Acessos às estações de trabalho:

Para que os usuários tenham acesso às estações de trabalho, elas deverão seguir os seguintes requisitos técnicos iniciais:

Princípio do Menor Privilégio:

• • Evitar que os sistemas operacionais das estações de trabalho institucionais sejam utilizados com privilégios de “Administrador” ou “root” pelos usuários.

  • O usuário principal do equipamento deve operar com uma conta de usuário padrão, sem privilégios administrativos locais permanentes.

  • A elevação de privilégios para instalação de software ou alteração de configurações deve ser controlada pela equipe de TI ou realizada por meio de uma conta administrativa separada e de uso pontual.

Criação de contas individuais: 

• • • Usuários distintos no sistema operacional para cada pessoa, mantendo a obrigatoriedade de definição de uma senha individual e intransferível.

• • • Contas Microsoft (Windows): Desabilitar a opção que permite o uso de contas Microsoft de usuários em sistemas Windows, priorizando contas de domínio ou locais.

• • 

    Instruções de como fazer este procedimento de forma manual.

  • 

    Instruções de como fazer este procedimento através de GPO.

Bloqueio de Tela Obrigatório:

1. Configurar bloqueio automático da tela das estações institucionais

   :
   

    

    

    

    

    

3. Em ambientes institucionais sugere-se o tempo de 10 minutos de inatividade;

    

4.  

7. 
   

   Em ambientes públicos ou compartilhados de 5 minutos de inatividade; 

11. 

    Utilizando para desbloqueio a senha, PIN, digital ou outro mecanismo de acesso exclusivo do usuário e disponibilizado pelo sistema operacional;

12.  

    • 

      Instruções de como fazer este procedimento de forma manual.

    • 

      Instruções de como fazer este procedimento através de GPO.

Segurança Avançada:

Estações de trabalho institucionais utilizadas por servidores que, devido às suas atribuições, necessitem de acessos de gerenciamento de infraestruturas ou a sistemas e dados classificados como críticos ou confidenciais, deverão ser configuradas e mantidas pela equipe de TI em conformidade com as seguintes diretrizes de segurança avançada:

• 

  Criptografía de Dispositivo: A criptografía de de dispositivo, seja disco completo ou específica do sistema operacional (ex: BitLocker para Windows nas versões PRO, FileVault para mac OS, LUKS para Linux, etc) deve ser obrigatoriamente ativada para proteger os dados em repouso em caso de perda ou roubo do equipamento, especialmente em notebooks.

  Referência técnica: https://support.microsoft.com/pt-br/windows/encripta%C3%A7%C3%A3o-de-dispositivos-no-windows-cf7e2b6f-3e70-4882-9532-18633605b7df