Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
1 de 1 pessoas classificaram isso como útil - Avalie este tópico

Guia de Segurança do Windows Server 2003

Apêndice A: Ferramentas e formatos de segurança

Atualizado em: 27 de dezembro de 2005

Pode ser um desafio criar, testar, implantar e gerenciar um conjunto completo de diretivas e modelos para sua organização. Este apêndice fornece uma visão geral das ferramentas da Microsoft disponíveis e dos formatos das diretivas de segurança.

Nesta página

Ferramentas de segurança
Formatos de arquivo de segurança

Ferramentas de segurança

As ferramentas a seguir estão disponíveis com o sistema operacional Windows Server™ 2003 ou como downloads gratuitos do site da Microsoft.

Assistente de Configuração de Segurança

O Assistente de Configuração de Segurança (ACS) foi introduzido no Windows Server 2003 SP1. Diferentemente da Diretiva de Grupo, ele não é integrado ao serviço de diretório do Active Directory® e, portanto, não pode ser usado para configurar diretivas de domínio. No entanto, ele fornece uma metodologia consistente de proteção baseada na função que utiliza assistentes, o que facilita a criação de diretivas seguras.

Com o ACS, você pode criar, com rapidez e facilidade, diretivas de protótipo para várias funções de servidor baseadas nas mais recentes orientações e melhores práticas da Microsoft. O ACS gerenciará automaticamente configurações de serviço, configurações do Registro, exceções do Firewall do Windows, etc. Ele inclui a capacidade de criar perfis remotamente para computadores de destino, implantar e reverter diretivas. A ferramenta de linha de comando Scwcmd permite que o ACS e a Diretiva de Grupo sejam usados juntos para implantar diretivas em grupos de computadores ou converter diretivas em GPOs (Objetos de Diretiva de Grupo).

Editor de Configuração de Segurança

As ferramentas do Editor de Configuração de Segurança (SCE) são usadas para definir modelos de diretiva de segurança que podem ser aplicados a computadores individuais ou a grupos de computadores por meio da Diretiva de Grupo do Active Directory. O SCE surgiu primeiro como um complemento para o Windows NT® 4.0 e tornou-se uma parte integral da Diretiva de Grupo.

O SCE não é mais um componente separado e é usado nos seguintes snap-ins do Console de Gerenciamento Microsoft (MMC) e utilitários administrativos:

  • Snap-in Configuração e Análise de Segurança do MMC

  • Snap-in Modelos de Segurança do MMC

  • Snap-in Editor de Diretiva de Grupo (usado na porção Configurações de segurança da árvore Configuração do computador)

  • Ferramenta Configurações Locais de Segurança

  • Ferramenta Diretiva de Segurança de Controlador de Domínio

  • Ferramenta Diretiva de Segurança de Domínio


Visto que todas essas ferramentas usam o SCE, os administradores do Windows desfrutam de uma interface consistente e poderosa para criar e editar diretivas, independentemente de se destinarem à implantação em um computador autônomo ou como um GPO.

Você pode encontrar mais informações sobre o SCE na Ajuda do Windows.

Usuários e computadores do Active Directory

O snap-in Usuários e Computadores do Active Directory do MMC fornece a principal GUI para a criação e o gerenciamento de unidades organizacionais (UO) no domínio. Você pode vincular GPOs e UOs, controlar a ordem e a herança das diretivas e iniciar o Editor de Objeto de Diretiva de Grupo como um processo separado para editar GPOs. No entanto, o snap-in não oferece um meio integrado e consistente para inventariar, redigir e gerenciar Diretivas de Grupo.

Você pode encontrar mais informações sobre o snap-in Usuários e Computadores do Active Directory do MMC na Ajuda do Windows.

Console de Gerenciamento de Diretiva de Grupo

O Console de Gerenciamento de Diretiva de Grupo (GPMC) foi produzido pela Microsoft em resposta a comentários de clientes que precisavam de um modo melhor de controlar a Diretiva de Grupo em ambientes de grande porte. O GPMC deve ser executado no Windows XP com SP1 ou no Windows Server 2003 e consiste em um snap-in do MMC e um conjunto de interfaces de scripts que pode ser usado para gerenciar a Diretiva de Grupo. Ele pode gerenciar tanto domínios do Windows 2000 Server quanto do Windows Server 2003.

O GPMC fornece:

  • Uma interface de usuário que enfoca o uso e gerenciamento da Diretiva de Grupo.

  • A capacidade de rapidamente fazer backup, restaurar, importar, exportar, copiar e colar GPOs.

  • O gerenciamento simplificado da segurança relacionada à Diretiva de Grupo.

  • Recursos de relatórios para dados de GPO e RSoP (Conjunto de Diretivas Resultante).

  • Operações de GPO programáveis.


O Console de Gerenciamento de Diretiva de Grupo com Service Pack 1 está disponível como um download gratuito para clientes do Windows Server 2003 em www.microsoft.com/downloads/details.aspx?FamilyID=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLang=en (site em inglês).

Formatos de arquivo de segurança

As diretivas de segurança podem ser criadas e armazenadas em diversos formatos. As seções a seguir detalham os formatos comuns de arquivo usados pelo Windows Server 2003:

Diretiva do ACS (.xml)

O ACS introduz um formato novo de arquivo no formato XML. As diretivas nativas do ACS são salvas com a extensão .xml. Esses arquivos de diretiva XML não têm um esquema oficial, mas podem ser identificados pelo elemento <SecurityPolicy Version="1.0">.

O arquivo de diretiva do ACS é, na verdade, um manifesto completo de vários tipos de configurações diferentes:

  • Modo de inicialização de serviços de sistema

  • Exceções do Firewall do Windows

  • Funções de computador selecionadas

  • Tarefas de computador selecionadas

  • Configurações do Registro

  • Configurações de diretiva

  • Diretivas de auditoria


Além disso, as diretivas do ACS podem ser vinculadas a um ou mais modelos de diretiva a fim de fornecer funcionalidade adicional que não é nativa ao ACS, como serviço de sistema ou listas de controle de acesso ao Registro (ACLs).

Modelo de diretiva (.inf)

Os modelos de diretiva são arquivos de texto que seguem um formato padrão para arquivos de dados do Windows: uma ou mais seções que começam com palavras-chaves entre colchetes especiais, seguidas de um ou mais pares de atributos/valores.

Os modelos de diretiva podem conter uma ou mais seções que definem os seguintes tipos de dados:

  • Diretivas de senha

  • Diretivas de bloqueio

  • Diretivas de protocolo de autenticação Kerberos

  • Diretivas de auditoria

  • Configurações de log de eventos

  • Valores do Registro

  • Modos de inicialização de serviço

  • Permissões de serviço

  • Direitos de usuário

  • Restrições à participação em grupos

  • Permissões do Registro

  • Permissões do sistema de arquivos


Os modelos de diretiva contam com o suporte de quase todas as ferramentas listadas neste apêndice, e o mesmo formato de modelo pode ser usado tanto para diretivas de computador local quando para Diretivas de Grupo do Active Directory. Antes que possam ser usados, os modelos devem ser importados pela ferramenta apropriada.

Objetos de Diretiva de Grupo (GPOs)

GPOs são dados de diretiva armazenados tanto no Active Directory quanto como uma coleção de arquivos em diretórios especiais nos controladores de domínio. Esses arquivos de diretiva representam diretivas de computador e diretivas de usuário e normalmente não são manipulados diretamente. Você pode usar uma ferramenta como o GPMC para modificar as configurações ou exportar o GPO para um modelo de diretiva.

Você pode exportar ou fazer backup de um GPO dentro do GPMC para salvar, no sistema de arquivos, todas as informações armazenadas no GPO. Os backups de GPO criados dessa maneira mantêm as seguintes informações:

  • O identificador global exclusivo (GUID) e o domínio do GPO

  • Configurações de GPO

  • A lista de controle de acesso condicional (DACL) no GPO

  • O link do filtro WMI, se houver (mas não o filtro propriamente dito)

  • Links para diretivas de segurança IP, se houver

  • O relatório XML das configurações de GPO, que pode ser exibido como HTML no GPMC

  • Carimbo de data e hora de quando o backup foi feito

  • Uma descrição do backup fornecida pelo usuário


No entanto, esse backup não salva nenhum dado externo ao GPO. Em especial, esse arquivo não conterá informações de link para sites, domínios nem UOs e não conterá os filtros WMI e as diretivas de segurança IP propriamente ditos.


Neste artigo

Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.