Bloqueando o botão Desligar no Windows Server 2025: mais controle e menos indisponibilidade
Com a chegada do Windows Server 2025, as organizações passam a contar com uma plataforma ainda mais robusta, segura e preparada para ambientes corporativos críticos. No entanto, independentemente da versão do sistema operacional, um dos riscos mais comuns (e muitas vezes negligenciados) em servidores é a interrupção acidental causada por ações simples do usuário — como o uso indevido do botão Desligar no menu de energia.
Em ambientes de produção, um desligamento não planejado pode resultar em interrupções de serviços essenciais, impacto direto no negócio, perda de sessões ativas e até riscos de corrupção de dados. Por isso, medidas de hardening e controle de experiência do usuário continuam sendo fundamentais na administração de servidores.
Neste post, vamos abordar como criar uma Política de Grupo (GPO) no Windows Server 2025 para bloquear o botão Desligar e Reiniciar nos servidores, utilizando recursos nativos do Active Directory. A ideia é simples, mas extremamente eficaz: reduzir falhas operacionais causadas por erro humano, mantendo a governança e a previsibilidade do ambiente.
Ao longo do conteúdo, você verá:
- Por que essa configuração é relevante em ambientes corporativos
- Como aplicar a política de forma centralizada via GPO
- Boas práticas para uso de Loopback Processing em servidores
- Como tratar exceções sem comprometer a política global
Se você administra servidores Windows e busca mais controle, segurança operacional e maturidade no uso de GPOs, essa é uma configuração que definitivamente merece fazer parte do seu padrão.
- Área de tecnologia principal: Windows Server
- Áreas de tecnologia adicional: Datacenter Management (Group Policy, System Center)
Como criar uma política de grupo no Windows Server 2025 que desativa o botão de desligar o servidor para uma parte das equipes, evitando o famoso “desligamento acidental”.
Se você não tem o domínio atualizado (Windows Server 2025), será necessário baixar os templates ADMX do Windows Server 2025 e copiar para dentro da PolicyDefinitions antes de seguir para as configurações.
O primeiro passo seria criar a GPO percorrendo o seguinte caminho:
Computer Configuration --> Policies --> Administrative Templates --> System --> Group Policy --> Configure user Group Policy loopback processing mode.
A diretiva “Configure user Group Policy loopback processing mode” (Processamento de loopback da Diretiva de Grupo de usuário) é usada em ambientes de domínio do Microsoft Windows Server para controlar como as políticas de usuário são aplicadas quando alguém faz login em um computador específico.
Normalmente, no Active Directory:
Políticas de computador → aplicadas com base no objeto do computador (OU onde ele está).
Políticas de usuário → aplicadas com base no objeto do usuário (OU do usuário).
Ou seja, o usuário “leva suas configurações” para qualquer máquina.
Quando você ativa essa GPO, você muda esse comportamento padrão. Com o loopback habilitado as configurações de usuário passam a depender do computador onde o login acontece, e não apenas do usuário.
O próximo passo é configurar o bloqueio por chave de registro. Aqui todo cuidado é pouco e você deve testar antes de colocar em produção.
Vá para User Configuration --> Preferences --> Windows Settings --> Registry
Lá dentro crie uma noma chave seguindo estes parâmetros abaixo:
Campo | Valor |
Action | Update |
Hive | HKEY_CURRENT_USER |
Key Path | Software\Microsoft\Windows\CurrentVersion\Policies\Explorer |
Value name | NoClose |
Value type | REG_DWORD |
Value data | 1 |
O que esse valor faz?
Remove Desligar
Remove Reiniciar
Remove Suspender
Remove opções da tela Ctrl+Alt+Del
Funciona no Menu Iniciar e Server Core com GUI
Essa GPO cria/atualiza um valor no Registro do Windows:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Explicando campo por campo
Action: Update
Define o comportamento da GPO sobre o registro:
Create → cria apenas se não existir
Replace → apaga e recria sempre
Update → cria se não existir ou atualiza se já existir
Delete → remove o valor
Aqui, o “Update” garante que o valor sempre será ajustado para 1.
Hive: HKEY_CURRENT_USER (HKCU)
Indica onde a chave será aplicada.
HKCU = configurações do usuário logado
Não é global da máquina
Ou seja:
Cada usuário que receber essa GPO terá essa restrição.
Key Path:
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Esse caminho é uma área padrão de políticas do Windows ligada ao Windows Explorer.
Tudo que fica em Policies\Explorer controla comportamentos da interface do usuário.
Value Name: NoClose
Esse é o nome do valor de registro.
NoClose é uma configuração conhecida do Windows que:
Remove o botão Desligar
Remove opções de energia do menu iniciar
Pode impedir shutdown via interface gráfica
Value Type: REG_DWORD
Tipo do valor:
DWORD = número inteiro (32 bits)
Usado para ativar/desativar políticas
Value Data: 1
Valor que define o comportamento:
0 = desativado (permite desligar)
1 = ativado (bloqueia desligar)
Base: Hexadecimal / Decimal
Só muda como o número é exibido:
Hexadecimal → base 16
Decimal → base 10
Aqui não faz diferença prática (1 = 1)
Resultado final dessa GPO
Quando aplicada:
- O usuário NÃO verá opções como:
- Desligar
- Reiniciar
- Suspender
- Isso vale para:
- Menu Iniciar
- Ctrl + Alt + Del
- Algumas interfaces do sistema
Pontos importantes
1. Não impede tudo
- Usuário ainda pode desligar via:
- Linha de comando (shutdown)
- Botão físico (dependendo da política)
- Para bloqueio completo, precisa combinar com outras GPOs.
A próxima configuração é a seguinte
Essa figura mostra a configuração de uma Preferência de Política de Grupo (Group Policy Preference – GPP) no Windows, usada para criar ou modificar uma chave do Registro com o objetivo de bloquear o menu de contexto do Windows Explorer (menu do botão direito do mouse).
O que isso significa
A política é aplicada por usuário, não por computador.
É uma Preferência, não uma Policy tradicional:
Preferências não “tatuam” o sistema por padrão (podem ser revertidas)
São aplicadas durante logon/atualização do GPO
Está atuando diretamente no Registro do Windows
Hive: HKEY_CURRENT_USER (HKCU)
- Define em qual “colmeia” do Registro a alteração será feita.
- HKCU = Configuração do usuário logado
- Combina com o fato de estar em User Configuration
- Cada usuário terá essa configuração aplicada individualmente.
Key Path:
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Esse caminho é bem conhecido no Windows:
Contém políticas relacionadas ao Windows Explorer
Muito usado para:
Bloquear recursos da interface
Restringir funcionalidades do Explorer
Controlar menus, barras e comportamento visual
Value name: NoViewContextMenu
- Nome da chave de política.
- Essa chave especificamente controla:
- Exibição do menu de contexto (clique com botão direito)
- Agora vamos criar um filtro WMI para que afete apenas servidores (não controladores de domínio)