Usando a ferramenta DCGPOFix para restaurar GPOs do Windows Server 2003

Publicado em:
08/01/2011

Fonte:: www.technetbrasil.com.br

Introdução

O Administrador da rede por alguma razão pode efetuar algumas configurações
do Group Policy aonde através destas configurações realizada o mesmo poderá
trazer danos ou conflitos no sistema operacional Windows Server 2003®.

Para isto a Microsoft disponibiliza uma ferramenta chamada DCGPOFix aonde com sua execução as GPOs do Windows Server 2003® são restauradas.

O DCGPOFix é executado através do prompt de comando do Windows Server 2003®.

A ferramenta DCGPOFix.exe fica localizada na pasta C:\Windows\System32.

Abaixo coloco a Sintaxe e os Parâmetros desta ferramenta.

Observações

* Você deve ser um administrador do domínio para usar esta ferramenta.

* As opções como Softwares, Certificados e configurações de segurança do
Internet Explorer não são restauradas.

* Esta ferramenta só pode ser usada em uma versão Whistler ou posterior do
produto.

Sintaxe

DCGPOFix [/Target: Domain | DC | BOTH]

Parâmetros

/Target: Domain
Specifies the target domain name.
/DC Domain
Controller
Specifies the target domain controller name.
/BOTH Domain and
Domain Controller
Specifies both the target Domain name and Domain
Controller name.

Exemplo

O exemplo abaixo mostra com usar comando DCGPOFix

DCGPOFix /Target: MyDomain | DC

Como utilizar a ferramenta DCGPOfix:

Siga os passos descritos abaixo para que você consiga restaurar as GPOs
padrões do Sistema Operacional Windows Server 2003®.

Clique no menu iniciar > executar e digite cmd e pressione Enter conforme
figura abaixo:

Cc668485.clip_image001(pt-br,TechNet.10).jpg

– Logo após no prompt de comando digite dcgpofix e pressione Enter conforme
figura abaixo

Cc668485.dcgpofix_clip_image002(pt-br,TechNet.10).jpg

– Leia as informações e pressione a tecla Y (figura abaixo)

Cc668485.dcgpofix_clip_image003(pt-br,TechNet.10).jpg

– Leia novamente a mensagem de aviso e pressione Y

Cc668485.dcgpofix_clip_image004(pt-br,TechNet.10).jpg

– Em seguida será exibida a informação que as GPOs foram restauradas com
sucesso. (Figura abaixo):

Cc668485.dcgpofix_clip_image005(pt-br,TechNet.10).jpg

• Visite regularmente o site www.microsoft.com/windowsserver2003
para obter mais informações sobre o sistema operacional Windows Server
2003®..

[  ]’s

GPO – Bloqueando um arquivo executável utilizando seu hash

 

Publicado em:
04/01/2011
 
 
 
Visão Geral: 
 
 

Bloqueando um arquivo executável utilizando seu hash

Uma maneira muito fácil de bloquear arquivos executáveis no Controlador de Domínio utilizando Windows Server 2003 através do hash deste arquivo.

Olá amigos. Nesta matéria vamos configurar uma GPO para bloquear um arquivo executável por intermédio de seu hash. Para quem não sabe hash é um “código” gerado a partir de algumas variantes, como tamanho do arquivo juntamente com algumas informações internas dele. Com este método, o bloqueio feito por essa sequência de letras e caracteres, impede que esses arquivos sejam executados em estações de trabalho do Domínio. Vamos às configurações:

A ferramenta utilizada foi o GPMC (Console do gerenciamento do group policy). Se não tiver ele em mãos, pode ser baixado aqui. Entre no GPMC. A interface dele é ilustrada na figura abaixo. Expanda seu Domínio, clicando no sinal de “+” .

Após expandir o Domínio, clique com o botão direito do mouse em “Default Domain Policy” e clique em “Edit”:

Abrirá outra janela que é o “Editor de objeto de diretiva de grupo”. Nesta tela ilustrada abaixo, podemos notar que existe a possibilidade de editar a diretiva pelas configurações do computador ou pelas configurações do usuário.

Nosso objetivo é bloquear o executável por qualquer computador do Domínio. Em “Configuração do computador”, expanda “Configurações do Windows”, expanda “Configurações de segurança”, e com botão direito do mouse em “Diretivas de restrição de software”, escolha “Novas diretivasde restrição de software”. Veja abaixo como fica:

Agora expanda “Diretivas de restrição de software”, com botão direito do mouse clique em “Regras adicionais” e escolha a opção “Nova regra de hash…” ( falaremos das outras regras numa outra oportunidade…). Veja a figura abaixo para melhor acompanhamento:

Na tela seguinte, na Nova regra de hash, clique no botão “Procurar…”

E aponte para o arquivo executável…No nosso caso, o arquivo sol.exe (jogo paciência), localizado no desktop. Clique em abrir.

Perceba a sequência de caracteres em “Hash do arquivo”. Mais abaixo temos as informacoes do arquivo e mais abaixo ainda, o que iremos fazer com ele, neste caso, nao permitir sua execução.

Clicando em “OK”, voltamos para a tela anterior e perceba que a regra ja está na lista de regras adicionais.

O próximo passo é atualizar a GPO. Isto é feito com o comando “gpupdate” na linha de comando do DOS. Veja a seguir que as atualizações foram feitas.

O passo seguinte é fazer o logoff e na sequência, o logon do usuário.

Tentando executar o arquivo aparecerá a mensagem da restrição.

Tente renomear ou mudar o arquivo de lugar e verá que o bloqueio também é feito, pois as informações para a regra estão nas informações internas do arquivo.

É isso.  até a próxima!

[ ]’s