Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Capítulo 3: A diretiva de domínio

Atualizado em: 27 de dezembro de 2005

Nesta página

Visão geral
Diretiva de domínio
Diretivas de conta
Diretiva de senha
Diretiva de bloqueio de conta
Diretivas Kerberos
Opções de segurança
Resumo

Visão geral

Este capítulo usa a construção de um ambiente de domínio para demonstrar maneiras de solucionar problemas de segurança em uma infra-estrutura do Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1).

Este capítulo se concentra nos seguintes tópicos:

  • Configurações de segurança e contramedidas no nível do domínio.

  • Como proteger um domínio do Windows Server 2003 para os ambientes Cliente Herdado (LC), Cliente Corporativo (EC) e Segurança Especializada – Funcionalidade Limitada (SSLF) definidos no Capítulo 1, "Introdução ao Guia de Segurança do Windows Server 2003".

Essas informações fornecem uma base e uma visão de como evoluir de um ambiente LC para um ambiente SSLF em uma infra-estrutura de domínio.

O Windows Server 2003 com SP1 é fornecido com valores padrão que foram definidos como um estado conhecido altamente seguro. Para facilitar o uso do material, este capítulo só trata das configurações modificadas, ou seja, diferentes dos valores padrão. Para obter informações sobre todas as configurações padrão, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e
Windows XP
, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Diretiva de domínio

Você pode aplicar configurações de segurança de Diretiva de Grupo em níveis diferentes em uma organização. O ambiente de linha de base discutido no Capítulo 2, "Mecanismos de proteção do Windows Server 2003", usou a Diretiva de Grupo para aplicar configurações nestes três níveis de hierarquia da infra-estrutura de domínio:

  • Nível de domínio. As configurações neste nível atendem a requisitos de segurança comuns, como diretivas de conta e de senha que precisam ser aplicadas a todos os servidores no domínio.

  • Nível de linha de base. As configurações neste nível atendem a requisitos específicos de segurança de servidor que são comuns a todos os servidores na infra-estrutura de domínio.

  • Nível específico à função. As configurações neste nível atendem a requisitos de segurança para funções específicas do servidor. Por exemplo, os requisitos de segurança dos servidores de infra-estrutura diferem daqueles dos servidores que executam o Microsoft Internet Information Services (IIS).

As seções a seguir deste capítulo discutirão com detalhes apenas a diretiva de Nível de domínio. A maioria das configurações de segurança de domínio abordadas refere-se a contas e senhas de usuários. Ao revisar essas configurações e recomendações, lembre-se de que todas as configurações aplicam-se a todos os usuários dentro dos limites do domínio.

Visão geral da diretiva de domínio

A Diretiva de Grupo é extremamente eficiente, pois permite que um administrador crie uma configuração de computador de rede padrão. Os GPOs (Objetos de Diretiva de Grupo) podem representar parte significativa de uma solução de gerenciamento de configuração para qualquer organização, porque permitem que os administradores façam alterações de segurança simultaneamente em todos os computadores do domínio ou subconjuntos do domínio.

As seções a seguir fornecem informações detalhadas sobre as configurações de segurança que você pode usar para aperfeiçoar a segurança do Windows Server 2003 com SP1. São fornecidas tabelas resumindo as configurações, assim como descrições detalhadas de como atingir os objetivos de segurança de cada definição. As configurações são divididas em categorias que correspondem à sua apresentação na interface de usuário do SCE (Editor de Configuração de Segurança) do Windows Server 2003.

Você pode aplicar simultaneamente os seguintes tipos de alterações de segurança com a Diretiva de Grupo:

  • Modificar permissões no sistema de arquivos.

  • Modificar permissões em objetos do Registro.

  • Alterar configurações no Registro.

  • Alterar atribuições de direitos de usuário.

  • Configurar serviços do sistema.

  • Configurar logs de auditoria e de eventos.

  • Definir diretivas de conta e de senha.

Este guia recomenda a criação de uma nova Diretiva de Grupo na raiz do domínio para aplicar as diretivas de domínio discutidas neste capítulo. Essa abordagem facilitará o teste e a solução de problemas da nova Diretiva de Grupo, visto que, se for preciso reverter alguma alteração, bastará desativá-la. No entanto, alguns aplicativos projetados para funcionar com o Active Directory fazem alterações à Diretiva de Domínio Padrão interna. Se você seguir as recomendações contidas neste guia, esses aplicativos não levarão em conta a nova Diretiva de Grupo implementada. Antes de implantar novos aplicativos empresariais, teste-os exaustivamente. Se encontrar problemas, verifique se o aplicativo modificou diretivas de conta, criou novas contas de usuário, modificou direitos de usuário ou fez outras alterações à Diretiva de Domínio Padrão ou às diretivas do computador local.

Diretivas de conta

As diretivas de conta, que incluem configurações de segurança de diretiva de senha, de bloqueio de conta e de Kerberos, são relevantes apenas para a diretiva de domínio dos três ambientes definidos neste guia. A diretiva de senha fornece um meio de definir a complexidade e os agendamentos de alterações de ambientes de alta segurança. A diretiva de bloqueio de conta permite controlar tentativas de logon malsucedidas a fim de iniciar bloqueios de conta, se necessário. As diretivas Kerberos são usadas para contas de usuário de domínio e determinam configurações relacionadas ao protocolo de autenticação Kerberos, como imposições e vida útil de tíquetes.

Diretiva de senha

Senhas complexas que são alteradas regularmente reduzem a probabilidade de um ataque de senha bem-sucedido. As configurações de diretiva de senha controlam a complexidade e a vida útil das senhas. Esta seção aborda cada configuração específica de diretiva de senha e como elas se relacionam a cada um dos três ambientes definidos neste guia: Cliente Herdado, Cliente Corporativo e Segurança Especializada – Funcionalidade Limitada.

Requisitos rigorosos de comprimento e complexidade de senha não significam necessariamente que usuários e administradores usarão senhas de alta segurança. Ainda que a diretiva de senha possa exigir que os usuários cumpram requisitos técnicos de complexidade, uma diretiva adicional de alta segurança é necessária para garantir que os usuários criem senhas difíceis de serem quebradas. Por exemplo, Almoço! atende a todos os requisitos de complexidade de senha, mas não é difícil de decifrar.

Se você souber alguns fatos sobre uma pessoa, poderá adivinhar a senha criada por ela, caso esta se baseie em seu prato, automóvel ou filme preferido. Uma estratégia de programas de segurança organizacionais para educar os usuários sobre senhas de alta segurança é criar um pôster descrevendo senhas de baixa segurança e exibi-lo em áreas comuns, como próximo ao bebedouro ou à copiadora. Sua organização deve definir diretrizes para a criação de senhas de alta segurança que incluam:

  • Evitar o uso de palavras que constem em um dicionário de qualquer idioma, inclusive erros de ortografia comuns ou grafias criativas.

  • Não criar uma nova senha que simplesmente incremente um dígito à sua senha atual.

  • Evitar o uso de senhas que comecem ou terminem com um algarismo, que podem ser adivinhadas com maior facilidade do que senhas que tenham um algarismo no meio.

  • Evitar o uso de senhas que outras pessoas possam adivinhar facilmente ao olhar sua mesa (como nomes de animais de estimação, times esportivos e parentes).

  • Evitar o uso de palavras da cultura popular.

  • Forçar o uso de senhas que precisem ser digitadas com as duas mãos.

  • Forçar o uso de letras maiúsculas e minúsculas, números e símbolos em todas as senhas.

  • Forçar o uso de caracteres de espaço e caracteres que só possam ser digitados com a ajuda da tecla ALT.

Você também deve usar essas diretrizes para todas as senhas de contas de serviços em sua organização.

Configurações de diretivas de senha

A tabela a seguir inclui recomendações de configuração de diretiva de senha para os três ambientes definidos neste guia. ~Você pode definir as configurações de diretivas de senha no seguinte local do Editor de objeto de diretiva de grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de conta\Diretivas de senha

Informações adicionais sobre cada configuração são fornecidas nas subseções apresentadas após a tabela.

Tabela 3.1 Recomendações para configuração da diretiva de senha

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Aplicar histórico de senhas

24 senhas memorizadas

24 senhas memorizadas

24 senhas memorizadas

Tempo de vida máximo da senha

42 dias

42 dias

42 dias

Tempo de vida mínimo da senha

1 dia

1 dia

1 dia

Comprimento mínimo da senha

8 caracteres

8 caracteres

12 caracteres

A senha deve satisfazer a requisitos de complexidade

Ativada

Ativada

Ativada

Armazene a senha usando criptografia reversível

Desativada

Desativada

Desativada

Aplicar histórico de senhas

Essa configuração de diretiva determina o número de novas senhas exclusivas que devem ser associadas a uma conta de usuário até que seja possível reutilizar uma senha antiga. O valor pode ser definido entre 0 e 24 senhas.

O valor padrão da configuração Aplicar histórico de senhas no Windows Server 2003 com SP1 é o máximo, 24 senhas. A Microsoft recomenda esse valor para todos os três ambientes pois ele ajuda a assegurar que senhas antigas não sejam reutilizadas continuamente, visto que há vulnerabilidades comuns associadas à reutilização de senhas e um número baixo para essa configuração permitirá que os usuários reciclem continuamente um pequeno número de senhas. Além disso, não existem problemas conhecidos com essa recomendação para ambientes que incluam clientes herdados.

Para aumentar a eficácia dessa configuração de diretiva, também é possível definir a configuração Tempo de vida mínimo da senha de modo que as senhas não possam ser alteradas imediatamente. Essa combinação dificulta para os usuários a reutilização de senhas, seja acidental ou proposital.

Tempo de vida máximo da senha

Essa configuração de diretiva define o período pelo qual um invasor que roubou uma senha poderá usá-la para acessar um computador da rede antes que ela expire. O intervalo de valores para esta configuração de diretiva é de 1 a 999 dias. Você pode definir a configuração Tempo de vida máximo da senha para que as senhas expirem com a freqüência necessária para seu ambiente. O valor padrão dessa configuração é 42 dias.

Alterações regulares das senhas podem ajudar a impedir que estas se tornem comprometidas. A maioria das senhas pode ser descoberta se um invasor tiver tempo e recursos suficientes. Quanto maior for a freqüência de alteração da senha, menos tempo um invasor terá para descobri-la. No entanto, quanto menor for esse valor, maior será a possibilidade de um aumento nas chamadas ao suporte técnico.

A Microsoft recomenda que a configuração Tempo de vida máximo da senha seja deixada com o valor padrão de 42 dias nos três ambientes definidos neste guia. Essa configuração garante que as senhas sejam alteradas periodicamente, mas não exige que os usuários alterem suas senhas com tal freqüência que não consigam se lembrar delas. A fim de atender às necessidades de segurança e praticidade, você pode aumentar o valor dessa configuração de diretiva nos ambientes Cliente Herdado e Cliente Corporativo.

Tempo de vida mínimo da senha

Essa configuração de diretiva determina por quantos dias uma senha deve ser usada antes que o usuário possa alterá-la. O valor da configuração Tempo de vida mínimo da senha varia de 0 a 999 dias. O valor 0 permite que a senha seja alterada imediatamente. O valor padrão dessa configuração é 1 dia.

A configuração Tempo de vida mínimo da senha deve ser menor do que a configuração Tempo de vida máximo da senha, a menos que o tempo de vida máximo seja definido como 0 (o que indica que as senhas não expiram nunca). Configure o Tempo de vida mínimo da senha como sendo maior do que 0 se desejar que a configuração Aplicar histórico de senhas funcione. Sem uma duração mínima da senha, os usuários poderão alterar as senhas repetidamente até que possam voltar a usar uma senha antiga favorita.

A Microsoft recomenda a aplicação do valor padrão de Tempo de vida mínimo da senha, que é 1 dia, para todos os três ambientes definidos neste guia. Se essa configuração for usada em conjunto com um valor igualmente baixo na configuração Aplicar histórico de senhas, os usuários poderão usar as mesmas senhas repetidas vezes. Por exemplo, se o Tempo de vida mínimo da senha for configurado como 1 dia e Aplicar histórico de senhas for 2 senhas, os usuários só terão que esperar 2 dias para poderem usar uma senha antiga favorita. No entanto, se o Tempo de vida mínimo da senha for configurado como 1 dia e Aplicar histórico de senhas como 24, os usuários terão que alterar sua senha a cada 24 dias até poderem reutilizar uma senha – o que será então improvável.

Comprimento mínimo da senha

A configuração dessa diretiva garante que as senhas tenham pelo menos um número específico de caracteres. Geralmente, senhas longas – com oito ou mais caracteres – são mais seguras do que senhas curtas. Quando a configuração Comprimento mínimo da senha é usada, os usuários não podem usar senhas em branco e precisam criar senhas com um número específico de caracteres. O valor padrão dessa configuração é 7 caracteres.

Este guia recomenda definir a configuração Comprimento mínimo da senha como oito caracteres para os ambientes Cliente Herdado e Cliente Corporativo. Essa configuração de senha é longa o suficiente para proporcionar alguma segurança, mas curta o suficiente para que os usuários a memorizem com facilidade. Além disso, essa configuração fornece uma defesa razoavelmente forte contra os ataques comuns de dicionário e força bruta.

(Ataques de dicionário usam listas de palavras para obter uma senha por tentativa e erro. Ataques de força bruta tentam todas as senhas ou textos criptografados possíveis. A probabilidade de um ataque de senha de força bruta ser bem-sucedido depende do comprimento da senha, do tamanho do conjunto de caracteres e do poder computacional disponível ao invasor.)

Este guia recomenda definir a configuração Comprimento mínimo da senha como 12 caracteres para o ambiente Segurança Especializada – Funcionalidade Limitada.

Cada caractere adicional em uma senha aumenta exponencialmente sua complexidade. Por exemplo, uma senha de sete dígitos teria 267, ou 1 x 107, combinações possíveis. Uma senha alfabética de sete caracteres que diferencie maiúsculas de minúsculas tem 527 combinações. Uma senha alfanumérica de sete caracteres que diferencie maiúsculas de minúsculas, sem pontuação, tem 627 combinações. A um ritmo de 1 milhão de tentativas por segundo, seriam precisos aproximadamente 40 dias para descobri-la. Uma senha de oito caracteres tem 268, ou 2 x 1011, combinações possíveis. Embora este pareça ser um número incrivelmente alto, a um ritmo de 1 milhão de tentativas por segundo (a capacidade de muitos utilitários de quebra de senha), levaria somente 59 horas para se tentar todas as senhas possíveis. Lembre-se de que esse tempo aumenta consideravelmente com o uso de senhas contendo caracteres ALT e outros caracteres especiais, como ! ou @.

As senhas são armazenadas no banco de dados do Gerenciador de Contas de Segurança ou no Active Directory depois de passarem por um algoritmo de hash unidirecional (não reversível). Assim, a única maneira conhecida de saber se você tem a senha certa é passá-la pelo mesmo algoritmo de hash unidirecional e comparar os resultados. Os ataques de dicionário passam dicionários inteiros pelo processo de criptografia e procuram resultados correspondentes. Eles são uma abordagem simplista, mas muito eficaz, de determinar quem usa palavras como "senha" ou "convidado" como senha de suas contas.

Versões mais antigas do Windows usavam um tipo específico de algoritmo de hash conhecidos como LMHash (hash do LAN Manager). Esse algoritmo divide a senha em blocos de sete ou menos caracteres e calcula um valor de hash para cada bloco. Embora usem um algoritmo de hash mais novo, o Windows 2000 Server, o Windows XP e o Windows Server 2003 ainda podem calcular e armazenar o LMHash para compatibilidade com versões anteriores.

Valores de LMHash presentes apresentam um atalho para os crackers de senhas. Se uma senha tiver sete caracteres ou menos, a segunda metade do LMHash é determinada como um valor específico que pode informar ao invasor que a senha tem menos de 8 caracteres. Senhas com pelo menos 8 caracteres reforçam até mesmo o LMHash mais fraco, pois senhas mais longas exigem que os invasores descriptografem duas partes de cada senha em vez de apenas uma. É possível atacar ambas as metades de um LMHash paralelamente. Com apenas 1 caractere, a segunda metade do LMHash sucumbirá a um ataque de força bruta em milissegundos. Portanto, ela só é vantajosa quando faz parte do conjunto de caracteres ALT.

Pelas razões descritas acima, o uso de senhas mais curtas não é recomendado. No entanto, requisitos de comprimento mínimo que sejam longos demais podem resultar em um número maior de senhas digitadas incorretamente, o que pode levar a mais bloqueios de contas e, conseqüentemente, ao aumento do volume de chamadas ao suporte técnico. Na verdade, requisitos de senha extremamente longos podem diminuir a segurança de uma organização porque os usuários tenderão a anotar suas senhas para não esquecê-las.

A senha deve satisfazer a requisitos de complexidade

Essa diretiva verifica todas as novas senhas assim que criadas a fim de garantir que atendam aos requisitos de complexidade. As regras de diretivas do Windows Server 2003 não podem ser modificadas diretamente. No entanto, você pode criar uma nova versão do arquivo Passfilt.dll para aplicar um conjunto de regras diferentes. Para obter mais informações sobre a criação de um arquivo Passfilt.dll personalizado, consulte o artigo "Sample Password Filter" do MSDN® em http://msdn.microsoft.com/library/default.asp?url=/library/en-us/secmgmt/
security/sample_password_filter.asp (página em inglês).

Uma senha de 20 ou mais caracteres pode ser definida de maneira a ser mais fácil de ser memorizada – e mais segura – do que uma senha de oito caracteres. Considere a seguinte senha de 37 caracteres: Adoro batatas fritas baratas a R$ 2,00. Esse tipo de senha (na verdade uma frase secreta) pode ser mais fácil de ser memorizada do que uma senha curta, como P@55w0rd.

Quando combinada a um Comprimento mínimo da senha de 8, essa configuração dificulta muito a montagem de um ataque de força bruta. Se você incluir letras maiúsculas e minúsculas e números, o número de caracteres disponíveis aumentará de 26 para 62. Uma senha de oito caracteres tem 2,18 x 1014 combinações possíveis. A um ritmo de 1 milhão de tentativas por segundo, levaria 6,9 anos para testar todas as variações possíveis.

Por esses motivos, a Microsoft recomenda que a configuração A senha deve satisfazer a requisitos de complexidade seja definida como Ativada nos três ambientes definidos neste guia.

Armazene a senha usando criptografia reversível

Essa configuração de diretiva determina se o sistema operacional usa criptografia reversível para armazenar senhas. Ela oferece suporte a aplicativos que usam protocolos que requerem senhas de usuário para fins de autenticação.

As senhas armazenadas com um método de criptografia que pode ser revertido podem ser recuperadas mais facilmente do que aquelas armazenadas com criptografia não reversível. Se essa configuração estiver ativada, a vulnerabilidade será maior.

Por esse motivo, a Microsoft recomenda que a configuração Armazene a senha usando criptografia reversível seja definida como Desativada, a menos que os requisitos de aplicativo superem a necessidade de proteção das informações de senha. Além disso, ambientes que implantam o protocolo CHAP (Challenge Handshake Authentication Protocol) por acesso remoto ou IAS, e ambientes que usam autenticação Digest para Serviços de informações da Internet (IIS) exigem a ativação dessa configuração.

Como impedir que usuários alterem uma senha quando não for necessário

Embora as configurações de diretiva de senha descritas na seção anterior forneçam várias opções, algumas organizações exigem o controle centralizado de todos os usuários. Esta seção descreve como impedir alterações de senha por usuários a menos que as alterações sejam necessárias.

O controle centralizado de senhas de usuários é a base de um esquema de segurança bem-elaborado do Windows Server 2003. É possível usar a Diretiva de Grupo para definir a duração mínima e máxima da senha, como discutido anteriormente, mas lembre-se de que exigir trocas freqüentes de senha pode permitir que os usuários burlem a configuração do histórico de senhas do ambiente. Exigir senhas muito longas também pode aumentar o volume de chamadas ao suporte técnico por usuários que esquecem suas senhas.

Os usuários podem alterar as senhas durante o período entre as configurações de duração mínima e máxima. No entanto, o design do ambiente Segurança Especializada – Funcionalidade Limitada exige que os usuários alterem suas senhas somente quando o sistema operacional solicita a alteração após os 42 dias da configuração Tempo de vida máximo da senha. A fim de impedir alterações de senha (a menos que necessárias), desative a opção Alterar Senha na caixa de diálogo Segurança do Windows exibida quando você pressiona CTRL+ALT+DELETE. Observe que os usuários preocupados com a segurança podem querer alterar suas senhas com maior freqüência e precisarão contatar um administrador para fazê-lo, o que aumentará o custo do suporte.

É possível implementar essa configuração em um domínio inteiro com a Diretiva de Grupo, ou editar o Registro de modo a implementá-la para um ou mais usuários específicos. Para obter instruções mais detalhadas sobre essa configuração, consulte o artigo "How To Prevent Users from Changing a Password Except When Required in Windows Server 2003" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=324744 (página em inglês).

Diretiva de bloqueio de conta

A diretiva de bloqueio de conta é um recurso de segurança do Windows Server 2003 que bloqueia a conta de usuário depois de um número de tentativas de logon malsucedidas realizadas em um determinado período. O número de tentativas permitidas e o período de tempo baseiam-se nos valores configurados para a diretiva. O Windows Server 2003 com SP1 monitora as tentativas de logon, e o software no servidor pode ser configurado para desativar contas depois de um número determinado de tentativas de logon malsucedidas como resposta a potenciais ataques.

Essas configurações de diretiva ajudam a proteger senhas de usuário contra invasões por adivinhação e diminuem a probabilidade de ataques bem-sucedido à rede. No entanto, a ativação da diretiva de bloqueio de conta implicará em custos mais altos com suporte, visto que os usuários que esquecerem ou digitarem incorretamente suas senhas repetidamente precisarão de ajuda. Antes de ativar as configurações a seguir, certifique-se de que sua organização esteja preparada para arcar com esses custos adicionais. Para muitas organizações, uma solução eficiente e menos dispendiosa é monitorar automaticamente os logs de eventos de segurança dos controladores de domínio e gerar alertas administrativos quando houver tentativas aparentes de adivinhar as senhas de contas de usuário. Consulte o Capítulo 2, "Diretivas do nível de domínio", do guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, para obter detalhes adicionais sobre essas configurações e como elas interagem.

Configurações da diretiva de bloqueio de conta

A tabela a seguir resume as configurações recomendadas para a diretiva de bloqueio de conta. É possível usar o Editor de objeto de diretiva de grupo para definir estas configurações na Diretiva de Grupo do Domínio em:

Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas de conta\Diretiva de bloqueio de conta

Informações adicionais sobre cada configuração são fornecidas nas subseções apresentadas após a tabela.

Tabela 3.2 Configurações da diretiva de bloqueio de conta

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Duração do bloqueio de conta

30 minutos

30 minutos

15 minutos

Limite de bloqueio de conta

50 tentativas inválidas de logon

50 tentativas inválidas de logon

10 tentativas inválidas de logon

Zerar contador de bloqueios de conta após

30 minutos

30 minutos

15 minutos

Duração do bloqueio de conta

Essa configuração de diretiva determina após quanto tempo uma conta será desbloqueada e o usuário poderá tentar fazer logon novamente. Ela especifica o número de minutos em que uma conta bloqueada permanecerá indisponível. Se você configurar o valor de Duração do bloqueio de conta como 0, as contas permanecerão bloqueadas até que um administrador as desbloqueie. O valor padrão do Windows Server 2003 para essa configuração é Não definido.

Embora possa parecer uma boa idéia definir a Duração do bloqueio de conta para nunca desbloquear a conta automaticamente, essa configuração pode aumentar o número de chamados ao suporte técnico para desbloquear contas bloqueadas por engano.

Este guia recomenda definir a configuração Duração do bloqueio de conta como 30 minutos nos ambientes Cliente Herdado e Cliente Corporativo, e como 15 minutos nos ambientes Segurança Especializada – Funcionalidade Limitada. Essa configuração reduz a sobrecarga operacional durante um ataque de negação de serviço (DoS). Em um ataque de negação de serviço, um invasor mal-intencionado executa várias tentativas de logon sem êxito em todos os usuários da organização, bloqueando as suas contas. As configurações recomendadas dão aos usuários bloqueados a chance de fazer logon novamente após um período de tempo razoável sem a necessidade de ajuda do suporte técnico. No entanto, os usuários precisam ser comunicados sobre o valor dessa configuração.

Limite de bloqueio de conta

Essa configuração de diretiva determina o número de tentativas de logon que um usuário pode fazer em uma conta até que ela seja bloqueada.

Usuários autorizados podem acabar bloqueando suas contas de diferentes maneiras. Podem inserir incorretamente sua senha ou alterar a senha em um computador enquanto estão conectados a outro computador. O computador com a senha incorreta poderá tentar autenticar o usuário continuamente e, como a senha usada na autenticação está incorreta, a conta de usuário terminará por ser bloqueada. Para evitar o bloqueio de usuários autorizados, defina um número alto para a configuração Limite de bloqueio de conta.

Como podem existir vulnerabilidades, seja quando o Limite de bloqueio de conta é definido, seja quando não o é, são estabelecidas contramedidas diferentes para cada uma dessas possibilidades. Sua empresa deve decidir entre as duas opções de acordo com as ameaças identificadas e os riscos que você está tentando atenuar.

  • Para impedir bloqueios de contas, defina o valor de Limite de bloqueio de conta como 0. Essa configuração ajuda a reduzir o volume de chamadas ao suporte técnico, pois os usuários não podem bloquear suas contas acidentalmente. Além disso, qualquer ataque de negação de serviço que tente bloquear intencionalmente as contas da organização será malsucedidos. Como isso não impedirá um ataque de força bruta, escolha essa configuração somente se os dois os critérios a seguir forem atendidos:

    • A diretiva de senha exige que todos os usuários tenham senhas complexas compostas de oito ou mais caracteres.

    • Existe um mecanismo de auditoria potente para alertar os administradores quando houver uma série de falhas de logon em um ambiente. Por exemplo, o mecanismo de auditoria deve monitorar o evento de segurança 539, que é "Falha de logon. A conta foi bloqueada no momento em que houve a tentativa de logon". Esse evento significa que a conta foi bloqueada quando o limite de tentativas de logon foi atingido. No entanto, o evento 539 só mostra o bloqueio de uma conta, não uma tentativa de uso de senha incorreta. Assim, os administradores devem também monitorar uma série de tentativas de senha incorretas.

  • Se esses critérios não forem atendidos, a segunda opção é configurar Limite de bloqueio de conta com um valor alto o suficiente para permitir que os usuários digitem uma senha incorreta várias vezes sem bloquear suas contas. No entanto, o valor deve, ainda assim, ajudar a garantir que um ataque de senha de força bruta bloqueie a conta.

Este guia recomenda configurar o Limite de bloqueio de conta como 50 nos ambientes Cliente Herdado e Cliente Corporativo, o que deve fornecer a segurança adequada e uma facilidade de uso aceitável. O valor dessa configuração evitará bloqueios acidentais de conta e reduzirá o número de chamadas ao suporte técnico, mas não evitará um ataque de negação de serviço, como descrito acima. No entanto, este guia recomenda configurar essa diretiva como 10 nos ambientes Segurança Especializada – Funcionalidade Limitada.

Zerar contador de bloqueios de conta após

Essa configuração de diretiva determina quanto tempo esperar até que o Limite de bloqueio de conta seja redefinido como 0 e a conta seja desbloqueada. Se você definir um Limite de bloqueio de conta, o tempo para redefinição deverá ser menor ou igual ao valor da configuração Duração do bloqueio de conta.

A configuração Zerar contador de bloqueios de conta após funciona em conjunto com outras configurações. Se esse valor for deixado na definição padrão ou definido com um intervalo longo demais, o ambiente poderá ficar vulnerável a um ataque de negação de serviço de bloqueio de conta. Sem uma configuração de diretiva para redefinir o bloqueio de contas, os administradores deverão desbloquear manualmente todas as contas. Por outro lado, se houver um valor de tempo razoável para essa configuração, os usuários ficarão com as contas bloqueadas durante um período definido até que todas as contas sejam desbloqueadas automaticamente.

Este guia recomenda definir a configuração Zerar contador de bloqueios de conta após como 30 minutos nos ambientes Cliente Herdado e Cliente Corporativo. Essa configuração define um período razoável que provavelmente os usuários aceitarão sem chamar o suporte técnico. No entanto, este guia recomenda configurar essa configuração de diretiva como 15 minutos nos ambientes Segurança Especializada – Funcionalidade Limitada.

Diretivas Kerberos

As diretivas Kerberos são utilizadas para contas de usuário de domínio. Essas diretivas determinam configurações relacionadas ao protocolo de autenticação Kerberos versão 5, como imposições e vida útil de tíquetes. As diretivas Kerberos não existem na diretiva do computador local. Se você reduzir a vida útil dos tíquetes Kerberos, o risco de um invasor que tente roubar senhas para se fazer passar por usuários legítimos será reduzido. No entanto, a necessidade de manter essas diretivas aumenta a sobrecarga das autorizações.

Na maioria dos ambientes, os valores padrão dessas diretivas não devem ser alterados. Visto que as configurações do Kerberos são incluídas na diretiva do domínio padrão e aplicadas a esse nível, este guia não as inclui nos modelos de segurança que o acompanham.

Este guia recomenda que nenhuma alteração seja feita às diretivas Kerberos padrão. Para obter mais informações sobre essas configurações padrão, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Opções de segurança

Os três tipos diferentes de diretivas de conta discutidos anteriormente neste capítulo são definidos no nível do domínio e aplicados por todos os controladores do domínio. Um controlador de domínio sempre obtém a diretiva de conta do GPO da Diretiva de Domínio Padrão, mesmo se houver uma diretiva de conta diferente aplicada à OU que contém o controlador de domínio.

Há três configurações de opções de segurança semelhantes a diretivas de contas. Você deve aplicar essas configurações no nível do domínio inteiro e não em UOs individuais. Essas configurações podem ser definidas no Editor de objeto de diretiva de grupo em:

Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\Opções de segurança

Configurações de opções de segurança

A tabela a seguir resume as configurações recomendadas das opções de segurança. Informações adicionais sobre cada configuração são fornecidas nas subseções apresentadas após a tabela.

Tabela 3.3 Configurações de opções de segurança

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon

Ativada

Ativada

Ativada

Acesso à rede: permitir SID anônimo/conversão de nomes

Desativada

Desativada

Desativada

Segurança de rede: forçar logoff quando o horário de logon terminar

Ativada

Ativada

Ativada

Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon

Essa configuração de diretiva determina se os usuários que estiverem conectados ao computador local fora de seus horários válidos de logon deverão ser desconectados da conta de usuário. Essa configuração de diretiva afeta o componente do bloco de mensagens do servidor (SMB). Quando ela estiver ativada, a desconexão das sessões de cliente com o serviço SMB será forçada quando o horário de logon do cliente expirar. Se estiver desativada, a sessão de cliente estabelecida poderá continuar depois que o horário de logon do cliente expirar. Se você ativar esta configuração de diretiva, também deverá ativar Segurança de rede: forçar logoff quando o horário de logon terminar.

Se a sua organização configurou horários de logon para os usuários, então faz sentido ativar a configuração Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon. Caso contrário, os usuários que não devem ter acesso aos recursos da rede fora do seu horário de logon poderão continuar a usar os recursos disponíveis em sessões estabelecidas durante o horário permitido.

Este guia recomenda configurar Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon como Ativada nos três ambientes definidos aqui. Se horários de logon não forem usados, essa configuração de diretiva não terá nenhum efeito.

Acesso à rede: permitir SID anônimo/conversão de nomes

Essa configuração de diretiva determina se um usuário anônimo pode solicitar o SID para outro usuário.

Se a configuração Acesso à rede: permitir SID anônimo/conversão de nomes estiver ativada em um controlador de domínio, um usuário que conheça os atributos SID bem conhecidos padrão do administrador poderá contatar um computador que também tenha essa diretiva ativada e usar o SID para obter o nome do administrador. Essa pessoa poderia então usar o nome da conta para iniciar um ataque de detecção de senha.

Como a configuração padrão de Acesso à rede: permitir SID anônimo/conversão de nomes está Desativada em computadores membros, eles não serão afetados por essa configuração de diretiva. No entanto, a configuração padrão dos controladores de domínio é Ativada. Se você desativar essa configuração, os computadores com sistemas operacionais mais antigos não poderão se comunicar com domínios baseados no Windows Server 2003 com SP1. Exemplos desses computadores são:

  • Servidores com Serviço de Acesso Remoto baseado em Windows NT® 4.0.

  • Microsoft SQL Servers™ executados em computadores baseados no Windows NT 3.x ou no Windows NT 4.0.

  • Servidores com Serviço de Acesso Remoto executados em computadores baseados no Windows 2000 localizados em domínios do Windows NT 3.x ou do Windows NT 4.0.

Este guia recomenda configurar Acesso à rede: permitir SID anônimo/conversão de nomes como Desativada nos três ambientes definidos aqui.

Segurança de rede: forçar logoff quando o horário de logon terminar

Essa configuração de diretiva determina se os usuários que estiverem conectados a um computador local fora de seus horários válidos de logon deverão ser desconectados da conta de usuário. Esta configuração afeta o componente SMB.

Se você ativar a configuração Segurança de rede: forçar logoff após o término do tempo de logon, a desconexão de sessões de cliente com o serviço SMB será obrigatória quando o horário de logon do cliente expirar. O usuário não poderá fazer logon no computador até seu próximo horário de acesso agendado. Se você desativar essa configuração, os usuários poderão manter sua sessão de cliente após o término de seu horário de logon. Para afetar as contas do domínio, essa configuração deve ser definida na Diretiva de Domínio Padrão.

Este guia recomenda configurar Segurança de rede: forçar logoff após o término do tempo de logon como Ativada nos três ambientes definidos aqui.

Resumo

Este capítulo discutiu a necessidade de analisar todas as configurações de domínio na organização. Somente um conjunto de diretivas de senha, de bloqueio de contas e de protocolo de autenticação Kerberos versão 5 pode ser configurado para cada domínio. Outras configurações de senhas e de bloqueio de contas afetarão somente as contas locais em servidores membros. Defina configurações que se apliquem a todos os servidores membros do domínio e verifique se elas fornecem o nível de segurança adequado em toda a organização.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à diretiva de domínio para servidores com o Windows Server 2003 com SP1.

  • Para obter informações sobre a capacidade de usuários anônimos de solicitar atributos de identificador de segurança para outros usuários, consulte a página Acesso à rede: permitir SID anônimo/conversão de nomes em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/
    299803be-0e85-4c60-b0b5-1b64486559b3.mspx?mfr=true.

  • Para obter informações sobre segurança de rede e como forçar logoff quando o horário de logon terminar, consulte “The Mole #32: Technical Answers from Inside Microsoft” em www.microsoft.com/technet/archive/community/columns/inside/techan32.mspx (página em inglês).

    Além disso, consulte o artigo “Guest Account Cannot be Used When Anonymous Access Is Disabled” da Base de Dados de Conhecimento Microsoft, em http://support.microsoft.com/?kbid=251171.


Neste artigo

Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft