm leitura e aplicação Política de Grupo permitidos para o grupo Usuários Autenticados. O grupo Usuários Autenticados inclui usuários e computadores. As políticas de configurações de segurança são baseadas em computador. Para especificar quais computadores cliente terão ou não um objeto Política de Grupo aplicado a eles, você pode negar a eles a permissão Aplicar Política de Grupo ou Ler nesse objeto Política de Grupo. Alterar essas permissões permite limitar o escopo do GPO a um conjunto específico de computadores em um site, domínio ou UO. Observação Não use a filtragem de política de segurança em um controlador de domínio, pois isso impediria a aplicação da política de segurança a ele. Migração de GPOs que contêm configurações de segurançaEm algumas situações, talvez você queira migrar GPOs de um ambiente de domínio para outro. Os dois cenários mais comuns são migração de teste para produção e migração de produção para produção. O processo de cópia de GPO tem implicações para alguns tipos de configurações de segurança. Os dados de um único GPO são armazenados em vários locais e em vários formatos; alguns dados estão contidos no Active Directory e outros dados são armazenados no compartilhamento SYSVOL nos controladores de domínio. Determinados dados de política podem ser válidos em um domínio, mas podem ser inválidos no domínio para o qual o GPO está sendo copiado. Por exemplo, os SIDs (Identificadores de Segurança) armazenados nas configurações de política de segurança geralmente são específicos do domínio. Portanto, copiar GPOs não é tão simples quanto pegar uma pasta e copiá-la de um dispositivo para outro. As políticas de segurança a seguir podem conter entidades de segurança e podem exigir mais trabalho para movê-las com êxito de um domínio para outro.
Para garantir que os dados sejam copiados corretamente, você pode usar Política de Grupo Console de Gerenciamento (GPMC). Quando há uma migração de um GPO de um domínio para outro, o GPMC garante que todos os dados relevantes sejam copiados corretamente. O GPMC também oferece tabelas de migração, que podem ser usadas para atualizar dados específicos do domínio para novos valores como parte do processo de migração. O GPMC oculta grande parte da complexidade envolvida nas operações de migração de GPO e fornece mecanismos simples e confiáveis para executar operações como cópia e backup de GPOs. Nesta seção
ComentáriosEnviar e exibir comentários de Qual componente de controle de acesso implementação ou protocolo controla o que os usuários podem fazer na rede?Qual componente de controle de acesso, implementação ou protocolo audita quais ações de usuários são executadas na rede? Explicação: A última prancha na estrutura AAA é a contabilidade, que mede os recursos que um usuário consome durante o acesso.
Qual guia permite que um administrador de rede configure uma WLAN específica com uma política WPA2?Clique na guia Segurança para acessar todas as opções disponíveis para proteger a LAN. O administrador da rede deseja proteger a camada 2 com WPA2-PSK. WPA2 e 802.1X são configurados por padrão.
Qual método de autenticação armazena nomes de usuário e senhas no roteador e é ideal para redes pequenas?Autenticação AAA Local
AAA local armazena nomes de usuário e senhas localmente em um dispositivo de rede como o roteador Cisco. Os usuários se autenticam no banco de dados local, conforme mostrado na figura. AAA local é ideal para redes pequenas. O cliente estabelece uma conexão com o roteador.
|