Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Desenvolvendo o processo de segurança

Desenvolvimento

Publicado em: 30/11/2006

A Figura 7 mostra as atividades de desenvolvimento que ocorrem durante a fase de desenvolvimento. A maioria dessas atividades envolve a revisão de configurações específicas nos arquivos de segurança, a implementação deles nas compilações e a análise dos resultados.

Bb490174.SE_SecuFeat07(pt-br,TechNet.10).gif

Figura 7. Atividades durante a fase de desenvolvimento
Nesta página

Funções e responsabilidades
Desenvolvendo configurações de segurança
Definindo configurações de segurança
Configuração do Firewall do Windows
Instalação e personalização da segurança do Internet Explorer
Etapa: Ambiente de implantação iniciado

Funções e responsabilidades

Além das tarefas definidas na descrição do processo a seguir, anote as seguintes responsabilidades que estão alocadas para os grupos de funções. A tabela 4 define as áreas de enfoque para os diferentes grupos de funções durante esta fase.

Tabela 4. Funções e responsabilidades durante a fase de desenvolvimento

Função

Foco

Gerenciamento do produto

  • Gerenciamento das expectativas do cliente

Gerenciamento do programa

  • Gerenciamento da especificação funcional

  • Gerenciamento do projeto, atualização dos planos

Desenvolvimento

  • Revisão e aplicação de GPOs

  • Configuração do Firewall do Windows

Teste

  • Testes funcionais

  • Identificação de problemas

  • Revisão da documentação

Experiência do usuário

  • Treinamento, teste de usabilidade

Gerenciamento de liberação

  • Criação de servidores de implantação, listas de verificação de implantação e planos-piloto atualizados

  • Listas de verificação de preparação de site

  • Planos de operações

Desenvolvendo configurações de segurança

A equipe de recursos de segurança pode detectar problemas com as configurações de segurança na fase de desenvolvimento que não foram previstos pela equipe na fase de planejamento. Primeiro, porque é totalmente possível que configurações de segurança importantes passem despercebidas, o que pode resultar em vulnerabilidades. Depois, porque geralmente as permissões são muito restritivas para permitir que os aplicativos sejam executados adequadamente. As seções a seguir fornecem técnicas para identificar vulnerabilidades que não foram identificadas ou resolvidas na fase de planejamento e para resolver problemas com aplicativos que não conseguem ser executados adequadamente devido a ausência de privilégios de usuário.

Identificando vulnerabilidades potenciais

As organizações que analisam cuidadosamente a segurança de cliente avaliam centenas de definições de configurações diferentes. Devido ao erro humano, é extremamente possível que uma ou mais configurações especificadas na fase de planejamento sejam perdidas ao testar computadores cliente implantados na fase de desenvolvimento. Felizmente, as ferramentas de verificação de segurança automatizadas conseguem identificar configurações que podem ter passado despercebidas tanto na fase de planejamento, quanto na fase de desenvolvimento.

Um exemplo de ferramenta de verificação é o MBSA, disponível gratuitamente na Microsoft em http://www.microsoft.com/technet/security/tools/mbsahome.mspx. Conforme mostrado na Figura 8, o MBSA consegue verificar computadores cliente e servidor para encontrar vulnerabilidades potenciais e atualizações de segurança que estão faltando.

Bb490174.SE_SecuFeat08(pt-br,TechNet.10).gif

Figura 8. A verificação MBSA de vulnerabilidades

Além de verificar o sistema operacional do cliente base, o MBSA 2.0 verifica os componentes opcionais e os aplicativos cliente a seguir para configurações vulneráveis potenciais:

  • IIS

  • Microsoft SQL Server™

  • Internet Explorer 5.01 ou posterior

  • Microsoft Office 2003, Office XP e Office 2000

  • MDAC (Microsoft Data Access Components)

  • MV da Microsoft

  • MSXML (Microsoft Extensible Markup Language)

Computadores verificados devem ser executados com os serviços de Registro remoto e servidor. Se a equipe de recursos de segurança tiver desabilitado esses serviços para reduzir a superfície de ataque do computador ou se um firewall bloquear suas comunicações de rede, ocorrerá falha no MBSA. Os integrantes da equipe devem verificar os computadores localmente ou usar uma técnica diferente para identificar vulnerabilidades. Para obter mais informações sobre o MBSA, visite http://www.microsoft.com/technet/security/tools/mbsahome.mspx.

Resolvendo problemas causados por permissões excessivamente restritivas

Ambientes que limitam as permissões de usuário geralmente têm problemas para executar alguns aplicativos, especialmente aplicativos herdados. Freqüentemente, tais problemas ocorrem devido aos desenvolvedores de aplicativos testarem somente seus aplicativos ao se conectar como membros do grupo Administradores. Normalmente, os usuários não exigem permissões de administrador pleno. Em vez disso, geralmente exigem apenas algumas permissões de arquivo, permissões de Registro e direitos de usuário, além daqueles normalmente concedidos aos membros do grupo Usuários.

Para identificar quais permissões os usuários precisam para executar um aplicativo específico, habilite a auditoria de segurança e examine o log de eventos de segurança. Siga o processo mostrado na Figura 9 para identificar e resolver problemas de permissão ao usar contas de usuário limitadas.

Figura 9. Processo de solução de problemas de permissões de aplicativo

Figura 9. Processo de solução de problemas de permissões de aplicativo

Se os integrantes da equipe de recursos de segurança forem obrigados a modificar os privilégios de usuário para resolver um problema com permissões excessivamente restritivas, precisarão avaliar se os privilégios ajustados ainda atendem aos requisitos de segurança da organização. Se necessário, identifique uma forma alternativa de reduzir o risco que originalmente exigia a implementação do privilégio restritivo.

Definindo configurações de segurança

A implementação das configurações de segurança escolhidas durante a fase de planejamento, normalmente começa com os sistemas operacionais padronizando as configurações no arquivo de imagem e aplicando um dos modelos de segurança incluídos no sistema operacional. Os integrantes da equipe podem aplicar essas configurações diretamente na imagem usando a diretiva de grupo local ou importar os modelos de segurança nos GPOs vinculados ao Active Directory.

No entanto, eles não podem usar os modelos de segurança para fazer a configuração, pois cada configuração de segurança deve ser especificada nas plataformas cliente. Use as configurações de diretiva de grupo para incrementar as configurações nos modelos de segurança. Além disso, os integrantes da equipe talvez tenham que configurar os arquivos de imagem do sistema operacional posteriormente usando as configurações de Registro. É possível que os aplicativos também tenham requisitos exclusivos de configuração. Por exemplo, geralmente os aplicativos são configurados com base no Microsoft .NET Framework editando arquivos .xml. Discuta a melhor forma de configurar aplicativos individuais com o fornecedor de software ou o desenvolvedor de aplicativo.

Para obter informações gerais sobre:

Configuração do Firewall do Windows

A diretiva de grupo é o método preferido para configurar o Firewall do Windows. No entanto, há situações em que esse método não pode ser aplicado ou não é usado. Quando a diretiva de grupo não pode ser usada ou não é usada, as opções a seguir são disponibilizadas para a definição das configurações do Firewall do Windows:

  • Usar o arquivo Unattend.xml (no Windows Vista) ou Unattend.txt (no Windows XP) para definir as configurações do Firewall do Windows. O arquivo Unattend tem opções para definir as configurações do Firewall do Windows ao realizar uma instalação autônoma do Windows. O Guia da Equipe de Recursos do Sistema de Geração de Imagens de Computador descreve o arquivo Unattend.xml ou Unattend.txt do projeto BDD 2007.

  • Usar o arquivo Netfw.inf para definir as configurações do Firewall do Windows no Windows XP. O arquivo Netfw.inf para Windows XP configura o Firewall do Windows especificando um conjunto de configurações de Registro equivalentes às opções disponíveis no componente do Firewall do Windows no painel de controle e por meio das configurações de diretiva de grupo do Firewall do Windows quando um usuário está executando uma configuração interativa do Windows XP.

  • Executar um arquivo de script que contenha comandos Netsh para definir configurações do Firewall do Windows. Para configurar computadores que executam o Windows após a implantação do sistema operacional, os usuários devem executar um arquivo de script, como um arquivo em lote (*.bat) ou um arquivo de comando (*.cmd), que contenha uma série de comandos Netsh para configurar o modo operacional do Firewall do Windows, programas permitidos e portas permitidas.

Para obter instruções detalhadas sobre como configurar o Firewall do Windows, leia o “Apêndice B. Definindo as configurações do Firewall do Windows para Windows XP” ou o “Apêndice C. Definindo as configurações do Firewall do Windows para Windows Vista”.

Instalação e personalização da segurança do Internet Explorer

Os administradores corporativos podem administrar centralmente as instalações do Internet Explorer usando o Assistente para personalização do Internet Explorer, o IEAK ou a diretiva de grupo do Active Directory. Ao executar o Assistente para personalização do Internet Explorer para criar pacotes personalizados do navegador, os administradores podem determinar como o Internet Explorer será instalado, como o software de navegação e os componentes do Internet Explorer serão personalizados e quais opções de mensagens e navegador estarão disponíveis para os usuários.

Se houver uma mudança nas necessidades da organização após a instalação do Internet Explorer, os administradores poderão usar o gerenciador de perfis do IEAK para atualizar as configurações do navegador. Eles poderão usar o recurso de configuração automática do Internet Explorer para implantar as configurações atualizadas nas áreas de trabalho dos usuários sem sair dos seus escritórios. Também poderão definir diretivas e restrições para o navegador, incluindo configurações de segurança, mensagens e área de trabalho. Essas diretivas e restrições podem ajudar a gerenciar os recursos e a largura de banda da organização. O departamento de contabilidade tem necessidades diferentes do departamento de marketing? Crie perfis diferentes que contenham configurações e restrições adaptadas para cada departamento.

Para obter mais informações sobre como usar o gerenciador de perfis do IEAK ou o Assistente para personalização do Internet Explorer para predefinir as configurações de segurança, consulte o site do Internet Explorer em http://www.microsoft.com/ie.

Etapa: Ambiente de implantação iniciado

AsEtapas são pontos de sincronização de toda a solução. Consulte o Guia de Planejamento , Criação e Implantação.

Nesta etapa, a equipe de recursos de segurança criou e adicionou arquivos de configuração de segurança à imagem. Esta etapa requer os resultados finais listados na tabela 5.

Tabela 5. Etapa do ambiente de implantação iniciada

Identificação do resultado final

Descrição

Arquivos de configuração de segurança

Os arquivos de configuração de segurança a serem incluídos na imagem

Configuração do Firewall do Windows

Os arquivos Netfw.inf ou de script necessários para configurar o Firewall do Windows

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft