Início > Uncategorized > Restringir usuários – atualizado em 01/12/2006

Restringir usuários – atualizado em 01/12/2006

A restrição para ações do usuário pode ser feita de várias formas, para vários tipos definidos. Seguem algumas sugestões e soluções.
 
Impedir acesso ao computador/servidor
Como administrador, execute o GPEDIT.MSC e na diretiva de segurança local ‘Usuários podem efetuar logon interativamente’ defina somente aqueles que podem acessar o computador.
 
Impedir acesso a configurações no Windows NT
Acesse o Police Editor (no Server) e defina o que será mostrado para o usuário. No Workstation, acesse o gerenciador de usuários da estação e defina os ‘direitos dos usuários’. Ou ainda usar o TweakUI, para outras versões do Windows, que é freeware, disponível para download em http://baixaki.ig.com.br/site/detail4089.htm
 
Impedir o acesso a certas páginas de Internet
Podemos instalar o Microsoft ISA Server ou o Squid no micro responsável pelo roteamento da conexão de Internet. O bloqueio por palavras chaves no Squid é o mais eficiente. Mas podemos também definir os endereços no arquivo HOSTS (e obviamente proteger o arquivo contra alteração e deleção pelas propriedades NTFS da unidade), criando blacklists no Active Directory em uma política de grupo (como sites restritos do IE), usar programas de bloqueio específicos (como o Scua, TerminatorX, iBlocker, WebFi – mais informações sobre estes aplicativos no tópico http://mediugorie.spaces.msn.com/blog/cns!1E5807A6D5723B60!302.entry)
 
Impedir acesso ao MSN Messenger em micros Windows XP
 
Impedir acesso a itens do Painel de Controle pelo registro do Windows
 
Impedir acesso a itens do Painel de Controle por GPO no Active Directory
 
Impedir a instalação de programas por usuários do XP/2000
Acesse o Painel de Controle e coloque o usuário como ‘Usuário Restrito’ nas propriedades da sua conta
 
Impedir acesso a determinado programa EXE
Podemos fazer alterando as propriedades NTFS do arquivo ou da pasta onde está o aplicativo, impedindo a leitura e execução. Se possui servidor, pode configurar no Active Directory (ou no GPEDIT.MSC local) o nome do arquivo EXE que deve ser proibida a execução. Ideal para bloquear a execução do Internet Explorer e dos jogos do Windows para determinados grupos de usuários sem a necessidade de desinstalação do aplicativo, mantendo disponível para outros usuários que podem executá-los.
Pode fazer através de diretivas locais de restrição de software, como mostrado em http://www.babooforum.com.br/idealbb/view.asp?topicID=152143
 
Impedir usuários de deletar/copiar e instalar/desinstalar programas
Se fosse apenas para impedir a ação de instalar/desinstalar, devemos adicionar ele no grupo de usuários restritos. Mas se queremos impedir a deleção e cópia, insira ele no grupo Convidados (Guest). Podemos ainda usar programas de terceiros, como o ProtectME, por exemplo.
 
Impedir downloads pelo Internet Explorer
Através das configurações do IE é possível. Entre em Ferramentas, Opções de Internet, Segurança, Zonas de Segurança, clique no ícone Internet e a seguir em Definir nível personalizado. Então escolha Bloquear para o item downloads (tanto de fontes como de arquivos). Se quiser outras informações sobre como bloquear downloads pelo Squid, AD, etc, veja o tópico http://mediugorie.spaces.msn.com/blog/cns!1E5807A6D5723B60!852.entry
 
Impedir o acesso a certas pastas e arquivos do computador
Altere as propriedades de Segurança NTFS do arquivo/pasta. Clique com o botão direito, escolha a aba Segurança, e adicione somente os usuários que podem ter acesso. Se a guia não aparece, vá em Painel de Controle, Opções de Pastas, Modos de Exibição, e desmarque ‘Usar compartilhamento simples de arquivos’. Não aparecerá senha, mas apenas os usuários listados acessarão. E somente administradores poderão se apropriar da pasta.
Existem aplicativos que fazem isto, como o Folderguard (versão lite para apenas uma pasta em http://www.winability.com/ ). Existe também outra opcão tupiniquim, o programa MV Folder Protector 3.04 – português – http://www.velasco.com.br/mvfolder-installer.zip (solicite por e-mail para mediugorie@hotmail.com porque não está disponível no site do autor…)
 
Impedir logon simultâneo em mais de uma estação da rede
No Windows 2000, podemos usar o CCONNECT, que faz parte do Resource Kit, para efetuar o controle de acessos de um mesmo login em mais de um computador. Para mais detalhes, veja http://support.microsoft.com/?kbid=237282
É necessário ter um servidor SQL instalado para poder gerenciar o controle de logins.
Outra forma é usar o compartilhamento de rede para limitar o login simultâneo. A sua vantagem é dispensar o uso do banco de dados SQL, mas não é recomendado quando se trata de empresas que exigem maior nível de segurança de sua network. Veja http://support.microsoft.com/default.aspx?scid=kb;en-us;260364 para mais informações.
Paleativamente, podemos usar o Active Directory para implementar um controle de acesso mais específico, máquina por máquina. Acesse as propriedades do usuário, guia Conta (Account), Logon on to…, e adicione o computador que a pessoa pode logar. Isto restringe a mobilidade da pessoa na rede, mas garante que somente um micro poderá ser acessado com aquele nome de usuário.
No Windows 2003, já tem a ferramenta LimitLogin disponível nativamente.
 
Impedir que o administrador de um computador tenha as restrições GPEDIT.MSC sobre ele também
 
Impedir o acesso ao compartilhamento padrão do Windows
Certifique-se que está certo desta ação, pois existem serviços que o utilizam na rede, principalmente se for no Windows 2000 Server. Acesse o registro do Windows (Iniciar/Executar/REGEDIT) e acesse a chave "HKLMSYSTEMCurrentControlSetServicesLanManServerParameters" Crie uma nova chave chamada "AutoShareWks", tipo DWORD com o valor 0 (zero), para Windows das versões Professional, tanto 2000 como do XP. Já a chave "AutoShareServer", com valor DWORD zero, é para Windows 2000 Server. Quer saber mais??? <http://support.microsoft.com/default.aspx?scid=kb;pt-br;314984>
 
Impedir acesso a dispositivos USB via software
Abra as Diretivas de Grupo indo em Iniciar > Executar GPEDIT.MSC, e abra a pasta de diretivas:
-> Configurações do UsuárioModelos AdministrativosComponentes do WindowsWindows Explorer
Localize entre as opções mostradas a sua direita a diretiva: Ocultar estas unidades especificadas em Meu Computador, dê dois cliques sobre essa diretiva e marque-a como ativada, então marque as unidades relacionadas no filtro, clique em Aplicar e esta pronto. Podemos fazer ainda pelo registro do Windows, ou por programas específicos, como listados em http://projeto7.spaces.msn.com/blog/cns!1419C12F550B876!110.entry 
 
Impedir acesso a dispositivos USB via hardware
Em cada terminal, entre como administrador; Acesse as propriedades do sistema (Win+Pause); Desative os dispositivos USB; Importante – não deixe usuários com perfil administrativo ou PowerUsers, porque eles poderiam ativar novamente a porta USB.
 
Bloquear a execução de determinados arquivos executáveis
 
Não permitir que um usuário acesse a máquina com sua senha
Acesse o computador como administrador. Entre no GPEDIT.MSC. Na chave Configuração do Computador, Configuração do Windows, Políticas locais de segurança, direitos do usuário, Logon local, informe o nome dos usuários que podem acessar o computador. Os que não estiverem na lista, estes não podem efetuar logon no computador.
 
Forçar o usuário a efetuar o login somente em determinados computadores da rede
Além da configuração descrita no item anterior, no Active Directory do servidor, acesse o usuário. Na sua guia de profile, no botão Logon on to… informe o nome dos computadores que ele pode efetuar login. Se o micro que ele tentar acessar não estiver nesta lista, ele não poderá efetuar login no domínio. Por este motivo é importante usar o item anterior, para evitar o login local, pois ele poderia fazer isto em outro micro sem ‘autorização’.
 
 
Está precisando bloquear ou impedir o uso de algum recurso/programa/componente do Windows ou Linux? Envie um comentário aqui neste post, e eu colocarei os procedimentos solicitados à disposição.
Categorias:Uncategorized
  1. Philipp
    4 de dezembro de 2006 às 15:11

    Bom dia,    Meu nome é Philipp, estou trabalhando como administrador de rede e tenho umas duvidas e espero que vc possa me ajudar com elas. Um dia cheguei no laboratorio que tomo conta e tinha uns alunos acessando os computadores com senhas de outros funcionários e outros com cds do linux que rodam direto do cd sem precisar instalar o sistema no computador. Queria saber como eu posso fazer para colocar uma senha logo quando o computador iniciar o boot, tipo que o computador só faça o boot e entre no windows se uma senha for digitada  e como colocar uma senha em cada pasta da rede, tipo uma senha individual para o usuario acessa-lá, primeiramente ele terá que ter essa senha, não importando que seja administrador ou um usuario qualquer. Essa senha não pode dar prioridade para ninguem, todos que tentem entrar na pasta terão que saber a senha.Muito Obrigado pela atenção, espero que possa me ajudar. 

  2. SERGIO LUIZ
    29 de dezembro de 2006 às 21:30

    Como restringir a utilizacao do micro/internet em um determinado periodo (00:00) as (06:00) com uma senha para possivel liberacao?
    Finalidade – Restringir o horario de uso por meus filhos ate altas horas. OBRIGADO E FELIZ 2007.

  1. No trackbacks yet.

Deixe uma resposta

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

%d blogueiros gostam disto: