Remover o computador da base de encaixe
Descreve as melhores práticas, a localização, os valores, o gerenciamento de política e as considerações de segurança da configuração de política de segurança Remover o computador da base de encaixe.
Referência
Esta configuração de segurança determina se um usuário pode desencaixar um dispositivo portátil da base de encaixe sem fazer logon. Esta configuração de política afeta apenas cenários que envolvem um computador portátil e a base de encaixe.
Caso esse direito de usuário seja atribuído à conta do usuário (ou caso o usuário seja um membro do grupo atribuído), o usuário deve fazer logon antes de remover o dispositivo portátil da base de encaixe. Do contrário, como medida de segurança, o usuário não poderá fazer logon depois que o dispositivo for removido da base de encaixe. Caso essa política não seja atribuída, o usuário pode remover o dispositivo portátil da base de encaixe sem fazer logon e ter a capacidade de iniciar e fazer logon no dispositivo depois no estado não encaixado.
Constante: SeUndockPrivilege
Valores possíveis
Lista de contas definida pelo usuário
Não definido
Práticas recomendadas
- Atribua esse direito de usuário apenas às contas com permissão para usar o dispositivo portátil.
Local
Configuração do Computador\Configurações do Windows\Configurações de Segurança\Políticas Locais\Atribuição de Direitos de Usuário
Valores padrão
Embora esse cenário de dispositivo portátil não se aplique normalmente a servidores, por padrão, essa configuração é Administradores em controladores de domínio e em servidores autônomos.
A tabela a seguir lista os valores padrão reais e efetivos da política. Os valores padrão também estão listados na página de propriedades da política.
| Tipo de servidor ou GPO | Valor padrão |
|---|---|
Política de Domínio Padrão |
Não definido |
Política do Controlador de Domínio Padrão |
Administradores |
Configurações Padrão de Servidor Autônomo |
Administradores |
Configurações padrão efetivas do controlador de domínio |
Administradores |
Configurações padrão efetivas do servidor membro |
Administradores |
Configurações padrão efetivas do computador cliente |
Administradores |
Gerenciamento de políticas
Esta seção descreve recursos, ferramentas e orientações que ajudam você a gerenciar essa política.
Não é necessário reiniciar o dispositivo para que essa configuração de política entre em vigor.
Qualquer alteração na atribuição de direitos de usuário de uma conta entrará em vigor na próxima vez que o proprietário da conta fizer logon.
Política de Grupo
As configurações serão aplicadas na seguinte ordem por meio de um GPO (Objeto de Política de Grupo), o que substituirá as configurações no computador local na próxima atualização da Política de Grupo:
Configurações de política local
Configurações de política de site
Configurações de política de domínio
Configurações de política de UO
Quando uma configuração local está esmaecida, isso indica que um GPO controla no momento essa configuração.
Considerações sobre a segurança
Esta seção descreve como um invasor pode explorar um recurso ou sua configuração, como implementar a contramedida e as possíveis consequências negativas da implementação de contramedidas.
Vulnerabilidade
Quem tem o direito de usuário Remover o computador da base de encaixe pode fazer logon e remover um dispositivo portátil da base de encaixe. Caso essa configuração não esteja definida, ela teria o mesmo efeito se esse direito tivesse sido concedido a todos. No entanto, o valor da implementação dessa contramedida é reduzido pelos seguintes fatores:
Se pudessem reiniciar o dispositivo, os invasores conseguiriam removê-lo da base de encaixe após a inicialização do BIOS, mas antes da inicialização do sistema operacional.
Essa configuração não afeta os servidores porque eles normalmente não são instalados em bases de encaixe.
Um invasor pode roubar o dispositivo e a base de encaixe juntos.
Os dispositivos que podem ser desencaixados mecanicamente podem ser fisicamente removidos pelo usuário, usando a funcionalidade de desencaixe do Windows ou não.
Contramedida
Assegure-se de que apenas o grupo local Administradores e a conta de usuário para a qual o dispositivo está alocado recebam o direito de usuário Remover o computador da base de encaixe.
Impacto em potencial
Por padrão, somente membros do grupo local Administradores recebem esse direito. Outras contas de usuário devem receber explicitamente esse direito de usuário conforme necessário. Caso não sejam membros do grupo Administradores local nos dispositivos portáteis, os usuários da organização não podem remover os dispositivos portáteis das bases de encaixe se não desligarem o dispositivo primeiro. Portanto, convém atribuir o privilégio Remover o computador da base de encaixe ao grupo de usuários local para dispositivos portáteis.