Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Apêndice H do Guia da Equipe de Recursos de Segurança

Apêndice H: Usando o MBSA para fazer auditoria da configuração de segurança dos servidores de implantação

Publicado em: 30/11/2006

Use o MBSA para determinar se os servidores de implantação têm vulnerabilidades desconhecidas. Embora alguns serviços devam ser habilitados e acessíveis pela rede, como o compartilhamento de arquivo, resolva quaisquer vulnerabilidades desnecessárias que o MBSA identificar.

Para executar o MBSA

  1. Faça o download do MBSA em http://www.microsoft.com/mbsa e instale-o.

  2. Inicie o MBSA.

  3. Conclua o assistente selecionando opções para verificar toda a rede com as credenciais apropriadas.

  4. Na página inicial, clique em Scan more than one computer.

  5. Na página Pick Multiple Computers To Scan, digite o intervalo de endereço IP dos servidores de implantação. Clique em Start scan.

Quando a verificação for concluída, os computadores deverão estar livres de todos os problemas, com exceção do alerta informativo Compartilhamentos. Em um servidor do Active Directory, revise cuidadosamente todas as pastas compartilhadas e as permissões atribuídas a elas. Existem os compartilhamentos de unidade raiz e os ADMIN$, NETLOGON, SYSVOL, CAP_domain_name padrão (por exemplo, C$ e D$). Além disso, se o SMS estiver instalado no computador, existirão os compartilhamentos SMSPKGC$, SMS_HQ1, SMS_SITE e SMS_SUIAgent. Por fim, remova todos os compartilhamentos desnecessários.

Os servidores Windows DS também têm o alerta informativo Compartilhamentos. Revise cuidadosamente todas as pastas compartilhadas e as permissões atribuídas a elas. O Deployment Workbench cria automaticamente uma pasta compartilhada oculta quando um integrante da equipe atualiza um ponto de implantação, usando o nome “ShareName$”. Além disso, existem os compartilhamentos de unidade raiz e o ADMIN$ padrão (por exemplo, C$ e D$). Restrinja as permissões ao compartilhamento de distribuição apenas para as pessoas que precisam do acesso às imagens. Restrinja ainda mais o acesso configurando as permissões do sistema de arquivos NTFS, conforme descrito no “Apêndice F. Restringindo permissões de arquivo nos servidores de implantação”. Por fim, remova todos os compartilhamentos desnecessários

Resolva outras vulnerabilidades para minimizar o risco de um servidor de implantação comprometido ser usado para infectar computadores cliente recém-implantados. Especificamente, aborde os seguintes tipos de vulnerabilidade, caso sejam identificados:

  • Contas com senhas em branco ou simples. Como o comprometimento de uma infra-estrutura de distribuição tem potencial para permitir que um invasor comprometa todos os outros computadores novos, é importante proteger todas as contas com senhas complexas. Para obter mais informações sobre senhas complexas, consulte Criando uma Diretiva de Senha Forte em http://technet2.microsoft.com/WindowsServer/en/library/041728b4-5ed9-44a8-99fe-c050333d42451033.mspx?mfr=true.

  • Contas com senhas que não expiram. As senhas que não expiram representam um risco de segurança por vários motivos:

    • Os invasores têm mais tempo de usar um ataque de força bruta para descobrir uma senha.

    • Um invasor que comprometeu uma senha tem acesso ao sistema do usuário até o usuário alterar a senha.

    • Os funcionários que já legitimaram o acesso ao sistema uma vez, mas saíram da empresa, continuarão a ter acesso até as senhas serem alteradas

  • Atualizações de segurança ausentes. As atualizações de segurança geralmente removem as vulnerabilidades de segurança descobertas recentemente.

  • Serviços desnecessários instalados. O MBSA não alerta os integrantes da equipe sobre a presença de quaisquer serviços solicitados em um ambiente de distribuição. Portanto, remova ou desabilite quaisquer serviços desnecessários.

  • Auditoria não habilitada. Por padrão, apenas auditorias com logon bem-sucedido são habilitadas. Habilite a auditoria de falha de logon para rastrear tentativas sem êxito de autenticação do servidor de compilação. Ao fazer auditoria de falha no logon, o servidor é exposto à possibilidade de um ataque de negação de serviço, o risco desse tipo de ataque em um ambiente de distribuição é mínimo. Para obter instruções sobre como alterar configurações de auditoria, consulte Definir ou modificar configurações de diretiva de auditoria para uma categoria de evento em http://technet2.microsoft.com/WindowsServer/en/library/d9fea7ea-61e5-43b1-98cd-b02a09f101561033.mspx?mfr=true.

  • Presença de compartilhamentos desnecessários. Como descrito anteriormente, os servidores de compilação devem ter pelo menos um compartilhamento de distribuição oculto. Remova todo compartilhamento desnecessário para reduzir os riscos de segurança.

Para obter instruções detalhadas sobre como usar o MBSA, incluindo tutoriais, consulte http://www.microsoft.com/resources/sam/partnerguide/howto_inv_tool.aspx.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft