Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Planejando o processo de segurança

Planejamento

Publicado em: 30/11/2006

A figura 4 ilustra as principais atividades que ocorrem durante a fase de planejamento. Enquanto as outras equipes estão desenvolvendo imagens, planos de projetos etc., a equipe de recursos de segurança concentra-se no ambiente de produção existente do ponto de vista da segurança; a equipe determina se devem ser feitas alterações nas imagens do computador para reduzir o risco de novas ou diferentes ameaças de segurança à organização e, em caso positivo, qual a melhor forma de incorporá-las. (Este artigo também contém links para páginas em inglês.)

Bb490173.SE_SecuFeat04(pt-br,TechNet.10).gif

Figura 4. Atividades durante a fase de planejamento
Nesta página

Funções e responsabilidades
Considerações sobre planejamento de segurança do desktop
Planejamento de funções do computador para diretivas de segurança
Planejando configurações de segurança do sistema
Active Directory
Contas de usuário
Membros de grupo e usuários limitados
Configurações de senha
Permissões de arquivo
Permissões do Registro
Permissões de serviço
Log de eventos e configurações de auditoria
Configurações de direitos de usuário
Opções de segurança
Planejando o controle de conta de usuário
Planejando o Firewall do Windows
Planejando a proteção de acesso à rede
Planejando detecção de intrusão
Planejando criptografia de dados
Planejando a Criptografia de Unidade de Disco BitLocker
Planejando a recuperação
Planejando o EFS
Planejando o RMS
Restringindo o uso de dispositivos de armazenamento removíveis
Planejando a segurança do Internet Explorer
Planejamento de segurança do aplicativo
Planejando o Windows Defender
Aplicativos de segurança não-Microsoft
Selecionando uma metodologia de atualização
Windows Server Update Services
Segurança de infra-estrutura e implantação
Etapa: Plano de migração aceito

Funções e responsabilidades

Todos os seis grupos de funções do modelo de equipe do MSF desempenham uma função na fase de planejamento da iniciativa. A tabela 1 apresenta essas funções e áreas de enfoque relativas ao processo de implantação na fase de planejamento.

Para obter mais informações sobre os grupos de funções do modelo de equipe do MSF, consulte a home page do MSF, no endereço http://www.microsoft.com/technet/itsolutions/msf.

Tabela 1. Funções e responsabilidades durante a fase de planejamento

Funções

Foco

Gerenciamento do produto

  • Análise de requisitos comerciais

  • Análise de risco

  • Planejamento das comunicações

Gerenciamento do programa

  • Plano do projeto e cronograma do projeto

  • Orçamento

Desenvolvimento

  • Avaliações da tecnologia

  • Análise de vulnerabilidade

  • Design lógico e físico

  • Plano e cronograma de desenvolvimento

  • Estabelecimento do laboratório

Teste

  • Definição dos requisitos de teste

  • Plano e cronograma de teste

  • Teste de compatibilidade do aplicativo com o Windows e configurações restritivas de segurança

Experiência do usuário

  • Cenários de uso

  • Requisitos do usuário

  • Requisitos de localização e acessibilidade

  • Documentação do usuário

  • Planos de treinamento

  • Cronogramas

Gerenciamento de liberação

  • Requisitos de operações

  • Planejamento/cronograma de piloto e implantação

  • Descoberta de rede

  • Inventário de aplicativos e hardware

  • Comunicação com as Operações de TI (tecnologia da informação) e a equipe de recursos de segurança

Considerações sobre planejamento de segurança do desktop

Durante a fase de planejamento, a equipe de recursos de segurança analisa os riscos de segurança do desktop e determina a maneira mais econômica de reduzir vulnerabilidades significativas. Muitas decisões de alto e baixo níveis devem ser tomadas com relação à aplicação da segurança em novas imagens de computador.

Depois que a equipe de recursos de segurança toma essas decisões, ela deve considerar os requisitos de segurança que variam com relação às configurações padrão de segurança do Windows e efetuar as alterações necessárias nas configurações de segurança da imagem do cliente ou objetos da Diretiva de Grupo. Depois, ela deve considerar a segurança de aplicativo e selecionar uma metodologia de atualização que as Operações de TI manterão.

Segurança de cliente no Solution Accelerator para BDD 2007

O Windows fornece centenas de configurações de segurança que os integrantes da equipe de recursos de segurança podem analisar e ajustar de acordo com as necessidades da organização. Para simplificar este processo de tomada de decisão, selecione um ponto inicial e, então, modifique as configurações de linha de base conforme necessário. A Microsoft fornece as seguintes linhas de base:

  • Configuração padrão. Neste agrupamento, a imagem do Windows permanece essencialmente inalterada. Ela é configurada com os mesmos recursos e configurações de segurança fornecidos quando o Windows é instalado a partir da mídia original.

  • Cliente empresarial. Neste agrupamento, as diretivas de segurança aplicadas são mais restritivas do que as configurações padrão do Windows; estas diretivas destinam-se a um computador tipicamente empresarial corporativo. Esta opção enfoca a segurança do computador, mas permite mais funcionalidade de usuário do que as opções de segurança mais alta. Para configurações de EC (cliente empresarial), o Windows XP Security Guide e o Windows Vista Security Guide fornecem configurações de laptop e desktop. Estas configurações são as mais apropriadas para a maioria dos usuários do BDD 2007.

  • SSLF (Specialized Security – Limited Functionality). Neste agrupamento, as diretivas de segurança aplicadas são as mais restritivas das três opções; essas diretivas destinam-se a computadores que possuem necessidade de segurança rígida. Essa opção enfoca a segurança do computador e é conservadora no que diz respeito ao fornecimento de segurança através da restrição de funcionalidade de usuário. O uso deste cenário requer muito comprometimento; ao mesmo tempo em que a segurança é ampliada, o tempo de engenharia aumenta e a usabilidade é reduzida. Para configurações de SSLF, o Windows XP Security Guide e o Windows Vista Security Guide fornecem configurações de laptop e desktop.

Por padrão, o BDD 2007 permite configuração padrão. Para ter informações sobre a obtenção dos arquivos de aplicação de configurações de diretiva de grupo EC ou SSLF em ambiente do Active Directory, consulte o Windows XP Security Guide em http://www.microsoft.com/technet/security/prodtech/winclnt/secwinxp/xpsgch05.mspx ou o Windows Vista Security Guide em http://go.microsoft.com/?linkid=5637271.

A equipe de recursos de segurança possui a responsabilidade de analisar os requisitos de segurança da organização e de recomendar à equipe de gerenciamento de projeto as opções a serem aplicadas. As decisões finais serão incluídas no documento de especificação funcional.

A análise de risco inclui, também, um componente contínuo. Durante a fase de planejamento e ao longo de todo o processo, a equipe de recursos de segurança participa de todas as reuniões de avaliação, realiza análises contínuas de ameaça e executa o programa de percepção para assegurar que funções apropriadas da equipe estejam cientes dos potenciais problemas de segurança existentes em suas áreas de responsabilidade.

Planejamento de funções do computador para diretivas de segurança

Diferentes funções de computador cliente podem requerer diferentes configurações de segurança. Por exemplo, desenvolvedores precisam de mais privilégios do que usuários Padrão. Implementações de especialidades, como computadores de quiosque, podem exigir configurações de computador bastante restritivas. Para obter informações detalhadas sobre funções de computador, consulte o Windows Vista Security Guide em http://go.microsoft.com/?linkid=5637271 e o Windows XP Security Guide em http://www.microsoft.com/technet/security/prodtech/winclnt/secwinxp/xpsgch05.mspx.

Planejando configurações de segurança do sistema

A segurança de computadores cliente é determinada por um conjunto de milhares de configurações diferentes que afetam direta ou indiretamente a segurança do sistema operacional e dos aplicativos. A definição destas configurações pode ser uma tarefa árdua. Em vez de considerar cada configuração de segurança individualmente, comece com uma das opções descritas anteriormente incluídas no BDD 2007.

Entretanto, talvez nenhuma destas opções atenda completamente aos requisitos de segurança da organização. Para ajustar estas configurações, considere os requisitos de segurança que podem ser específicos da organização nas seguintes categorias:

  • Active Directory

  • Contas de usuário

  • Membros de grupo e usuários limitados

  • Configurações de senha

  • Permissões de arquivo

  • Permissões do Registro

  • Permissões de serviço

  • Log de eventos e configurações de auditoria

  • Configurações de direitos de usuário

  • Opções de segurança

As seções a seguir fornecem informações conceituais sobre cada uma destas categorias. Se, ao revisar cada uma destas seções, os integrantes da equipe de recursos de segurança considerarem outros requisitos de segurança que a organização pode ter para a categoria, eles devem estudar detalhadamente as configurações específicas do caso. Para obter informações detalhadas sobre configurações específicas de segurança, consulte o Guia de Segurança do Windows XP em http://go.microsoft.com/fwlink/?LinkId=14839 ou o Windows Vista Security Guide em http://go.microsoft.com/?linkid=5637271.

Observação   Além das considerações descritas nesta seção, considere também a confidencialidade ao reimplantar computadores usados anteriormente. Usando ferramentas como o Cipher.exe, incluídas no Windows XP SP2 e no Windows Vista, os integrantes da equipe de recursos de segurança podem excluir permanentemente todos os dados do disco rígido. Para obter instruções sobre o uso do Cipher.exe, leia o “Apêndice A. Usando Cipher.exe para apagar a limpeza do disco rígido usado”.

Active Directory

A primeira decisão a ser tomada é definir se os computadores a serem implantados farão parte de um domínio do Active Directory ou se uma abordagem alternativa será usada. Se os computadores farão parte de um domínio do Active Directory, ou seja, um domínio Microsoft Windows 2000 ou Microsoft Windows Server 2003, a equipe de recursos de segurança pode usar GPOs e Active Directory para definir, distribuir e gerenciar centralmente as configurações de segurança para os computadores do Windows.

O uso de GPOs para segurança pode reduzir drasticamente os custos contínuos com segurança. Mesmo que a equipe efetue a implantação em desktops com configurações avançadas que atendam aos requisitos de segurança da organização, essas configurações podem decair com o passar do tempo. Por exemplo, um novo administrador solucionando um problema de aplicativo pode adicionar um usuário Padrão ao grupo de Administradores locais. Sem GPOs ou outra forma de gerenciamento de configuração de segurança, o usuário continuará a ter privilégios elevados indefinidamente e estará mais vulnerável a ataques de worms e vírus. Em um ambiente que usa GPOs, grupos restritos podem ser usados para assegurar que os usuários não recebam permissões elevadas, mantendo, dessa maneira, as configurações de segurança determinadas durante o processo de gerenciamento de risco de segurança por toda a vida útil do computador.

Contas de usuário

Por padrão, o sistema operacional Windows inclui diversas contas de usuário. As mais importantes entre elas são as contas Convidado e Administrador. Por padrão, a conta Convidado fica desabilitada e deve ser sempre mantida assim. O Windows pode usar outras contas para componentes opcionais, como o Microsoft Internet Information Services (IIS). Em um ambiente que usa Active Directory, as contas de usuário são sempre armazenadas no Active Directory. Geralmente, não há necessidade de contas de usuário local adicionais e a inclusão de contas aumenta os riscos de segurança.

Para obter informações detalhadas sobre o planejamento de contas de usuário para Windows XP e Windows Vista, consulte “Managing Authorization and Access Control” no Windows XP Professional Resource Kit em http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c17621675.mspx.

Membros de grupo e usuários limitados

A maioria dos privilégios de usuário é atribuída a grupos e a equipe de recursos de segurança torna os usuários membros de grupos para que recebam as permissões. O Windows possui diversos grupos internos, mas os mais importantes são:

  • Administradores

  • Operadores de backup

  • Convidados

  • Usuários avançados

  • Usuários de desktop remoto

  • Usuários

Muitas das decisões críticas sobre segurança de desktop envolvem a definição dos usuários que serão membros destes grupos. A decisão mais importante é definir se usuários finais serão incluídos em grupos de Administradores, Usuários avançados ou Usuários. O grupo de Administradores oferece ao usuário controle total sobre seu computador local. Dessa maneira, ele nunca terá problemas relacionados à permissão durante a instalação de aplicativos, execução de software ou configuração do computador. No entanto, o modo de Aprovação de administrador (ativado por padrão e disponível apenas no Windows Vista) solicitará também confirmação do administrador antes de permitir alterações administrativas. Entretanto, este comportamento aumenta os riscos de segurança, porque mesmo o modo de Aprovação de administrador pode não evitar que vírus, worms, spyware e outros tipos de malware infectem os computadores. Além disso, os usuários podem instalar software, como jogos, que podem reduzir sua produtividade ou diminuir a confiabilidade de seus computadores.

Por outro lado, a inclusão de usuários finais apenas em grupos de Usuários reduz os riscos de segurança, fornecendo uma camada adicional de proteção contra malware. Além disso, é muito mais difícil para os usuários destes grupos instalarem aplicativos indesejados que possam reduzir sua produtividade ou afetar a confiabilidade de seus computadores. A desvantagem de limitar os privilégios do usuário é o aumento do tempo de engenharia. O departamento de TI deve gastar mais tempo testando aplicativos para assegurar que eles funcionam corretamente com privilégios restritos. Isto é particularmente trabalhoso com aplicativos herdados, que geralmente são projetados para serem executados por membros do grupo Administradores. O recurso UAC do Windows Vista reduz significativamente este custo, virtualizando seções do Registro e do sistema de arquivos para permitir que aplicativos não certificados que requerem privilégios administrativos possam ser executados com êxito.

Para obter informações detalhadas sobre o planejamento de membros de grupos para Windows XP e Windows Vista, consulte “Managing Authorization and Access Control” no Windows XP Professional Resource Kit em http://www.microsoft.com/technet/prodtechnol/winxppro/reskit/c17621675.mspx.

Em ambientes Active Directory, grupos locais também são usados para atribuir privilégios a grupos do Active Directory. Por exemplo, o grupo de Administradores de domínio do Active Directory é incluído automaticamente no grupo de Administradores locais quando um computador que está executando o Windows entra no domínio. Tenha cuidado ao conceder permissões para computadores locais a grupos de domínio, como operadores de centro de suporte e operadores de backup, incluindo-os em grupos locais apropriados. Para obter ajuda sobre o uso de membros de grupo, use a diretiva de Grupo restrito em ambientes Active Directory. Para obter mais informações sobre grupos restritos, leia o artigo da Base de Dados de Conhecimento Microsoft, “Descrição da política de grupo Grupos restritos,” em http://support.microsoft.com/Default.aspx?kbid=279301. Além disso, considere usar uma ferramenta como o Microsoft Systems Management Server (SMS) ou o Microsoft Operations Manager (MOM) para monitorar e detectar alterações de membros de grupo em qualquer local da organização.

Observação   O ACT (Kit de Ferramentas de Compatibilidade de Aplicativos) é um recurso valioso para a preparação de aplicativos a serem usados por contas protegidas de usuários. Para baixar o ACT, consulte Windows Application Compatibility em http://www.microsoft.com/windowsserver2003/compatible/appcompat.mspx. Para obter informações detalhadas sobre a execução de aplicativos dentro de contas protegidas de usuários, consulte o Guia da Equipe de Recursos de Compatibilidade de Aplicativos.

Configurações de senha

Embora a infra-estrutura do Windows e do Active Directory ofereçam suporte a métodos de autenticação flexíveis, como cartões inteligentes e biométricas, as senhas são o mecanismo padrão de autenticação. Todas as contas de usuário devem ter senha, incluindo o usuário local e as contas de domínio. Embora as configurações de senha padrão do Active Directory do Windows Server 2003 forneçam uma excelente relação entre segurança e usabilidade, os integrantes da equipe de recursos de segurança podem precisar modificar uma ou mais propriedades do requisito de senha:

  • Comprimento da senha. Senhas mais longas são mais difíceis de serem descobertas ou decifradas por invasores, mas são mais fáceis de serem digitadas incorretamente ou esquecidas pelos usuários. Os riscos de segurança diminuem com senhas mais longas, mas o gerenciamento de conta aumenta.

  • Complexidade da senha. A exigência de senhas complexas evita que os usuários usem senhas como seus primeiros nomes, que podem ser facilmente decifradas com dicionários de senhas. No entanto, senhas complexas são mais difíceis de serem lembradas pelos usuários.

  • Freqüência de alteração da senha. Pode levar meses para que um invasor consiga descobrir a senha do usuário. Alterar as senhas regularmente reduz significativamente o risco de um invasor descobri-la. Além disso, se um invasor descobrir a senha, a alteração poderá impedi-lo de entrar novamente no sistema. No entanto, as alterações de senhas tendem a incomodar os usuários e eles tendem a esquecê-las, caso as alterem regularmente, o que aumenta o número de chamadas ao suporte técnico. Ou pior, a alteração freqüente de senhas pode fazer com que os usuários as anotem, o que aumenta as chances de um invasor descobri-las. As práticas recomendadas incluem alterações de senha, mas ponderam os riscos de segurança reduzidos com relação aos custos gerados na produtividade do usuário.

Em ambientes de Active Directory do Windows Server 2003, as configurações padrão de senha são suficientes para a maioria dos ambientes. Para reduzir o risco de que a senha da conta do Administrador local seja comprometida, altere o nome da conta e altere a senha em todos os computadores regularmente. Ferramentas não-Microsoft, como o LAPM (Local Account Password Manager) da Foghorn Security, podem simplificar o gerenciamento de senhas locais.

Permissões de arquivo

Permissões de arquivo e pasta permitem que os usuários restrinjam o acesso ao conteúdo armazenado nos volumes do sistema de arquivos NTFS. Os integrantes da equipe de recursos de segurança podem conceder acesso para abrir, editar ou excluir arquivos e pastas. Os arquivos e pastas também possuem o conceito de propriedade: o usuário que cria um arquivo ou pasta é o proprietário daquele objeto e, por definição, possui a capacidade de especificar o nível de acesso dos outros usuários à pasta ou arquivo.

Permissões de arquivo e pasta são a maneira mais importante de proteger dados confidenciais e a integridade do sistema. Os usuários freqüentemente armazenam documentos confidenciais em seus computadores, por isso, verifique se as permissões de arquivo padrão atribuídas a novos documentos (geralmente localizados na pasta Meus Documentos) são restritivas o suficiente para impedir que outros usuários da rede os acessem. Além disso, use permissões de arquivo e pasta para impedir que os usuários modifiquem arquivos importantes de sistema e de aplicativos. Ao conceder a um usuário acesso somente de leitura aos arquivos do sistema, os integrantes da equipe de recursos de segurança de fato impedem que ele efetue atualizações não aprovadas ou instale diversos tipos de software mal-intencionado.

É importante entender que as permissões de arquivo e pasta apresentam uma desvantagem significativa: elas só funcionam quando o sistema operacional está sendo executado. Especialmente com relação a computadores portáteis, avalie o risco de um invasor ter acesso físico ao computador. Com acesso físico, um invasor pode acessar diretamente o disco rígido do computador e ignorar permissões de arquivo, independentemente de ter credenciais válidas de usuário. Para proteger-se contra este tipo de ataque offline, use segurança física, Criptografia de Unidade de Disco BitLocker e EFS. Para obter mais informações sobre Criptografia de Unidade de Disco BitLocker, consulte “Criptografia de Unidade de Disco BitLocker” anteriormente neste documento.

Permissões do Registro

O Registro é usado principalmente para armazenar informações de configuração para o sistema operacional e aplicativos. Embora o Registro raramente seja usado para armazenar dados confidenciais, permissões de Registro restritivas são importantes para proteção da integridade do sistema. Os invasores que modificam chaves de Registro específicas podem conseguir capturar senhas de usuário, obter privilégios elevados ou utilizar um computador inoperável.

O Registro também é a única maneira de definir diversas configurações importantes de segurança de cliente. Por exemplo, por padrão, a entrada de Registro DeadGWDetectDefault (localizada na subchave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters) é definida como 1 para clientes Windows. Esta definição permite que os clientes mudem automaticamente para um roteador ativo quando há falha no roteador padrão. No entanto, há um risco teórico de que um invasor muito sofisticado possa utilizar este recurso para redirecionar o tráfego de rede do computador. Portanto, considere alterar este valor para 0.

Para obter informações completas sobre configurações do Registro, consulte o documento do Microsoft TechNet, “Threats and Countermeasures”, em http://www.microsoft.com/technet/security/topics/serversecurity/tcg/tcgch00.mspx, o Windows XP Security Guide em http://go.microsoft.com/fwlink/?linkid=14840e o Windows Vista Security Guide em http://go.microsoft.com/?linkid=5637271.

Permissões de serviço

Os serviços são executados no plano de fundo para realizar tarefas do sistema operacional. Os serviços são uma das principais diferenças entre o Windows XP e o Windows Vista. No Windows XP, os serviços geralmente usam a conta Sistema Local e possuem acesso ilimitado aos recursos do sistema. Infelizmente, os invasores têm historicamente atacado os serviços como meio de obter privilégios em um computador. Para reduzir o risco, configure os serviços para logon em contas restritas de usuário, como exibido na Figura 5. No entanto, isto requer a realização de muitos testes para assegurar que a conta de serviço configurada possua permissões suficientes para que o serviço funcione corretamente.

Figura 5. Configurando permissões de serviço

Figura 5. Configurando permissões de serviço

No Windows Vista, os serviços são configurados com privilégios mínimos por padrão e o Sistema de Proteção de Serviços do Windows fornece uma camada adicional de proteção para reduzir o risco de que um serviço seja explorado. Portanto, a restrição manual de permissões de serviço é mais importante em computadores com Windows XP do que em computadores com Windows Vista.

A equipe de recursos de segurança pode usar, também, as configurações de Diretiva de Grupo para definir quais usuários e grupos possuem permissão para iniciar, parar e pausar serviços. A maioria dos ambientes não precisa que as permissões de serviço padrão sejam editadas.

Log de eventos e configurações de auditoria

Os grupos de operações geralmente usam auditoria de segurança e logs de eventos para ajuda a manter a segurança depois da implantação. Quando ativada, a auditoria de segurança adiciona eventos ao log de eventos locais, sempre que um usuário tenta executar, com ou sem êxito, os seguintes tipos de ação:

  • Adicionar contas de usuário

  • Alterar configurações de segurança

  • Modificar privilégios de usuário

Teoricamente, a equipe de recursos de segurança pode usar estas informações para acompanhar os ataques com e sem êxito. Na prática, a grande maioria dos eventos de segurança não está relacionada com ataques à segurança, o que reduz a utilidade dos logs de auditoria. As organizações que requerem auditoria podem criá-la na auditoria de segurança interna do Windows para atender a este requisito. No entanto, a maneira mais prática de identificar e rastrear ataques é usar software não-Microsoft de detecção de intrusão. A maioria dos ambientes não precisa de edição das configurações padrão do log de eventos e auditoria.

Configurações de direitos de usuário

Os direitos de usuário controlam as ações que podem ser executadas por usuários e grupos específicos em um computador. A seguir, exemplos de direitos de usuário freqüentemente configurados:

  • Permitir efetuar logon local

  • Depurar programas

  • Desempenho do sistema de perfil

  • Desligar o sistema

Por padrão, grupos diferentes (como Administradores locais e Usuários) possuem direitos de usuário diferentes. Por exemplo, Administradores, Operadores de backup e Usuários possuem o direito de usuário de desligar o sistema. Entretanto, apenas membros do grupo Administradores possuem o direito de usuário de depurar programas, porque ele pode ser usado para obtenção de privilégios elevados.

Se a equipe de recursos de segurança conceder aos usuários privilégios limitados ao não incluí-los no grupo Administradores, a equipe precisará conceder direitos de usuário adicionais para permitir que aplicativos específicos sejam executados ou para permitir que os usuários realizem determinadas tarefas. Por exemplo, os desenvolvedores geralmente requerem o direito de usuário de depurar programas. A equipe identificará necessidades de direitos de usuário adicionais ao testar aplicativos na plataforma do desktop. Depois da implantação, os usuários podem reclamar de problemas com o uso de aplicativos fora dos padrões e os administradores talvez tenham que ajustar direitos de usuário individualmente para permitir que estes aplicativos sejam executados corretamente.

Opções de segurança

As opções de segurança representam uma ampla variedade de configurações que não se encaixam em outras categorias. A seguir, alguns exemplos de opções de segurança no Windows:

  • Contas: status da conta de administrador. Use esta opção de segurança para desabilitar a conta Administrador local. Isto aumenta a segurança, reduzindo o risco de que um invasor utilize a conta. Entretanto, isto dificulta o reparo de um computador que não pode se conectar a um domínio do Active Directory, porque a única maneira de acessá-lo usando a conta Administrador local será inicializando o Console de Recuperação.

  • Contas: renomear a conta Administrador. Use esta configuração de segurança para alterar o nome da conta padrão de Administrador para outro nome. Isto dificulta que os invasores usem técnicas de decodificação de senha para autenticação, porque eles precisam saber o nome do usuário e a senha.

  • Desligar: limpar o arquivo de paginação da memória virtual. O arquivo de paginação geralmente contém informações confidenciais, porque inclui uma cópia de partes da memória do computador. A limpeza do arquivo de paginação durante o desligamento reduz o risco de que um invasor obtenha acesso a informações confidenciais, acessando diretamente o conteúdo deste arquivo. Entretanto, isso torna o desligamento e a inicialização mais lentos.

  • Logon interativo: não exibir o último nome de usuário. Embora a exibição do último nome de usuário que efetuou logon possa economizar alguns segundos do tempo do usuário que está efetuando logon, isso pode revelar nomes de usuários para invasores, o que tornaria os ataques por descoberta de senha muito mais eficazes.

Planejando o controle de conta de usuário

Durante o planejamento de UAC para computadores com Windows Vista (o Windows XP não possui este recurso), a equipe de recursos de segurança colabora com a equipe de recursos de compatibilidade de aplicativos. A equipe de recursos de segurança especifica as configurações de UAC e, depois, a equipe de recursos de compatibilidade de aplicativos determina a melhor maneira de executar cada aplicativo no ambiente restrito.

Para obter informações detalhadas sobre o planejamento de UAC, consulte o Capítulo 2, “Defending Against Malware,” do Windows Vista Security Guide em http://go.microsoft.com/?linkid=5637271.

Planejando o Firewall do Windows

O Firewall do Windows oferece proteção significativa contra worms, vírus e outros tipos de malware que atacam através da rede. No entanto, como o Firewall do Windows pode filtrar todas as comunicações de rede, ele tem grande potencial para corromper aplicativos legítimos. Com as configurações seguras por padrão do Windows XP SP2 e Windows Vista, o Firewall do Windows certamente causará falha em um ou mais aplicativos úteis da organização.

Para impedir falha de aplicativos úteis e, ao mesmo tempo, atender às necessidades da organização com relação à auditoria e filtragem de pacotes, considere as seguintes categorias de configurações do Firewall do Windows:

  • Perfis do Firewall

  • Exceções do Firewall

  • Registro do Firewall em log

As seções a seguir fornecem informações conceituais sobre cada uma destas categorias. Se, ao revisar cada uma destas seções, a equipe de recursos de segurança considerar requisitos de segurança excepcionais que a organização possa ter para a categoria, deverá estudar configurações específicas mais detalhadamente. Para obter informações detalhadas sobre configurações específicas de segurança, consulte o Guia de Segurança do Windows XP em http://go.microsoft.com/fwlink/?LinkId=14839 ou o Windows Vista Security Guide em http://go.microsoft.com/?linkid=5637271.

Perfis do Firewall

Por padrão, o Firewall do Windows inclui dois perfis:

  • Domínio. Aplica-se quando um computador está conectado a seu domínio corporativo.

  • Padrão. Aplica-se quando um computador não está conectado a seu domínio corporativo.

Dispondo de dois perfis, os integrantes da equipe de recursos de segurança podem configurar exceções e diretivas diferentes, dependendo da conexão do computador ao domínio. Isto é extremamente útil para computadores portáteis. Por exemplo, quando um computador portátil estiver conectado ao domínio, habilite uma exceção que permita tráfego de gerenciamento de rede. Para reduzir o risco de que este tráfego seja usado em um ataque quando o computador estiver conectado a uma rede doméstica ou a um ponto de acesso sem fio, simplesmente não adicione a exceção ao perfil Padrão.

Especifique exceções e configurações de firewall para cada perfil. As configurações que podem ser definidas para cada perfil incluem:

  • Bloquear ou permitir conexões de entrada como padrão. Por padrão, as conexões de entrada são bloqueadas em ambos os perfis.

  • Bloquear ou permitir conexões de saída como padrão (apenas no Windows Vista). Por padrão, as conexões de saída são permitidas em ambos os perfis.

  • Permitir que Administradores locais criem exceções (apenas no Windows Vista).

  • Permitir que Administradores locais criem regras de segurança de conexão de computador (apenas no Windows Vista).

  • Notificar usuário quando as conexões de entrada são bloqueadas.

  • Permitir resposta unicast para requisições multicast ou de difusão.

  • Decidir registrar em log pacotes desconectados e conexões com êxito, assim como o local.

  • Configurações de IPSec, incluindo troca de chave, proteção de dados e método de autenticação (apenas no Windows Vista).

Exceções do Firewall

Exceções do Firewall permitem tráfego através do firewall. Geralmente, são feitas exceções aos aplicativos que devem aceitar conexões de entrada. Como as conexões de saída são permitidas por padrão, os aplicativos que enviam tráfego (o que inclui os aplicativos mais modernos) não precisam de exceção de firewall.

A equipe de recursos de compatibilidade de aplicativos deve determinar as exceções mais restritivas que permitam que seus aplicativos sejam executados corretamente. Geralmente, estas equipes solicitam que um arquivo executável específico receba uma exceção para aceitar conexões de entrada. Considere este requisito como um risco potencial de segurança reconhecido. Cada aplicativo que recebe uma exceção de firewall pode ser usado para violar o computador.

Para limitar ainda mais o risco oferecido por exceções de aplicativos, utilize as seguintes contramedidas:

  • Use UAC para executar aplicativos, especialmente aqueles que requerem exceções, com privilégios de usuário Padrão. Isto limita os danos causados em um comprometimento com êxito e pode impedir que os invasores efetuem alterações permanentes no computador.

  • Habilite o Windows Defender e mantenha as assinaturas atualizadas.

  • Habilite software antivírus e mantenha as assinaturas atualizadas.

Além disso, considere usar exceções de porta, em vez de exceções de programa. Portas são números incluídos em pacotes que identificam exclusivamente o aplicativo que está enviando ou recebendo a comunicação de rede. Por exemplo, servidores Web recebem tráfego rotulado com porta 80, enquanto o desktop remoto recebe tráfego rotulado com porta 3389.

Quando você cria uma exceção de programa, a exceção permite tráfego por qualquer porta que o programa decida usar para escutar tráfego de entrada. Por exemplo, um aplicativo pode escutar conexões de entrada em três portas separadas. No entanto, a equipe só precisa aceitar conexões em uma dessas portas para a maneira com que o programa é usado. Permitir apenas uma única porta necessária reduz os riscos de segurança, impedindo ataques de rede em portas que permanecem bloqueadas.

Observe, no entanto, que exceções de porta requerem tempo de engenharia adicional, em comparação com exceções de programa. A equipe de recursos de compatibilidade de aplicativos deve determinar os números de porta que um aplicativo utiliza. Estes números podem estar relacionados na documentação do aplicativo ou a equipe pode usar um analisador de protocolo, como o Monitor de Rede, para determinar os números de porta que estão sendo usados.

Para obter mais informações sobre o Monitor de Rede, consulte o artigo do Microsoft TechNet. “HOW TO: Capture WAN Traffic with Network Monitor in Windows”, em http://support.microsoft.com/default.aspx?scid=kb;en-us;301989&sd=tech.

Registro do Firewall em log

O Firewall do Windows é capaz de efetuar registro em log de conexões com êxito e tentativas de conexão bloqueadas. Embora pareça óbvio que qualquer organização preocupada com segurança coletaria e analisaria estes dados, a maioria das organizações deveria permitir registro do firewall em log apenas durante teste e solução de problemas.

Embora o registro em log de conexões com êxito fornecesse um registro de um comprometimento bem-sucedido da rede, registraria também, pelo menos, centenas de milhares de conexões legítimas. Encontrar o comprometimento em um arquivo de log tão grande é praticamente impossível. Além disso, o tempo necessário para agregar, arquivar e analisar estes arquivos de log não seria a melhor opção de uso do tempo da equipe de segurança.

Da mesma maneira, as conexões bloqueadas contêm grande volume de tráfego que pode ser ignorado. Worms geram grande parte deste tráfego e podem tentar continuamente estabelecer conexões de rede com computadores com endereços IP aleatórios ou semi-aleatórios. Um log de firewall fornece identificação do endereço IP de origem destes computadores, mas o volume de ataques na Internet torna impossível acompanhá-los. Portanto, na maioria dos casos, não habilite o registro em log de firewall na plataforma base.

No entanto, o registro de log de firewall pode ser útil para criação de uma isca . Um computador isca é colocado na rede especificamente para atrair ataques. Se os integrantes da equipe de recursos de segurança habilitarem o registro de log em um único computador, poderão analisar os arquivos de log do computador para identificar outros computadores da rede que originaram potenciais ataques. Os integrantes da equipe poderão, então, usar estas informações para impedir que o software mal-intencionado ataque os computadores.

Planejando a proteção de acesso à rede

A NAP (Proteção de Acesso à Rede) possui grande potencial para manter as redes internas livres de software mal-intencionado e aumentar a confiabilidade de atualizações de segurança e atualizações de assinatura em computadores portáteis. A NAP depende de um código do Microsoft Windows Server chamado de infra-estrutura “Longhorn”, que não está disponível no momento. Planeje utilizar a NAP depois do lançamento do “Longhorn” do Windows Server.

Para obter mais informações sobre a NAP, consulte o site Microsoft NAP emhttp://www.microsoft.com/technet/itsolutions/network/nap/default.mspx.

Planejando detecção de intrusão

Se a equipe de recursos de segurança decidir implementar um sistema de detecção de intrusão, os integrantes da equipe devem trabalhar em conjunto com o provedor de serviço ou de software para planejar a manutenção e o monitoramento do sistema. Para obter informações detalhadas sobre detecção de intrusão, leia The Security Monitoring and Attack Detection Planning Guide em http://www.microsoft.com/technet/security/topics/auditingandmonitoring/securitymonitoring/default.mspx.

Planejando criptografia de dados

A criptografia de dados reduz o risco de que informações confidenciais sejam acessadas por usuários não autorizados. A criptografia complementa as permissões de arquivo e a auditoria, fornecendo proteção mesmo que o invasor consiga ignorar a segurança do sistema operacional, por exemplo, removendo o disco rígido do computador. O Windows oferece suporte a três diferentes tecnologias de criptografia de dados:

  • RMS. RMS criptografa documentos e exige que os usuários recuperem a chave de descriptografia da infra-estrutura RMS para abrirem o documento. Este processo fornece controle centralizado, mesmo que o documento deixe a infra-estrutura da organização, por exemplo, quando ele é enviado para um parceiro fora da rede. Os aplicativos devem ser certificados para usar RMS e os aplicativos certificados podem impor permissões granulares, que controlam se o usuário pode copiar, imprimir ou editar documentos. Os integrantes da equipe podem usar RMS apenas com os documentos criados com aplicativos que oferecem suporte à tecnologia, como o Microsoft Office 2003 e versões mais recentes.

  • EFS. O EFS é uma tecnologia de criptografia de arquivo interna do Windows. Diferentemente do RMS, o EFS não requer aplicativos que lhe ofereçam suporte. O EFS trabalha de maneira transparente com volumes do sistema de arquivos NTFS para criptografar e descriptografar arquivos e pastas especificados, quando são acessados pelo usuário. O EFS não é capaz de criptografar o volume inteiro e não pode proteger o próprio sistema operacional.

  • Criptografia de Unidade de Disco BitLocker™. No Windows Vista, a Criptografia de Unidade de Disco BitLocker criptografa um volume inteiro, fornecendo segurança de dados muito poderosa. Como todos os arquivos de sistema são criptografados, é muito difícil para um invasor com acesso físico a um computador passar pela Criptografia de Unidade de Disco BitLocker para ler, editar ou criar arquivos. Para computadores de único usuário, a Criptografia de Unidade de Disco BitLocker pode ser suficiente para atender aos requisitos de segurança. Os computadores compartilhados entre diversos usuários e que requerem que os arquivos sejam protegidos contra outros usuários devem usar a Criptografia de Unidade de Disco BitLocker e o EFS, que pode criptografar arquivos para cada usuário.

A Tabela 2 exibe cenários de segurança de dados com suporte de cada tecnologia.

Tabela 2. Criptografia de dados e cenários de segurança

Cenário

RMS

EFS

BitLocker

Imposição de diretiva de documento remoto

X

 

 

Proteção de conteúdo em trânsito

X

 

 

Proteção de conteúdo durante colaboração

X

 

 

Proteção de arquivos e pastas locais de múltiplos usuários

 

X

 

Proteção de arquivos e pastas remotos

 

X

 

Administrador de rede não confiável

 

X

 

Proteção de computador portátil

 

 

X

Computadores de filial

 

 

X

Proteção de arquivos e pastas locais de único usuário

 

 

X

Para obter mais informações sobre RMS, visite o site Windows Rights Management Services em http://www.microsoft.com/rms. Para obter mais informações sobre EFS, leia ”The Encrypting File System”, em http://www.microsoft.com/technet/security/topics/cryptographyetc/efs.mspx. Para obter mais informações sobre Criptografia de Unidade de Disco BitLocker, leia ”Windows BitLocker Drive Encryption Step-by-Step Guide”, em http://www.microsoft.com/technet/windowsvista/library/c61f2a12-8ae6-4957-b031-97b4d762cf31.mspx.

Planejando a Criptografia de Unidade de Disco BitLocker

A Criptografia de Unidade de Disco BitLocker, um novo recurso do Windows Vista, requer bastante planejamento, porque:

  • A equipe de recursos de segurança deve adquirir hardware compatível com TPM (quando disponível) ou fornecer unidades flash USB para todos os computadores.

  • Chaves perdidas ou falha de hardware podem resultar em disco rígido irrecuperável, se a chave de recuperação não tiver sido arquivada. Em domínios do Active Directory, as chaves de recuperação podem ser armazenadas no Active Directory.

As seções a seguir descrevem as necessidades de planejamento mais detalhadamente.

Determinando os requisitos da Criptografia de Unidade de Disco BitLocker

Antes de iniciar a implantação da Criptografia de Unidade de Disco BitLocker, defina as necessidades de segurança e os requisitos de proteção de dados dos computadores de sua organização. A Criptografia de Unidade de Disco BitLocker é um recurso de segurança que fornece proteção à integridade do sistema e aos dados contra ataques físicos.

Identificando os cenários da Criptografia de Unidade de Disco BitLocker

A tecnologia Criptografia de Unidade de Disco BitLocker pode ajudar sua organização a atender a vários requisitos de segurança. Por exemplo, a organização pode usar a Criptografia de Unidade de Disco BitLocker para os seguintes fins:

  • Proteger dados em laptops perdidos ou roubados, garantindo a integridade do sistema contra ataques offline com base em software.

  • Bloquear um sistema quando ele for violado por alguém.

  • Proteger computadores críticos de filiais e quiosques, na ausência de segurança física adequada.

  • Permitir a exclusão de dados e reciclagem de equipamentos.

  • Proteger a rede corporativa contra ataques de computadores perdidos ou roubados.

Selecionando computadores para a Criptografia de Unidade de Disco BitLocker

Depois de identificar as tecnologias de segurança que devem ser implementadas para atender às necessidades da organização, identifique as categorias de usuários e computadores que usarão as tecnologias BitLocker. A Criptografia de Unidade de Disco BitLocker pode usar como base, por exemplo, a função do cargo, o local, a estrutura organizativa ou uma combinação destes três aspectos.

Por exemplo, a equipe de recursos de segurança pode querer implementar segurança TPM em todos os computadores portáteis da organização para impedir que usuários não autorizados ultrapassem a proteção do sistema e arquivos do Windows em computadores perdidos ou roubados. Embora os dados em determinado computador portátil talvez não sejam confidenciais, se este computador estiver configurado para conectar-se à rede corporativa, poderá ser usado para obter acesso à rede, onde há dados confidenciais.

Além disso, a equipe de recursos de segurança pode habilitar proteção TPM em computadores desktop que contenham dados confidenciais no campo ou em ambientes inseguros ocupados, como quiosques ou filiais comerciais. Os usuários destes computadores incluem executivos, pesquisadores e outros usuários importantes que possuem dados altamente confidenciais em seus computadores.

Documentando diretivas de proteção da informação

O design de uma infra-estrutura de Criptografia de Unidade de Disco BitLocker envolve também o desenvolvimento de procedimentos de suporte e o estabelecimento de um sistema de verificações e balanços para autoridade administrativa. Somente com a solução das questões técnicas e administrativas relacionadas à infra-estrutura de Criptografia de Unidade de Disco BitLocker, a equipe de recursos de segurança pode assegurar que os serviços forneçam o nível de segurança que a organização precisa.

Geralmente, a equipe de recursos de segurança é responsável pela definição e manutenção de diretivas e práticas de proteção de dados. No entanto, devido ao uso legal, financeiro e tático da proteção de dados, representantes de fora do departamento de TI, como dos departamentos de recursos humanos, de finanças, jurídico e de marketing, também podem estar envolvidos no estabelecimento de diretivas de segurança de informações.

Uma diretiva de proteção de dados é um conjunto de regras que indicam a aplicabilidade do serviço de proteção de dados para determinado grupo de clientes que possuem os mesmos requisitos de segurança. As declarações de diretiva de proteção de dados geralmente incluem os seguintes tipos de informação:

  • Questões legais, como responsabilidade, que poderão surgir, se os dados forem comprometidos ou usados para um objetivo diferente de sua finalidade.

  • Requisitos de gerenciamento de chave

  • Se a chave de recuperação pode ser exportada ou arquivada

  • Comprimento mínimo dos pares de chaves

  • Algoritmos de criptografia, CSPs (provedores de serviços de criptografia) e comprimentos de chave

Criando especificações de hardware e software

A Criptografia de Unidade de Disco BitLocker do Windows Vista e a tecnologia TPM dependente requerem uma placa-mãe equipada com TPM e uma extensão de BIOS (sistema básico de entrada/saída) como parte do hardware padrão do computador ou uma unidade flash USB. TPM é a tecnologia preferencial, porque ela fornece a melhor relação entre proteção de dados e usabilidade. Unidades flash USB podem ser facilmente perdidas (o que impediria que os usuários pudessem acessar seus computadores). Além disso, os usuários devem guardar a unidade flash USB separadamente do computador (para impedir que ambos sejam roubados). Guardar a unidade flash separadamente do computador aumenta o risco de perda.

Se a equipe de recursos de segurança optar por usar a tecnologia TPM, os requisitos de sistema da organização podem incluir o seguinte:

  • Hardware:

    • TPM v1.2. O TPM permite medir e relatar a integridade da plataforma. Ele requer suporte a chipset para uma interface segura de TPM.

    • Compatível com BIOS convencional/EFI (Extensible Firmware Interface) – TCG. Um BIOS compatível estabelece uma cadeia de confiança para o processo de pré-inicialização do sistema operacional. O BIOS deve oferecer suporte ao STRM (Static Root of Trust Measurement) especificado pelo TCG. A Criptografia de Unidade de Disco BitLocker suporta tanto o BIOS convencional quanto o EFI.

  • Software:

    • Windows Vista

Criando um plano de implantação da Criptografia de Unidade de Disco BitLocker

A tecnologia Criptografia de Unidade de Disco BitLocker do Windows Vista possui recursos de implantação e gerenciamento para toda a empresa, expostos pela interface do Windows Management Instrumentation (WMI). A Criptografia de Unidade de Disco BitLocker é controlada através da Central de Segurança do Windows, que requer privilégios de administrador local. Várias definições da Diretiva de Grupo são específicas do gerenciamento de TPM. Estas definições da Diretiva de Grupo habilitam ou desabilitam a funcionalidade TPM para os computadores da organização.

Planejando a recuperação

O planejamento de recuperação é essencial com o uso de qualquer tipo de criptografia, porque uma chave de criptografia perdida quase certamente significa perda de dados. Especificamente, considere os seguintes tópicos:

  • Cenários de recuperação

  • Cenários de migração

  • Backup e restauração

  • Falhas e alterações de hardware

  • Bloqueios de dados

  • Ataques de vírus

  • Alterações do sistema operacional

Planejando o EFS

Como a Criptografia de Unidade de Disco BitLocker, o EFS usa criptografia e, portanto, requer planejamento para garantir que os dados não sejam perdidos em caso de perda da FEK (chave de criptografia do arquivo). As seções a seguir fornecem informações gerais sobre o planejamento do uso de EFS em computadores cliente.

Determinando os requisitos para o EFS

A tecnologia EFS pode ajudar a organização a atender a vários requisitos de segurança. Por exemplo, use EFS para proteger:

  • Dados móveis (mídia removível, WebDAV [Web-based Distributed Authoring and Versioning]).

  • Contra usuários e administradores não confiáveis.

  • Arquivos e pastas remotos.

  • Dados confidenciais do usuário em computadores compartilhados.

  • Documentos confidenciais móveis em compartilhamentos de arquivo na empresa.

  • Documentos compartilhados por pequenos grupos de trabalho.

Para obter informações sobre recursos EFS do Windows Vista, consulte ”Windows Vista Security and Data Protection Improvements”, em http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx

A criptografia da pasta Meus Documentos (%USERPROFILE%\My Documents) é recomendada para todos os computadores portáteis. Isto garante que as pastas pessoais, nas quais a maioria dos documentos do Microsoft Office são salvos, sejam criptografadas por padrão. Criptografe pastas, em vez de arquivos individuais. Os aplicativos trabalham com os arquivos de diversas maneiras. Por exemplo, alguns aplicativos criam arquivos temporários na mesma pasta durante a edição. Estes arquivos temporários podem ou não ser criptografados e alguns aplicativos os substituem pelo original quando a edição é salva. A criptografia no nível da pasta garante, assim, que os arquivos não sejam descriptografados de maneira transparente. A equipe de recursos de segurança pode usar, também, o EFS para proteger documentos móveis confidenciais em compartilhamentos de arquivo na empresa. Para obter informações detalhadas sobre planejamento de EFS, consulte a seção EFS no Windows XP Resource Kit http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prba_dwp_jzyf.asp.

Criando um plano de implantação do EFS

Todos os usuários de EFS devem ter certificados válidos para usá-lo. O EFS pode criar e auto-assinar estes certificados, se nenhuma CA (autoridade de certificação) estiver disponível. Os usuários podem, também, solicitar certificados de uma CA empresarial. Ambientes de domínio podem ser configurados de maneira que o EFS trabalhe como faz em ambiente autônomo, criando certificados auto-assinados para os usuários. CAs empresariais podem, também, ser configuradas no domínio para criar certificados para os usuários. O Windows Vista oferece suporte a certificados do EFS em cartões inteligentes para aumentar a proteção de chave e a segurança.

Para obter informações detalhadas sobre planejamento de implantação de EFS, consulte a seção EFS no Windows XP Professional Resource Kit em http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prba_dwp_jzyf.asp.

Criando um plano de recuperação do EFS

Criptografar um arquivo sempre implica o risco de ele não poder ser lido novamente. O proprietário da chave particular, sem a qual o arquivo não pode ser descriptografado, pode deixar a organização sem descriptografar todos seus arquivos. Ou, pior ainda, ele pode intencional ou acidentalmente criptografar arquivos críticos compartilhados para que ninguém mais possa usá-los. Um perfil de usuário pode ser danificado ou excluído, fazendo com que o usuário não tenha mais a chave particular necessária para descriptografar a FEK do arquivo. Como a perda de dados é geralmente desastrosa, diversos métodos de recuperação de dados estão disponíveis para os casos em que arquivos criptografados não podem ser descriptografados: agentes de recuperação de dados, exportação e importação de chaves de recuperação do EFS e backups de recuperação.

Para obter informações detalhadas sobre planejamento de recuperação do EFS, consulte a seção EFS no Windows XP Professional Resource Kit em http://www.microsoft.com/resources/documentation/Windows/XP/all/reskit/en-us/prba_dwp_jzyf.asp.

Planejando o RMS

Cada computador cliente que fará parte do sistema RMS deve ser configurado como entidade confiável dentro do sistema RMS. A configuração do computador cliente consiste em verificar a presença do componente cliente do Windows Rights Management e ativar o computador cliente. Depois que um computador cliente é instalado, a infra-estrutura está pronta para permitir que usuários com aplicativos habilitados para RMS publiquem e consumam informações com direitos protegidos.

Cada computador cliente deve ter o componente cliente do Windows Rights Management instalado. Este é um componente interno do Windows Vista e está disponível no Microsoft Update Catalog ou no site de download da Microsoft para Windows XP.

As organizações podem usar ferramentas padrão de implantação de software, como SMS, para garantir que os computadores clientes possuam o componente instalado. Este componente é exigido pelos aplicativos habilitados para RMS e é usado pelo processo de ativação do computador cliente. O RMS também requer uma infra-estrutura de servidor. A infra-estrutura de servidor controla as chaves de criptografia e usuários autorizados e distribui as chaves conforme necessário.

Para obter informações detalhadas sobre o planejamento de RMS, consulte o site Microsoft RMS em http://www.microsoft.com/windowsserver2003/technologies/rightsmgmt. Para obter informações sobre recuperação de desastre, leia “Disaster Recovery for Windows Rights Management Services”, em http://www.microsoft.com/windowsserver2003/techinfo/overview/rmsrecovery.mspx.

Restringindo o uso de dispositivos de armazenamento removíveis

A capacidade e conveniência dos recentes dispositivos de armazenamento removíveis portáteis, como memória flash USB, continuam aumentando, mas do ponto de vista do vazamento de informações, estes avanços apresentam um problema, pois facilitam a cópia e o transporte de informações confidenciais e pessoais. Para evitar que os usuários instalem tais dispositivos no Windows Vista, defina as configurações da Diretiva de Grupo para permitir ou negar a instalação de identificadores ou classes de dispositivos específicos ou para negar a instalação de dispositivos removíveis. Estas configurações da Diretiva de Grupo estão localizadas em Configuração do Computador\Modelos Administrativos\Modelos Administrativos Clássicos (ADM)\Sistema\Instalação de Dispositivo\Restrições de Instalação de Dispositivos.

Para obter mais informações, leia o documento do Microsoft TechNet, “Step-By-Step Guide to Controlling Device Installation and Usage with Group Policy”, em http://www.microsoft.com/technet/windowsvista/library/9fe5bf05-a4a9-44e2-a0c3-b4b4eaaa37f3.mspx.

Planejando a segurança do Internet Explorer

Como os navegadores da Web permitem que os usuários troquem ativamente informações e programas importantes através da Internet e da intranet, considere os requisitos de segurança necessários para proteger a privacidade dos usuários e o conteúdo de suas trocas. O Internet Explorer oferece diversos recursos para ajudar os usuários a garantirem a privacidade de suas informações e a segurança de seus ambientes de trabalho. Os integrantes da equipe de recursos de segurança podem configurar previamente estas opções de segurança e privacidade como parte dos pacotes personalizados do navegador. Durante a predefinição destas configurações, os integrantes da equipe de recursos de segurança têm a opção de bloqueá-las, impedindo que sejam alteradas pelos usuários.

Implemente as opções a seguir, dependendo das necessidades de segurança e privacidade dos usuários:

  • Preferências de privacidade. Defina as preferências de privacidade para divulgação de informações pessoais em sites. Estas configurações de privacidade usam como base a especificação P3P1.0 (Platform for Privacy Preferences 1.0), que permite controlar como os sites visitados pelos usuários utilizam suas informações pessoais. Ao navegar por sites da Web, o Internet Explorer decide sobre a divulgação de informações pessoais do usuário, com base nas preferências de privacidade do usuário e nas informações da diretiva de privacidade do site. As preferências de privacidade também determinam se os sites podem armazenar cookies no computador do usuário.

  • Zonas de segurança. Use as zonas de segurança do Internet Explorer para dividir a Internet e a intranet em quatro grupos de áreas confiáveis e não confiáveis e para determinar as áreas seguras e inseguras específicas às quais pertence o conteúdo específico da Web. Este conteúdo da Web pode ser qualquer item, de HTML (Hypertext Markup Language) ou arquivo gráfico a controle ActiveX, miniaplicativo Java™ ou programa executável.

  • Níveis de segurança. Depois de estabelecer zonas de confiança, defina os níveis de segurança do navegador para cada zona. Depois, defina as configurações de controles ActiveX, download e instalação, script, gerenciamento de cookie, autenticação de senha, segurança de cross-frame e recursos VM (máquina virtual) Microsoft, com base na zona à qual um site pertence.

  • Certificados digitais. Para verificar a identidade de indivíduos e organizações na Web e para garantir a integridade do conteúdo, o Internet Explorer usa certificados digitais padrão do setor e tecnologia Microsoft Authenticode® 2.0. Juntamente com zonas de segurança, use certificados para controlar o acesso do usuário a conteúdo online, com base em tipo, origem e local do conteúdo. Por exemplo, use zonas de segurança em conjunto com certificados para conceder aos usuários total acesso ao conteúdo da Web na intranet da organização, mas acesso limitado ao conteúdo de sites restritos da Internet.

  • Classificações de conteúdo. Use o Supervisor de Conteúdo do Internet Explorer para controlar os tipos de conteúdo que os usuários podem acessar na Internet. Ajuste as configurações de classificação de conteúdo para refletir o conteúdo apropriado em quatro áreas: linguagem, nudez, sexo e violência. Controle o acesso, também, especificando sites individuais como aprovados ou reprovados para visualização do usuário.

  • Segurança com base em permissão para Microsoft VM. O Internet Explorer fornece segurança com base em permissão para Microsoft VM, com amplo gerenciamento das permissões concedidas às bibliotecas e miniaplicativos Java. Opções administrativas avançadas incluem controle refinado dos recursos oferecidos ao código Java, como acesso à área de rascunho, arquivos locais e conexões de rede. Use estas opções para oferecer a um aplicativo alguns recursos adicionais sem oferecer acesso ilimitado a todos os recursos do sistema.

Planejamento de segurança do aplicativo

Aplicativos adicionam recursos a um sistema operacional, mas eles podem adicionar, também, vulnerabilidades. Por exemplo, muitos vírus penetraram redes internas através da exploração de vulnerabilidades em clientes de email e navegadores da Web. Ao criar uma plataforma cliente para atender às necessidades de segurança, considere os aplicativos que serão executados naquela plataforma e avalie os pontos fortes e fracos de segurança dos aplicativos concorrentes. Especificamente, considere os seguintes fatores:

  • Metodologia de atualização. Assim como a equipe de recursos de segurança deve planejar a distribuição de atualizações do sistema operacional, à medida que a Microsoft as lança para reduzir os riscos de vulnerabilidades descobertas recentemente, a equipe deve planejar, também, a distribuição de atualizações para cada aplicativo implantado. Qualquer aplicativo pode ter vulnerabilidades de segurança. Discuta com potenciais fornecedores de software como eles lançam atualizações, quando vulnerabilidades são descobertas, e quais os melhores métodos de implantação. A equipe de recursos de segurança deve considerar como integrará o cronograma de atualizações do fornecedor do software ao processo de atualização da organização. A Microsoft lança atualizações de alguns aplicativos, como o Internet Explorer e programas do Microsoft Office, através dos mesmos mecanismos usados para lançar atualizações de sistema operacional.

  • Metodologia de desenvolvimento seguro. Embora qualquer aplicativo possa conter vulnerabilidades de software, muitas empresas de software não-Microsoft não possuem processos de auditoria de código para vulnerabilidades de software. Dependendo das metodologias de desenvolvimento da organização, pode até ser possível que um único desenvolvedor injete intencionalmente código mal-intencionado em um aplicativo, sem que este seja revisado pelo gerenciamento superior. Embora a Microsoft possua processos prontos para limitar a ocorrência de vulnerabilidades não intencionais e atos mal-intencionados de software, discuta a metodologia de desenvolvimento com qualquer potencial fornecedor de software para garantir que suas práticas atendam aos requisitos de segurança. Para obter mais informações, consulte ”Writing Secure Code”, em http://msdn.microsoft.com/security/securecode.

  • Gerenciamento. A equipe de recursos de segurança talvez tenha que modificar a configuração padrão de um aplicativo para fazer com que ele atenda aos requisitos de segurança. A equipe pode fazer isso como parte do processo regular de implantação do aplicativo, mas ela também deve considerar o gerenciamento contínuo do aplicativo. Se uma vulnerabilidade recém-descoberta forçar a equipe a alterar uma configuração do aplicativo, como os integrantes da equipe efetuarão sua atualização em cada computador cliente que executa o aplicativo? Como os integrantes da equipe impedirão os usuários de alterar a configuração de maneira a reduzir a segurança de um aplicativo? Alguns aplicativos, como o Internet Explorer e o Microsoft Office System, podem ser gerenciados pelos integrantes da equipe através do uso de configurações de Diretiva de Grupo, a maneira ideal de manter configurações de segurança do aplicativo.

Observação   Para a manutenção de diversas versões de um aplicativo, os integrantes da equipe de recursos de segurança podem usar diversas técnicas para gerenciar as configurações do aplicativo. Por exemplo, a equipe poderá usar GPOs para especificar configurações de diretiva para o Internet Explorer, se os clientes estiverem usando Windows XP ou Windows Vista. Para clientes que estejam executando versões anteriores do sistema operacional Windows com Internet Explorer, a equipe pode usar o Windows Internet Explorer Administration Kit (IEAK), disponível em http://www.microsoft.com/technet/prodtechnol/ie/ieak, para manter as configurações.

Planejando o Windows Defender

O Windows Defender é uma tecnologia de segurança que ajuda a proteger os usuários do Windows contra spyware e outros software potencialmente indesejados, detectando e removendo spyware conhecido dos computadores dos usuários. Esta ferramenta ajuda a reduzir os efeitos negativos causados por spyware, incluindo lentidão no desempenho do computador, anúncios pop-up incômodos, alterações indesejadas às configurações de Internet e uso não autorizado de informações particulares.

Proteção contínua melhora a segurança de navegação na Internet, protegendo mais de 50 formas de entrada de spyware no computador do usuário. Os participantes da comunidade mundial Microsoft SpyNet cumprem um papel importante na identificação de programas suspeitos classificados como spyware. Os pesquisadores da Microsoft rapidamente desenvolvem métodos para enfrentar estas ameaças e as atualizações são automaticamente baixadas nos computadores dos usuários, mantendo-os atualizados. Mesmo havendo pouco risco em enviar esta informação à comunidade SpyNet, é possível que informação particular seja revelada. Pondere este risco potencial com relação aos benefícios de participar da SpyNet.

Para proteger os computadores desktop da organização contra spyware e outros software indesejados, use a Diretiva de Grupo para habilitar o serviço Windows Spyware nos computadores da organização. Para obter mais informações sobre o Windows Defender, visite http://www.microsoft.com/athome/security/spyware/software. Para distribuir assinaturas atualizadas do Windows Defender, use o Microsoft Windows Server Update Services (WSUS), como descrito em “Selecionando uma metodologia de atualização”, posteriormente neste capítulo.

Aplicativos de segurança não-Microsoft

Mesmo ambientes com requisitos mínimos de segurança devem incluir software não-Microsoft em seus computadores cliente. Considere os seguintes requisitos de segurança que talvez não estejam sendo atendidos em clientes Windows:

  • Proteção contra vírus. Vírus são a ameaça mais freqüente em redes que utilizam o sistema operacional Windows e um software antivírus deve ser executado em cada computador cliente, independentemente dos requisitos de segurança. Se a organização não possui orçamento a ser alocado para proteção antivírus, utilize uma solução antivírus gratuita. A maioria das empresas possui uma solução antivírus sofisticada, que oferece aos administradores controle centralizado sobre a configuração antivírus e que atualiza assinaturas antivírus automaticamente. VisiteMicrosoft Antivirus Partners emhttp://www.microsoft.com/security/partners/antivirus.asp para obter uma lista.

  • Backups de rede. O backup de dados em computadores cliente é essencial para a segurança e recuperação de desastre, mas é também um desafio. As empresas, geralmente, adquirem software de backup de rede não-Microsoft. Depois, instalam agentes de backup em todos os computadores cliente e configuram dados críticos (como Meus Documentos e o estado do sistema) para efetuarem o backup em toda a rede, todas as noites, em um servidor central de backup. O servidor de backup geralmente armazena os dados em diversos discos rígidos para restaurações rápidas e copia dados em fitas de backup removíveis que podem ser enviadas para fora do local para proteger os dados, em caso de incêndio ou outra catástrofe.

Selecionando uma metodologia de atualização

Planeje a atualização de cada componente da rede que usa software. Entre estes componentes da rede, os computadores cliente são os mais difíceis de atualizar, porque as empresas possuem um grande número deles, pois executam diversos aplicativos que requerem atualização e são freqüentemente desconectados da rede.

Para manter os sistemas atualizados

  1. Monte uma equipe de atualização.

  2. Realize inventário de todo o software da organização.

    A equipe de recursos de compatibilidade de aplicativos terá criado um inventário de software que a equipe de recursos de segurança poderá usar como base. Além disso, algumas destas informações, incluindo sistema operacional e aplicativos instalados, podem ser reunidas automaticamente com o uso de ferramentas como SMS. Para obter mais informações sobre SMS para atualizações de software, consulte o documento do Microsoft TechNet, “Patch Management Using Systems Management Server 2003,” em http://www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsms/2003/pusmscg3.mspx. A equipe de recursos de segurança pode inventariar, também, software Microsoft em um computador, usando o Microsoft Software Inventory Analyzer (MSIA). O MSIA está disponível para download gratuitamente em http://www.microsoft.com/resources/sam/msia.mspx. Para obter instruções sobre o uso de MSIA, leia o “Apêndice D. Usando o Microsoft Software Inventory Analyzer”. Para obter informações sobre ferramentas de inventário de software não-Microsoft, consulte Find a Tool em  http://www.microsoft.com/resources/sam/aspx/findtool.aspx.

  3. Entre em contato com cada fornecedor de software e determine seus processos de notificação de clientes sobre atualizações de software.

    Alguns fornecedores enviam notificações de atualização por email, enquanto outros exigem a verificação de um site regularmente.

  4. Determine pessoas responsáveis por identificar atualizações de software regularmente.

    Por exemplo, alguém da equipe deve ficar responsável por verificar novas atualizações no site de cada fornecedor semanalmente, pelo menos.

  5. Crie um processo de atualização para avaliação, recuperação, teste, instalação, auditoria e remoção de atualizações.

As seções a seguir descrevem três tecnologias comuns de implantação de atualização: Microsoft Update, WSUS e SMS. Além disso, conheça o DesktopStandard’s PolicyMaker™ Software Update, uma ferramenta de gerenciamento de atualização não-Microsoft, em http://www.desktopstandard.com/PolicyMakerSoftwareUpdate.aspx.

Microsoft Update

Microsoft Update é um serviço gratuito oferecido para manter os computadores que utilizam sistema operacional Windows atualizados com o sistema operacional e os aplicativos Microsoft mais recentes. O Microsoft Update é formado por três componentes: o site do Microsoft Update, o cliente Atualização Automática e o Microsoft Update Catalog. Milhões de pessoas usam o site do Microsoft Update (http://windowsupdate.microsoft.com) semanalmente, para manterem seus sistemas Windows atualizados. Quando um usuário conecta-se ao site, o Microsoft Update avalia o computador do usuário e verifica quais atualizações de software e de drivers de dispositivos atualizados devem ser aplicadas para manter o sistema seguro e confiável. No entanto, o Microsoft Update não é recomendado para empresas, porque ele requer que os usuários gerenciem individualmente suas próprias atualizações e não utiliza a largura de banda de maneira eficiente.

O site do Microsoft Update inclui um catálogo de todos os pacotes de instalação de atualização de software para download. Estes pacotes de instalação de atualização de software podem ser armazenados em um CD, distribuídos e instalados por outros meios, como SMS ou ferramentas de distribuição de software não-Microsoft, ou podem ser usados na instalação de novos computadores.

Windows Server Update Services

WSUS é uma versão simplificada do Microsoft Update, que a organização pode hospedar em sua rede particular para atualizações críticas e atualizações de segurança. O WSUS conecta-se ao site do Microsoft Update, baixa atualizações críticas, atualizações de segurança, pacotes de serviço e adiciona-os à lista de atualizações que requerem aprovação administrativa. O WSUS, então, notifica os administradores por email sobre novas atualizações disponíveis. Depois que o administrador aprova e prioriza estas atualizações, o WSUS torna-as automaticamente disponíveis para qualquer computador que esteja executando Atualizações Automáticas. Atualizações Automáticas (quando configurado corretamente), então, verifica o servidor do WSUS e automaticamente baixa e instala atualizações, como configurado pelos administradores. Como exibido na Figura 6, o WSUS pode ser distribuído para diversos servidores e locais para atender às necessidades da empresa. O WSUS atende às necessidades de organizações de porte médio e diversas empresas.

Bb490173.SE_SecuFeat06(pt-br,TechNet.10).gif

Figura 6. Arquitetura WSUS empresarial típica

Para obter instruções sobre a configuração de WSUS, leia o “Apêndice E. Configurando o Windows Server Update Services”. Para obter mais informações sobre gerenciamento de atualização com WSUS, leia o documento do Microsoft TechNet, “Patch Management Using Microsoft Software Update Services”, em http://www.microsoft.com/technet/itsolutions/cits/mo/swdist/pmsus/pmsus251.mspx. (Software Update Services ou SUS é a versão anterior do WSUS, mas a maior parte do conteúdo ainda se aplica.)

Systems Management Server

O SMS oferece diversas ferramentas para ajudar a implantar atualizações em uma empresa. Com o recurso de distribuição de software SMS, a equipe de recursos de segurança pode atualizar automaticamente todos os computadores cliente SMS da organização. A equipe pode permitir que os usuários executem a instalação de atualização quando desejarem ou pode programar a instalação da atualização para um momento específico. Ela também pode programar a atualização para ser executada em computadores cliente SMS no momento que os usuários não estiverem conectados.

Para obter mais informações sobre SMS, visite a home page SMS  em http://www.microsoft.com/smserver. Para obter mais informações sobre o uso de SMS para gerenciamento de atualizações, consulte o documento Microsoft, “Patch Management Using Systems Management Server 2003”, em http://www.microsoft.com/downloads/details.aspx?FamilyId=E9EAB1BD-13E7-4E25-85C5-CE2D191C3D63&displaylang=en.

Segurança de infra-estrutura e implantação

Embora este guia enfoque a implantação em desktops com a melhor configuração de segurança possível, a segurança da própria infra-estrutura de implantação também deve ser considerada. As seções a seguir não têm a intenção de fornecer uma cobertura abrangente sobre proteção da infra-estrutura de implantação. Em vez disso, estas seções pretendem esclarecer aos integrantes da equipe de recursos de segurança os possíveis riscos de segurança, para que eles possam reduzi-los, como parte do processo de gerenciamento de risco de segurança. Sempre que for possível, as seções a seguir apresentarão referências de documentação mais detalhada.

Para obter informações detalhadas sobre a proteção do ambiente de implantação, consultes os seguintes apêndices:

  • “Apêndice  F: Restringindo permissões de arquivo nos servidores de implantação”

  • “Apêndice  G: Configurando a segurança para contas de usuários de domínio”

  • “Apêndice H: Usando o MBSA para fazer auditoria da configuração de segurança dos servidores de implantação”

  • “Apêndice I: Usando as ferramentas de verificação de porta para fazer auditoria da configuração de segurança dos servidores de implantação”

Protegendo áreas de preparo da implantação

As áreas de preparo, onde as imagens são criadas, atualizadas e mantidas, apresentam uma vulnerabilidade potencial significativa. Em primeiro lugar, porque os computadores da área de preparo (incluindo computadores que não tenham sido atualizados e não atendem aos requisitos de segurança da organização) tendem a efetuar execuções com diversos graus de segurança, o que apresenta alto risco de comprometimento dos computadores. Proteja especialmente estes computadores de worms e vírus, colocando-os em um segmento de rede isolado.

Usar apenas um firewall de perímetro não é suficiente. Os computadores na área de preparo da implantação devem ficar em uma rede separada, inacessível aos computadores de produção. Se os computadores da rede interna podem rotear tráfego para a área de preparo da implantação, há grande risco de que os servidores de preparação da implantação sejam infectados por um worm. Worms são comuns em redes internas, porque computadores portáteis podem ser infectados durante a conexão com redes não confiáveis.

Em segundo lugar, como estas imagens formam a base de todos os novos computadores da organização, uma imagem comprometida pode ter um efeito disseminador de alto custo. Use o processo de gerenciamento de risco de segurança (discutido anteriormente neste documento) para avaliar este risco e atribuir recursos para a redução de quaisquer vulnerabilidades.

Em terceiro lugar, as áreas de preparo podem conter credenciais (nomes de usuário e senhas) usadas para autenticar automaticamente os computadores durante o processo de configuração. Proteja estas credenciais para reduzir o risco de que um invasor as utilize. Para obter mais informações sobre a proteção de servidores que hospedam imagens e outros componentes de infra-estrutura na área de preparo, consulte o Windows Server 2003 Security Guide em http://www.microsoft.com/technet/security/prodtech/windowsserver2003/W2003HG/SGCH00.mspx.

A equipe de recursos de segurança não pode eliminar completamente o risco de comprometimento da segurança. Portanto, a equipe deve planejar a identificação e acompanhamento dos ataques. A auditoria de segurança, incorporada a todas as versões recentes do sistema operacional Windows, é uma ferramenta útil para o registro de ações do usuário. Para obter mais informações, consulte Auditing Security Events Best Practices, em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/ServerHelp/5658fae8-985f-48cc-b1bf-bd47dc210916.mspx no Windows Server 2003 Help and Support Center.

Além disso, considere um sistema de detecção de intrusão não-Microsoft para atender aos requisitos de segurança da organização. Para obter mais informações sobre como a Microsoft usa MOM e ferramentas não-Microsoft para auditoria, leia o documento “Incident Response: Managing Security at Microsoft”, em http://www.microsoft.com/technet/itsolutions/msit/security/msirsec.mspx.

Protegendo os servidores de implantação de produção

Os servidores de implantação também devem ser protegidos. Como os servidores do ambiente de preparo, os servidores de implantação geralmente armazenam arquivos de configuração, que podem incluir credenciais do usuário. Proteja estes servidores com controles físicos. Apenas pessoal autorizado deve ter acesso físico aos servidores de implantação de desenvolvimento ou produção e, mesmo assim, é melhor proibir o acesso de um único usuário ao servidor e exigir sempre uma combinação.

Reduza a superfície de ataque ao servidor, limitando os serviços que estão sendo executados. Por exemplo, embora a função de Servidor de Arquivos seja provavelmente necessária, em hipótese alguma instale a função de Servidor de Aplicativos em um servidor de implantação. Para as funções não instaladas, incluindo a função de Servidor de Arquivos, identifique os guias de segurança, como o Windows Server 2003 Security Guide em http://www.microsoft.com/technet/security/prodtech/windowsserver2003/W2003HG/SGCH00.mspx, que ajudará os integrantes da equipe a proteger o servidor de implantação para que ele atenda aos requisitos de segurança.

Se possível, desabilite completamente o logon remoto. Se não for possível, restrinja o acesso remoto ao servidor de implantação a um pequeno grupo confiável da equipe. Use filtragem de rede (como aquela incluída no Firewall do Windows) para restringir conexões de rede àquelas originárias de clientes em LANs.

Novamente, considere reduzir os riscos de um único administrador efetuar alterações mal-intencionadas ou instalar software mal-intencionado em imagens do sistema operacional, solicitando colaboração. Uma maneira fácil de exigir colaboração é configurar os servidores de implantação para permitir que apenas algumas contas de usuários especiais possam alterar imagens. Para cada uma dessas contas de usuário, tenha dois administradores para digitar cada um a metade da senha da conta de usuário. Para autenticar e alterar uma imagem com êxito, dois administradores precisam trabalhar juntos. Dessa maneira, a equipe de recursos de segurança pode reduzir significativamente o risco de que um único funcionário descontente comprometa os servidores.

Para reduzir o risco de ataques de decodificação de senha, considere implementar a autenticação multifator através da exigência de senha a ser usada em conjunto com cartão inteligente ou autenticação biométrica (como scanner de impressão digital). A equipe de recursos de segurança não precisa necessariamente implantar a autenticação multifator em toda e empresa; a equipe pode exigir autenticação multifator apenas nos computadores críticos da rede, como os servidores de implantação de preparo e produção.

Utilize, pelo menos, o Microsoft Baseline Security Analyzer (MBSA) para realizar auditoria da configuração de segurança dos servidores de implantação. Para obter instruções sobre o uso do MBSA, leia o “Apêndice H. Usando o MBSA para fazer auditoria da configuração de segurança dos servidores de implantação”. O MBSA está disponível para download em http://www.microsoft.com/technet/security/tools/mbsahome.mspx. O Microsoft Office Visio® 2003 Connector for MBSA, disponível em http://www.microsoft.com/technet/security/tools/mbsavisio.mspx, pode ajudá-lo a visualizar os resultados da auditoria. Para avaliar outros pontos de entrada de ataques à rede, use uma ferramenta de verificação de porta para identificar os tipos de conexões de entrada que os servidores estão escutando. Para obter informações sobre como avaliar os resultados da verificação de porta, leia o “Apêndice I. Usando as ferramentas de verificação de porta para fazer auditoria da configuração de segurança dos servidores de implantação”.

Protegendo o Windows PE e scripts de implantação de clientes

A maioria das organizações utiliza o Microsoft Windows Preinstallation Environment (Windows PE) durante o processo de implantação do cliente. Como qualquer software, o Windows PE possui potencial para conter vulnerabilidades. Portanto, planeje manter o Windows PE atualizado com as atualizações de segurança mais recentes e teste-o completamente para verificar se as atualizações não afetaram sua funcionalidade. Além disso, considere o uso de segurança de rede para proteger o Windows PE durante o processo de implantação, quando os clientes estiverem conectados à rede. O Windows PE 2.0 e versões mais recentes incluem o Firewall do Windows para reduzir ainda mais o risco de ataques à rede. Se possível, inicie o Windows PE quando os clientes estiverem conectados a um segmento de rede que possui acesso extremamente limitado.

Considere a segurança ao desenvolver scripts que serão executados no Windows PE. Sempre que for possível, evite incluir credenciais de usuários em formato de texto diretamente no script. Caso os integrantes da equipe de recursos de segurança tenham que armazenar credenciais em um script, eles devem guardá-las com criptografia reversível para impedir que um observador casual identifique o nome de usuário e a senha da conta. Além disso, os integrantes da equipe devem proteger os scripts contra acesso não autorizado, usando permissões de arquivo e compartilhamento. Finalmente, use análises de código para scripts do Windows PE, da mesma maneira que o faz para um aplicativo personalizado. Análises de código podem impedir que um integrante da equipe adicione código mal-intencionado em um script.

Para obter mais informações sobre o Windows PE, visite o site do Microsoft Volume Licensing para Windows PE em http://www.microsoft.com/licensing/programs/sa/support/winpe.mspx.

Outras considerações sobre segurança de infra-estrutura

Outras considerações sobre segurança de infra-estrutura incluem:

  • Reduzir o risco de que clientes sejam explorados entre o momento da implantação e o momento em que recebem as últimas atualizações de segurança.

  • Criar a infra-estrutura de rede para proteger tanto os clientes recém-implantados quanto a infra-estrutura de implantação.

  • Proteger a integridade de imagens, para que elas não sejam acidental ou intencionalmente infectadas por software mal-intencionado, backdoors ou falha de segurança.

  • Proteger servidores que participam da infra-estrutura de implantação, como os servidores Windows Deployment Services (Windows DS). Para obter mais informações sobre planejamento de segurança para servidores RIS, leia “Planning RIS Network Security”, em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/f5de346f-2193-4eb3-9635-6d24ac005028.mspx em Windows Server 2003 Help and Support Center.

  • Replicar imagens do sistema operacional em diferentes pontos de distribuição da empresa e reduzir o risco de que uma das imagens seja de modo mal-intencionado modificada ou utilizada. Para obter mais informações, leia “Planning File Server Security”, em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/ad7a535a-c663-4f12-b5b2-4c11ac28c0b0.mspx no Windows Server 2003 Deployment Guide. Se você estiver usando DFS (Distributed File System) e FRS (File Replication Service), dedique atenção especial à subseção intitulada “Planning DFS and FRS Security”, em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/library/DepKit/09f11266-8675-4dd6-8848-a5dd6c383967.mspx.

  • Efetuar auditoria e monitoramento de servidores da infra-estrutura de implantação para detectar e rastrear alterações que podem afetar a segurança.

  • Proteger arquivos confidenciais que podem incluir senhas, como:

    • Unattend.xml. Pode conter a senha do Administrador local e potencialmente credenciais para entrada no domínio (aplica-se apenas ao Windows Vista).

    • Unattend.txt. Pode conter a senha do Administrador local (aplica-se apenas ao Windows XP).

    • Sysprep.inf. Pode conter a senha do Administrador local e potencialmente credenciais para entrada no domínio.

    • Builds.xml. Pode conter a senha do Administrador local.

    • CustomSettings.ini. Pode conter senhas, se configurado por um administrador.

  • Proteger perfil e segurança de dados, especialmente com o uso de USMT.

  • Impedir que um usuário autorizado efetue alterações mal-intencionadas na infra-estrutura de implantação ou na plataforma cliente do desktop.

Etapa: Plano de migração aceito

Asetapas são pontos de sincronização para a solução global. Consulte o Guia de Planejamento , Criação e Implantação.

Nesta etapa, a equipe de recursos de segurança selecionou uma estratégia para diretivas e um nível de segurança para a organização. Esta etapa requer os resultados finais listados na tabela 3.

Tabela 3. Resultados finais da etapa de aceitação do plano de migração

Identificação do resultado final

Descrição

Estratégia de diretiva

Determinação e recomendação sobre o uso de GPOs centralizados ou locais

Nível de segurança

Recomendação sobre como configurar a segurança para computadores cliente, incluindo a definição do modelo de segurança base

Configuração do Firewall do Windows

Configuração recomendada do Firewall do Windows

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft