Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Capítulo 4: A diretiva de linha de base de servidor membro

Nesta página

Visão geral
Diretiva de Linha de Base do Windows Server 2003
Diretiva de Auditoria
Atribuições de Direitos do Usuário
Opções de segurança
Log de eventos
Entradas adicionais do Registro
Grupos restritos
Protegendo o sistema de arquivos
Configurações adicionais de segurança
Resumo

Visão geral

Este capítulo documenta os requisitos de configuração para gerenciar um modelo de segurança de linha de base para todos os servidores que executam o Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1). O capítulo também fornece orientações administrativas para a definição de uma configuração do Windows Server 2003 com SP1 em três ambientes distintos. Os requisitos de configuração neste capítulo formam a linha de base para todos os procedimentos descritos em capítulos posteriores deste guia. Esses capítulos descrevem como proteger funções de servidor específicas.

As recomendações de configuração neste capítulo ajudarão a estabelecer a segurança nas bases dos servidores de aplicativos comerciais em um ambiente corporativo. No entanto, você deve testar de forma abrangente a coexistência das configurações de segurança com os aplicativos comerciais de sua organização antes de implementá-las em ambientes de produção.

As recomendações neste capítulo são adequadas para a maioria de organizações e podem ser implantadas em computadores novos ou existentes que executem o Windows Server 2003 com SP1. As configurações de segurança padrão no Windows Server 2003 com SP1 foram pesquisadas, revisadas e testadas pela equipe que criou este guia. Para obter informações sobre todas as configurações padrão e uma explicação detalhada de cada uma das configurações discutidas neste capítulo, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159. Geralmente, a maioria das recomendações de configuração a seguir fornece mais segurança do que as configurações padrão.

As configurações de segurança discutidas neste capítulo estão relacionadas a três ambientes:

  • Cliente Herdado (LC). Este ambiente inclui computadores que executam o Windows NT® 4.0 e o Microsoft Windows® 98, às vezes denominados sistemas operacionais herdados. Embora forneça segurança adequada, este é o menos seguro dos três ambientes definidos neste guia. A fim de proporcionar maior segurança, as organizações podem optar por migrar para um ambiente mais seguro, o Cliente Corporativo. Além dos sistemas operacionais herdados mencionados, o ambiente LC inclui estações de trabalhos do Windows 2000 Professional e do Windows XP Professional. Este ambiente contém somente controladores de domínio do Windows 2000 ou do Windows Server 2003. Não há controladores de domínio com Windows NT 4.0 no ambiente, mas podem existir servidores membros com Windows NT.

  • Cliente Corporativo (EC). Este ambiente fornece segurança sólida e é projetado para versões mais recentes do sistema operacional Windows. O ambiente EC inclui computadores clientes que executam o Windows 2000 Professional e o Windows XP Professional. A maior parte do trabalho necessário para migrar do ambiente LC para o ambiente EC envolve atualizações de clientes herdados, como o Windows 98 e o Windows NT 4.0 Workstation para o Windows 2000 ou Windows XP. Todos os controladores de domínio e servidores membros nesse ambiente executam o Windows 2000 Server ou o Windows Server 2003.

  • Segurança Especializada – Funcionalidade Limitada (SSLF). Este ambiente fornece muito mais segurança do que o ambiente EC. A migração do ambiente EC para o ambiente Segurança Especializada – Funcionalidade Limitada (SSLF) exige a conformidade com diretivas de segurança rigorosas tanto para computadores clientes quanto servidores. Este ambiente inclui computadores clientes que executam o Windows 2000 Professional e o Windows XP Professional, além de controladores de domínio que executam o Windows 2000 Server ou o Windows Server 2003. No ambiente SSLF, a preocupação com a segurança é tão grande que uma significativa perda de funcionalidade e possibilidade de gerenciamento do cliente é considerada uma opção aceitável em troca do mais alto nível de segurança. Os servidores membros desse ambiente executam o Windows 2000 Server ou o Windows Server 2003.

Você notará que, em muitos casos, o ambiente SSLF configurará explicitamente o valor padrão. Você deve partir do pressuposto de que essa configuração afetará a compatibilidade, pois pode causar falhas em aplicativos que tentarem ajustar algumas configurações localmente. Por exemplo, alguns aplicativos necessitam ajustar atribuições de direitos de usuário para conceder à sua conta de serviço privilégios adicionais. Visto que as Diretivas de Grupo têm precedência em relação à diretiva da máquina local, essas operações falharão. Teste todos os aplicativos exaustivamente antes de implantar quaisquer configurações recomendadas nos computadores de produção – especialmente configurações do ambiente SSLF.

A figura a seguir mostra os três ambientes de segurança e os clientes que recebem suporte em cada um deles.

Cc163121.sgfg0401(pt-br,TechNet.10).gif

Figura 4.1 Ambientes de segurança existentes e planejados

As organizações que quiserem proteger seus ambientes por meio de uma abordagem dividida em etapas podem optar por começar no nível de ambiente Cliente Herdado e passar gradualmente aos níveis de segurança mais elevados, à medida que atualizam e testam seus aplicativos e computadores clientes com configurações de segurança mais rigorosas.

A figura a seguir mostra como os modelos de segurança (arquivos .inf) são usados como base da Diretiva de Linha de Base de Servidor Membro do Cliente Corporativo. A figura também mostra como essa diretiva pode ser vinculada e aplicada a todos os servidores em uma organização.

O Windows Server 2003 com SP1 é fornecido com valores padrão configurados para criar um ambiente seguro. Em muitos casos, este capítulo recomenda configurações diferentes dos valores padrão. O capítulo também adota padrões específicos nos três ambientes definidos neste guia. Para obter informações sobre todas as configurações padrão, consulte o guia complementar Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Cc163121.sgfg0402(pt-br,TechNet.10).gif

Figura 4.2 O modelo de segurança EC-Member Server Baseline.inf é importado para a MSBP, que é então vinculada à UO (unidade organizacional) Servidores Membro

Os procedimentos para proteger funções de servidor específicas são definidos nos demais capítulos deste guia. As principais funções de servidor discutidas neste guia são:

  • Controladores de domínio que incluem serviços DNS

  • Servidores de infra-estrutura que incluem serviços WINS e DHCP

  • Servidores de arquivos

  • Servidores de impressão

  • Servidores Web que executam IIS (Serviços de Informações da Internet)

  • Servidores IAS (Microsoft Internet Authentication Server)

  • Servidores de Serviços de Certificados (CA)

  • Hosts bastiões

Muitas das configurações a seguir que constam da MSBP do Cliente Corporativo também se aplicam a essas funções de servidor nos três ambientes definidos neste guia. Os modelos de segurança foram exclusivamente projetados para lidar com as necessidades de segurança de cada ambiente específico. A tabela a seguir mostra os nomes dos modelos de segurança de linha de base nos três ambientes.

Tabela 4.1 Modelos de segurança de linha de base nos três ambientes

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

LC-Member Server Baseline.inf

EC-Member Server Baseline.inf

SSLF-Member Server Baseline.inf

As configurações de segurança comuns a todos os três ambientes e, portanto, a todos os modelos de segurança de Linha de Base de Servidor Membro são descritas no restante deste capítulo.

Os modelos de segurança de linha de base também são a base dos modelos de segurança de controlador de domínio definidos no Capítulo 5, "A diretiva de linha de base do controlador de domínio". Os modelos de segurança de Função de Controlador de Domínio incluem configurações de linha de base para o GPO de Diretiva de Grupo de Controladores de domínio, que é vinculado à UO Controladores de Domínio em todos os três ambientes. Instruções passo a passo sobre como criar as UOs e Diretivas de Grupo e importar o modelo de segurança apropriado para cada GPO são fornecidas no Capítulo 2, "Mecanismos de proteção do Windows Server 2003".

Observação: alguns procedimentos usados para proteger servidores não podem ser automatizados por meio da Diretiva de Grupo. Esses procedimentos são descritos na seção "Configurações adicionais de segurança" deste capítulo.

Diretiva de Linha de Base do Windows Server 2003

As configurações no nível da UO Servidor Membro definem as configurações comuns a todas as funções de servidor membro discutidas neste guia. Para aplicar essas configurações, você pode criar um GPO vinculado à UO Servidor Membro, conhecido como diretiva de linha de base. O GPO automatiza a definição de configurações específicas de segurança em cada servidor. Será preciso mover as contas de servidor para as UOs filhas apropriadas da UO Servidor Membro com base na função de cada servidor.

As configurações a seguir são descritas da forma como aparecem na interface do usuário do snap-in Editor de Configuração de Segurança do Console de Gerenciamento Microsoft.

Diretiva de Auditoria

Os administradores devem criar uma Diretiva de Auditoria que defina quais eventos de segurança são informados e registre a atividade de usuários ou computadores em categorias de evento especificadas. Os administradores podem monitorar a atividade relacionada à segurança, por exemplo, quem acessa um objeto, quando um usuário faz logon ou logoff em um computador ou se uma configuração da Diretiva de Auditoria é alterada.

Antes de implementar uma Diretiva de Auditoria, decida quais categorias de evento devem ser auditadas no ambiente. As configurações de auditoria escolhidas pelo administrador para as categorias de evento definem a diretiva de auditoria da organização. A configuração de auditoria para categorias específicas de eventos permite que os administradores criem uma diretiva de auditoria adequada às necessidades de segurança da organização.

Se não houver nenhuma diretiva de auditoria, será difícil ou impossível determinar o que aconteceu durante um incidente de segurança. Entretanto, se as configurações de auditoria forem definidas de modo que muitas atividades autorizadas gerem eventos, o log de eventos de segurança será preenchido com dados inúteis. As seguintes recomendações e descrições de configurações são fornecidas para ajudá-lo a determinar o que monitorar de modo que os dados coletados sejam relevantes.

Muitas vezes, os logs de falha são muito mais informativos do que os logs de êxito porque falhas normalmente indicam erros. Por exemplo, o logon bem-sucedido a um computador por um usuário é geralmente considerado normal. No entanto, um número alto de tentativas malsucedidas de logon em um computador pode indicar que alguém está tentando invadir um computador com as credenciais de outra pessoa. Os logs de eventos registram eventos no computador. Nos sistemas operacionais Microsoft Windows, há logs de eventos para aplicativos, eventos de segurança e eventos de sistema. O Log de segurança registra eventos de auditoria. O recipiente de log de eventos da Diretiva de Grupo é usado para definir atributos relacionados a logs de eventos do aplicativo, da segurança e do sistema, como tamanho máximo de log, direitos de acesso para cada log e definições e métodos de retenção.

Antes da implementação de uma Diretiva de Auditoria, as organizações devem determinar como coletarão, organizarão e analisarão os dados. Grandes volumes de dados de auditoria têm pouco valor se não houver um plano para explorá-los. Além disso, o desempenho pode ser afetado quando redes de computadores são auditadas. O impacto de uma determinada combinação de configurações pode ser insignificante em um computador de usuário final, mas considerável em um servidor ocupado. Portanto, teste se o desempenho será afetado antes de implantar novas configurações de auditoria no ambiente de produção.

A tabela a seguir inclui recomendações de configuração de diretiva de auditoria nos três ambientes definidos neste guia. Observe que as configurações para a maioria dos valores são semelhantes nos três ambientes. Informações adicionais sobre cada configuração são fornecidas nas subseções apresentadas após a tabela.

Você pode configurar os valores da Diretiva de Auditoria no Windows Server 2003 com SP1 no seguinte local do Editor de Objeto de Diretiva de Grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais
\Diretiva de auditoria

Para obter um resumo das configurações prescritas nesta seção, consulte a pasta de trabalho do Microsoft Excel® "Windows Server 2003 Security Guide Settings", que acompanha a versão de download deste guia. Para obter informações sobre as configurações padrão e uma explicação detalhada de cada uma das configurações discutidas neste capítulo, consulte o guia complementar Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Tabela 4.2 Configurações da Diretiva de Auditoria

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Auditoria de eventos de logon

Sucesso

Sucesso

Sucesso, Falha

Auditoria de gerenciamento de contas

Sucesso

Sucesso

Sucesso, Falha

Auditoria de eventos de logon

Sucesso

Sucesso

Sucesso, Falha

Auditoria de acesso a objetos

Sem auditoria

Sem auditoria

Falha

Auditoria de alteração de diretivas

Sucesso

Sucesso

Sucesso

Auditoria de uso de privilégios

Sem auditoria

Sem auditoria

Falha

Auditoria de controle de processos

Sem auditoria

Sem auditoria

Sem auditoria

Auditoria de eventos de sistema

Sucesso

Sucesso

Sucesso

Auditoria de eventos de logon

Essa configuração de diretiva determina se cada instância de um usuário que faz logon ou logoff de outro computador que valida a conta será auditada. A autenticação de uma conta de usuário de domínio em um controlador de domínio gera um evento de logon de conta que é registrado no log de segurança do controlador de domínio. A autenticação de um usuário local em um computador local gera um evento de logon que é registrado no log de segurança local. Nenhum evento de logoff de conta é registrado em log.

A configuração Auditoria de eventos de logon é definida para registrar em log os valores de Sucesso das diretivas de linha de base LC e EC e para registrar em log tanto eventos de Sucesso quanto de Falha da diretiva de linha de base SSLF.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração de diretiva no log de segurança. Essas identificações de evento podem ser úteis quando se deseja criar alertas personalizados para monitorar qualquer conjunto de aplicativos, como o Microsoft Operations Manager (MOM).

Tabela 4.3 Eventos de logon de contas

Identificação do evento

Descrição do evento

672

Uma permissão de AS (serviço de autenticação) foi emitida e validada com êxito. No Windows Server 2003 com SP1, o tipo desse evento será Auditoria com êxito para solicitações bem-sucedidas ou Auditoria sem êxito para solicitações malsucedidas.

673

Um tíquete do TGS (serviço de concessão de tíquetes) foi concedido. Um TGS é um tíquete emitido pelo TGS Kerberos versão 5, que permite que um usuário seja autenticado para um serviço específico no domínio. O Windows Server 2003 com SP1 registrará em log tanto êxitos quanto falhas para esse tipo de evento.

674

Um objeto de segurança renovou um tíquete de AS ou de TGS.

675

Falha na pré-autenticação. Esse evento é gerado em um centro de distribuição de chaves quando um usuário digita uma senha incorreta.

676

Falha na solicitação do tíquete de autenticação. Esse evento não é gerado pelo Windows Server 2003 com SP1. Outras versões do Windows usam esse evento para indicar uma falha de autenticação que não se deve a credenciais incorretas.

677

Um tíquete do TGS não foi concedido. Esse evento não é gerado pelo Windows Server 2003 com SP1, que usa o evento de auditoria de falha 672 para esse caso.

678

Uma conta foi mapeada com êxito para uma conta de domínio.

681

Falha de logon. Houve uma tentativa de logon de conta de domínio. Esse evento é gerado somente por controladores de domínio.

682

Um usuário reconectou-se a uma sessão desconectada do Terminal Server.

683

Um usuário desconectou-se de uma sessão do Terminal Server, mas não fez logoff.

Auditoria de gerenciamento de contas

Essa configuração de diretiva determina se cada evento de gerenciamento de conta deve ser auditado em um computador. Alguns exemplos de eventos de gerenciamento de conta são:

  • Uma conta de usuário ou de grupo é criada, alterada ou excluída.

  • Uma conta de usuário é renomeada, desativada ou ativada.

  • Uma senha é definida ou alterada.

As organizações precisam ser capazes de determinar quem cria, modifica ou exclui contas locais e de domínio. Alterações não autorizadas podem indicar modificações incorretas feitas por um administrador que não entende como seguir as diretivas organizacionais, mas também podem indicar um ataque deliberado.

Por exemplo, eventos de falha de gerenciamento de conta geralmente indicam tentativas por um administrador de nível inferior – ou por um invasor que tenha comprometido a conta de um administrador de nível inferior – de elevar seus privilégios. Os logs podem ajudá-lo a determinar as contas modificadas ou criadas por um invasor.

A configuração Auditoria de gerenciamento de contas é definida para registrar em log os valores de Sucesso das diretivas de linha de base LC e EC, e para registrar em log tanto eventos de Sucesso quanto de Falha da diretiva de linha de base SSLF.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração de diretiva no log de segurança. As identificações dos eventos podem ser úteis quando se deseja criar alertas personalizados para monitorar qualquer conjunto de aplicativos, como o MOM. A maioria dos softwares de gerenciamento operacional pode ser personalizado com scripts para capturar ou sinalizar eventos com base nestas identificações.

Tabela 4.4 Eventos de gerenciamento de conta

Identificação do evento

Descrição do evento

624

Uma conta de usuário foi criada.

627

Uma senha de usuário foi alterada.

628

Uma senha de usuário foi definida.

630

Uma conta de usuário foi excluída.

631

Um grupo global foi criado.

632

Um membro foi adicionado a um grupo global.

633

Um membro foi removido de um grupo global.

634

Um grupo global foi excluído.

635

Um novo grupo local foi criado.

636

Um membro foi adicionado a um grupo local.

637

Um membro foi removido de um grupo local.

638

Um grupo local foi excluído.

639

Uma conta de grupo local foi alterada.

641

Uma conta de grupo global foi alterada.

642

Uma conta de usuário foi alterada.

643

Uma diretiva de domínio foi modificada.

644

Uma conta de usuário foi bloqueada automaticamente.

645

Uma conta de computador foi criada.

646

Uma conta de computador foi alterada.

647

Uma conta de computador foi excluída.

648    

Um grupo de segurança local com segurança desabilitada foi criado.

Observação: SECURITY_DISABLED no nome formal significa que esse grupo não pode ser usado para conceder permissões em verificações de acesso.

649

Um grupo de segurança local com segurança desabilitada foi alterado.

650

Um membro foi adicionado a um grupo de segurança local com segurança desabilitada.

651

Um membro foi removido de um grupo de segurança local com segurança desabilitada.

652

Um grupo local com segurança desabilitada foi excluído.

653

Um grupo global com segurança desabilitada foi criado.

654

Um grupo global com segurança desabilitada foi alterado.

655

Um membro foi adicionado a um grupo global com segurança desabilitada.

656

Um membro foi removido de um grupo global com segurança desabilitada.

657

Um grupo global com segurança desabilitada foi excluído.

658

Um grupo universal com segurança habilitada foi criado.

659

Um grupo universal com segurança habilitada foi alterado.

660

Um membro foi adicionado a um grupo universal com segurança habilitada.

661

Um membro foi removido de um grupo universal com segurança habilitada.

662

Um grupo universal com segurança habilitada foi excluído.

663

Um grupo universal com segurança desabilitada foi criado.

664

Um grupo universal com segurança desabilitada foi alterado.

665

Um membro foi adicionado a um grupo universal com segurança desabilitada.

666

Um membro foi removido de um grupo universal com segurança desabilitada.

667

Um grupo universal com segurança desabilitada foi excluído.

668

Um tipo de grupo foi alterado.

684    

O descritor de segurança de membros do grupo administrativo foi definido.

Observação: a cada 60 minutos em um controlador de domínio, um segmento em segundo plano pesquisa todos os membros de grupos administrativos (como administradores de domínio, de empresa e de esquema) e aplica um descritor de segurança fixo a eles. Esse evento é registrado.

685

O nome de uma conta foi alterado.

Auditoria de eventos de logon

Essa configuração de diretiva determina se cada instância de logon e logoff de usuário e logoff em um computador deve ser auditada. A configuração Auditoria de eventos de logon gera registros nos controladores de domínio para monitorar a atividade da conta de domínio, e nos computadores locais, para monitorar a atividade da conta local.

Se você configurar a Auditoria de eventos de logon como Sem auditoria, será difícil ou impossível determinar quais usuários fizeram ou tentaram fazer logon nos computadores da organização. Se você ativar o valor Sucesso para a configuração Auditoria de eventos de logon em um membro de domínio, será gerado um evento cada vez que alguém fizer logon na rede, independentemente de onde as contas residem. Se o usuário fizer logon em uma conta local e a configuração Auditoria de eventos de logon tiver sido ativada, o logon gerará dois eventos.

Ainda que você não modifique os valores padrão dessa configuração de diretiva, nenhuma evidência de registro de auditoria estará disponível para análise após a ocorrência de um incidente relacionado à segurança. A configuração Auditoria de eventos de logon é definida para registrar em log os valores de Sucesso das diretivas de linha de base LC e EC, e para registrar em log tanto eventos de Sucesso quanto de Falha da diretiva de linha de base SSLF.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração de diretiva no log de segurança.

Tabela 4.5 Auditoria de eventos de logon    

Identificação do evento

Descrição do evento

528

Um usuário fez logon com êxito em um computador.

529

Falha de logon. Foi feita uma tentativa de logon com um nome de usuário desconhecido ou um nome de usuário conhecido com uma senha incorreta.

530

Falha de logon. Foi feita uma tentativa de logon fora do horário permitido.

531

Falha de logon. Uma tentativa de logon foi feita usando-se uma conta desabilitada.

532

Falha de logon. Uma tentativa de logon foi feita usando-se uma conta expirada.

533

Falha de logon. Foi feita uma tentativa de logon por um usuário que não tem permissão para fazer logon no computador especificado.

534

Falha de logon. O usuário tentou fazer logon com um tipo de senha que não é permitido.

535

Falha de logon. A senha da conta especificada expirou.

536

Falha de logon. O serviço Logon de Rede não está ativo.

537    

Falha de logon. A tentativa de logon falhou por outros motivos.

Observação: em alguns casos, o motivo da falha de logon pode não ser conhecido.

538

O processo de logoff foi concluído para um usuário.

539

Falha de logon. A conta foi bloqueada no momento em que houve a tentativa de logon.

540

Um usuário fez logon com êxito em uma rede.

541

A autenticação de modo principal IKE (Internet Key Exchange) foi concluída entre o computador local e a identidade de mesmo nível listada (estabelecendo uma associação de segurança) ou o modo rápido estabeleceu um canal de dados.

542

Um canal de dados foi finalizado.

543    

O modo principal foi finalizado.

Observação: isso pode ocorrer devido ao esgotamento do tempo limite da associação de segurança (o padrão é oito horas), a alterações de diretiva ou ao término de elemento de mesmo nível.

544

Falha na autenticação de modo principal porque o elemento de mesmo nível não forneceu um certificado válido ou a assinatura não foi validada.

545

Falha na autenticação de modo principal devido a falha do protocolo de autenticação Kerberos ou a uma senha inválida.

546

Falha ao estabelecer associação de segurança IKE ao porque o elemento de mesmo nível enviou uma proposta que não é válida. Foi recebido um pacote com dados que não eram válidos.

547

Falha durante um handshake IKE.

548

Falha de logon. O SID (identificador de segurança) de um domínio confiável não corresponde ao SID de domínio de conta do cliente.

549

Falha de logon. Todos os SIDs correspondentes a namespaces não confiáveis foram filtrados durante uma autenticação entre florestas.

550

Mensagem de notificação que pode indicar um possível ataque de negação de serviço.

551

Um usuário iniciou o processo de logoff.

552

Um usuário fez logon com êxito em um computador usando credenciais explícitas quando já tinha feito logon como um usuário diferente.

682

Um usuário se reconectou a uma sessão de servidor de terminal desconectada.

683    

Um usuário desconectou-se de uma sessão do Terminal Server, mas não fez logoff.

Observação: esse evento é gerado quando um usuário está conectado a uma sessão do servidor de terminal pela rede. Ela aparece no servidor de terminal.

Auditoria de acesso a objetos

Por si só, a configuração dessa diretiva não realiza a auditoria de nenhum evento. A configuração Auditoria de acesso a objetos determina se é preciso auditar o acesso do usuário a um objeto – por exemplo, um arquivo, pasta, chave do Registro, ou impressora – que tenha uma lista especificada de controle de acesso ao sistema (SACL).

Uma SACL compõe-se de ACEs (entradas de controle de acesso). Cada ACE contém três informações:

  • O elemento de segurança (usuário, computador ou grupo) do qual será feita a auditoria.

  • O tipo de acesso específico a ser auditado (chamado de máscara de acesso).

  • Um sinalizador para indicar se deve ser feita a auditoria de eventos de acesso que falharam, eventos de acesso bem-sucedidos ou ambos.

Se você definir a configuração Auditoria de acesso a objetos de forma a registrar em log valores de Sucesso, será gerada uma entrada de auditoria cada vez que um usuário acessar com sucesso um objeto com uma SACL especificada. Se você definir essa configuração de diretiva para registrar valores de Falha, será gerada uma entrada cada vez que houver uma tentativa malsucedida de acessar um objeto com uma SACL especificada.

As organizações devem definir apenas as ações que desejam ativar ao configurar SACLs. Por exemplo, visto que o alvo dos vírus de computador, worms e cavalos de Tróia geralmente são os arquivos executáveis, você pode desejar ativar a configuração de auditoria Gravar e Acrescentar Dados em arquivos executáveis para controlar sua alteração ou substituição. Da mesma forma, você pode querer controlar quando documentos confidenciais são acessados ou alterados.

A configuração Auditoria de acesso a objetos é definida com o valor padrão Sem auditoria na diretiva de linha de base para os ambientes LC e EC. No entanto, essa diretiva é configurada de forma a registrar valores de Falha na diretiva de linha de base para o ambiente SSLF.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração de diretiva no log de segurança.

Tabela 4.6 Eventos de acesso a objetos

Identificação do evento

Descrição do evento

560

O acesso foi concedido a um objeto já existente.

562

Um identificador de um objeto foi fechado.

563    

Foi feita uma tentativa de abrir um objeto com intenção de excluí-lo.

Observação: esse evento é usado por sistemas de arquivos quando o sinalizador FILE_DELETE_ON_CLOSE é especificado em Createfile().

564

Um objeto protegido foi excluído.

565

O acesso foi concedido a um tipo de objeto que já existe.

567    

Foi usada uma permissão associada a um identificador.

Observação: um identificador é criado com determinadas permissões concedidas (como Ler e Gravar). Quando o identificador é usado, até uma auditoria é gerada para cada uma das permissões usadas.

568

Foi feita uma tentativa de criar um vínculo físico com um arquivo do qual está sendo feita a auditoria.

569

O gerenciador de recursos no Gerenciador de Autorização tentou criar um contexto de cliente.

570    

Um cliente tentou acessar um objeto.

Observação: um evento será gerado para cada operação tentada no objeto.

571

O contexto de cliente foi excluído pelo aplicativo Gerenciador de Autorização.

572

O Gerenciador de Administradores inicializou o aplicativo.

772

O Gerenciador de Certificados negou um pedido de certificado pendente.

773

Os Serviços de certificados receberam um pedido de certificado enviado novamente.

774

Os Serviços de certificados revogaram um certificado.

775

Os Serviços de certificados receberam um pedido para publicar a CRL.

776

Os serviços de certificados publicaram a CRL.

777

Foi feita uma extensão de pedido de certificado.

778

Um ou mais atributos de pedido de certificado foram alterados.

779

Os Serviços de certificados receberam um pedido de desligamento.

780

O backup dos Serviços de certificados foi iniciado.

781

O backup dos Serviços de certificados foi concluído.

782

A restauração dos Serviços de certificados foi iniciada.

783

A restauração dos Serviços de certificados foi concluída.

784

Os Serviços de certificados foram iniciados.

785

Os Serviços de certificados foram parados.

786

As permissões de segurança para os Serviços de certificados foram alteradas.

787

Os Serviços de certificados recuperaram uma chave arquivada.

788

Os Serviços de certificados importaram um certificado para seu banco de dados.

789

O filtro de auditoria para os Serviços de certificados foi alterado.

790

Os Serviços de certificados receberam um pedido de certificado.

791

Os Serviços de certificados aprovaram um pedido de certificado e emitiram um certificado.

792

Os Serviços de certificados negaram um pedido de certificado.

793

Os Serviços de certificados definiram o status de um pedido de certificado como pendente.

794

As configurações de gerenciador de certificados dos Serviços de certificados foram alteradas.

795

Uma entrada de configuração foi alterada nos Serviços de certificados.

796

Uma propriedade dos serviços de certificados foi alterada.

797

Os Serviços de certificados arquivaram uma chave.

798

Os Serviços de certificados importaram arquivaram uma chave.

799

Os Serviços de Certificados publicaram o certificado da autoridade de certificação no Active Directory.

800

Uma ou mais linhas foram excluídas do banco de dados de certificados.

801

Separação de funções ativada.

Auditoria de alteração de diretivas

Essa configuração de diretiva determina se deve ser feita a auditoria de cada incidente de alteração de diretivas de atribuição de direitos de usuário, de diretivas de confiança ou a da própria Diretiva de Auditoria.

Se você definir a configuração Auditoria de alteração de diretivas de forma a registrar valores de Sucesso, será gerada uma entrada de auditoria para cada alteração bem-sucedida a diretivas de atribuição de direitos de usuário, diretivas de confiança ou Diretivas de Auditoria. Se você definir essa configuração para registrar valores de Falha, uma entrada de auditoria será gerada para cada alteração malsucedida a diretivas de atribuição de direitos de usuário, diretivas de confiança ou Diretivas de Auditoria.

As configurações recomendadas permitem que você veja qualquer privilégio de conta que um invasor tentar aumentar, como, por exemplo, se ele tentar adicionar o privilégio Depurar programas ou Fazer backup de arquivos e diretórios.

A configuração Auditoria de alteração de diretivas é definida de forma a registrar valores de Sucesso na diretiva de linha de base para todos os três ambientes definidos neste guia. Atualmente, o valor de configuração Falha não captura eventos significativos.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração de diretiva no log de segurança.

Tabela 4.7 Eventos de auditoria de alteração de diretivas

Identificação do evento

Descrição do evento

608

Um direito de usuário foi atribuído.

609

Um direito de usuário foi removido.

610

Uma relação de confiança com outro domínio foi criada.

611

Uma relação de confiança com outro domínio foi removida.

612

Uma diretiva de auditoria foi alterada.

613

Um agente de diretiva IPsec foi iniciado.

614

Um agente de diretiva IPsec foi desativado.

615

Um agente de diretiva IPsec foi alterado.

616

Um agente de diretiva IPsec encontrou uma falha potencialmente grave.

617

Uma diretiva Kerberos versão 5 foi alterada.

618

A diretiva de recuperação de dados criptografados foi alterada.

620

Foi modificada uma relação de confiança com outro domínio.

621

O acesso ao sistema foi concedido a uma conta.

622

O acesso ao sistema foi removido de uma conta.

623

A diretiva de auditoria foi definida para cada usuário.

625

A diretiva de auditoria foi atualizada para cada usuário.

768    

Foi detectada uma colisão entre um elemento de namespace em uma floresta e um elemento namespace em outra floresta.

Observação: quando um elemento de namespace em uma floresta se sobrepõe a um elemento de namespace em outra floresta, isso pode resultar em ambigüidade na resolução do nome dos elementos de namespace. Essa sobreposição também é chamada de colisão. Nem todos os parâmetros são válidos para cada tipo de entrada. Por exemplo, campos como nome DNS, nome NetBIOS e SID não são válidos para uma entrada do tipo 'TopLevelName'.

769    

Foram adicionadas informações de floresta confiáveis.

Observação: essa mensagem de evento é gerada quando informações de confiança da floresta são atualizadas e uma ou mais entradas são adicionadas. É gerada uma mensagem de evento para cada entrada adicionada, excluída ou modificada. Se várias entradas forem adicionadas, excluídas ou modificadas em uma única atualização da informação de confiança da floresta, um único identificador exclusivo, chamado ID de operação, será atribuído a todas as mensagens de evento geradas. Essa funcionalidade permite determinar que as várias mensagens de evento geradas são resultado de uma única operação. Nem todos os parâmetros são válidos para cada tipo de entrada. Por exemplo, parâmetros como nome DNS, nome NetBIOS e SID não são válidos para uma entrada do tipo "TopLevelName".

770    

Foram excluídas informações de floresta confiáveis.

Observação: consulte a descrição do evento 769.

771    

Foram modificadas informações de floresta confiáveis.

Observação: consulte a descrição do evento 769.

805

O serviço de log de eventos leu a configuração de log de segurança para uma sessão.

Auditoria de uso de privilégios

Essa diretiva determina se deve ser feita a auditoria de cada exercício de um direito do usuário. Se você definir a configuração Auditoria de uso de privilégios de forma a registrar valores de Sucesso, será gerada uma entrada de auditoria cada vez que um direito do usuário for exercitado com êxito. Se você definir esta configuração de diretiva de forma a registrar valores de Falha, será gerada uma entrada de auditoria cada vez que o exercício de um direito do usuário for malsucedido.

Não serão geradas auditorias quando os direitos de usuário a seguir forem exercitados, mesmo que você defina a configuração Auditoria de uso de privilégios, porque esses direitos geram muitos eventos no log de segurança. O desempenho dos computadores provavelmente será afetado se estes direitos de usuário forem auditados:

  • Ignorar a verificação completa

  • Depurar programas

  • Criar objeto identificador

  • Repor identificador de nível de processo

  • Gerar auditorias de segurança

  • Fazer backup de arquivos e diretórios

  • Restaurar arquivos e diretórios

    Observação: se desejar auditar esses direitos de usuário, ative a opção de segurança Auditoria: fazer auditoria do uso dos privilégios Backup e Restauração na Diretiva de Grupo.

A configuração Auditoria de uso de privilégios é deixada com o valor padrão Sem auditoria na diretiva de linha de base para os ambientes LC e EC. No entanto, essa diretiva é configurada de forma a registrar valores de Falha na diretiva de linha de base para o ambiente SSLF. A tentativa de uso malsucedida de um direito de usuário indica um problema geral na rede e, freqüentemente, pode denotar uma tentativa de violação da segurança. As organizações só devem definir a configuração Auditoria de uso de privilégios como Ativada se houver uma razão específica para isso.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração no log de segurança.

Tabela 4.8 Eventos de uso de privilégios

Identificação do evento

Descrição do evento

576    

Os privilégios especificados foram adicionados ao token de acesso de um usuário.

Observação: esse evento é gerado quando o usuário faz logon.

577

Um usuário tentou realizar uma operação de serviço do sistema privilegiada.

578

Foram usados privilégios em um identificador já aberto para um objeto protegido.

Auditoria de controle de processos

Essa diretiva determina se deve ser feita a auditoria das informações de controle detalhadas para eventos como a ativação de programas, a finalização de processos, a duplicação de identificadores e o acesso indireto a objetos. Se você definir esta configuração de diretiva de forma a registrar valores de Sucesso, será gerada uma entrada de auditoria cada vez que o processo controlado for bem-sucedido. Se você definir esta configuração de diretiva para registrar valores de Falha, será gerada uma entrada de auditoria cada vez que o processo controlado for malsucedido.

A configuração Auditoria de controle de processos gerará um grande número de eventos e, portanto, é normalmente configurada como Sem auditoria, como na diretiva de linha de base dos três ambientes definidos neste guia. No entanto, essa diretiva pode ser muito útil durante uma resposta a incidente, visto que fornece um log detalhado dos processos iniciados e da hora de início de cada um deles.

A tabela a seguir inclui os eventos de segurança importantes registrados por essa configuração no log de segurança.

Tabela 4.9 Eventos de controle de processos

Identificação do evento

Descrição do evento

592

Um novo processo foi criado.

593

Um processo foi terminado.

594

Um identificador de um objeto foi duplicado.

595

Foi obtido acesso indireto a um objeto.

596    

Foi feito o backup da chave mestra de proteção de dados.

Observação: a chave mestra é usada pelas rotinas CryptProtectData e CryptUnprotectData e pelo sistema de arquivos com criptografia (EFS). É feito o backup da chave mestra sempre que uma nova chave é criada (a configuração padrão é 90 dias). Geralmente o backup da chave é feito por um controlador de domínio.

597

Uma chave mestra de proteção de dados foi recuperada de um servidor de recuperação.

598

Os dados em que pode ser feita auditoria foram protegidos.

599

Foi cancelada a proteção dos dados em que pode ser feita auditoria.

600

Foi atribuído um token primário a um processo.

601

Um usuário tentou instalar um serviço.

602

Foi criado um trabalho do agendador.

Auditoria de eventos de sistema

Esta diretiva determina se deve ser feita a auditoria quando um usuário reinicia ou desliga um computador ou quando ocorre um evento que afeta a segurança do sistema ou o log de segurança. Se você definir essa diretiva de forma a registrar valores de Sucesso, será gerada uma entrada de auditoria quando um evento de sistema for executado com êxito. Se você definir a diretiva para registrar valores de Falha, será gerada uma entrada de auditoria quando a tentativa de um evento de sistema for malsucedida.

A tabela a seguir inclui os eventos bem-sucedidos mais úteis para esta configuração.

Tabela 4.10 Mensagens de evento de sistema para auditoria de eventos de sistema

Identificação do evento

Descrição do evento

512

O Windows está sendo inicializado.

513

O Windows está sendo encerrado.

514

Um pacote de autenticação foi carregado pela Autoridade de Segurança Local.

515

Um processo de logon confiável foi registrado com a Autoridade de Segurança Local.

516

Os recursos internos alocados para o enfileiramento de mensagens de eventos de segurança foram exauridos, levando à perda de algumas mensagens de eventos de segurança.

517

Foi feita a limpeza do log de auditoria.

518

Um pacote de notificação foi carregado pelo Gerenciador de Contas de Segurança.

519

Um processo está usando uma porta LPC (chamada de procedimento local) inválida para tentar assumir a identidade de um cliente e responder a ou ler de ou gravar em um espaço de endereço do cliente.

520    

O horário do sistema foi alterado.

Observação: esta auditoria normalmente aparece duas vezes.

Atribuições de Direitos do Usuário

As atribuições de direitos do usuário concedem aos usuários ou grupos direitos ou privilégios de logon nos computadores de sua organização. Um exemplo de direito de logon é o direito de fazer logon em um computador interativamente. Um exemplo de privilégio é o direito de desligar o computador. Ambos os tipos são atribuídos pelos administradores a usuários individuais ou grupos como parte das configurações de segurança do computador.

Observação: em toda esta seção, "Não definido" aplica-se apenas a usuários; os Administradores ainda têm o direito do usuário. Os administradores locais podem fazer alterações, mas qualquer configuração de Diretiva de Grupo baseada em domínio a substitui na próxima vez em que as Diretivas de Grupo forem atualizadas ou reaplicadas.

Você pode configurar as atribuições de direitos de usuários no Windows Server 2003 com SP1 no seguinte local do Editor de Objeto de Diretiva de Grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais
\Atribuição de direitos de usuário

As atribuições padrão de direitos do usuário são diferentes entre os vários tipos de servidores na organização. Por exemplo, o Windows Server 2003 atribui direitos diferentes a grupos internos em servidores membros e controladores de domínio. (Semelhanças entre grupos internos em diferentes tipos de servidor não são documentadas na lista a seguir.)

  • Servidores membros

    • Usuários avançados. Têm a maioria dos poderes administrativos, com algumas restrições. Usuários avançados podem executar aplicativos herdados, além de aplicativos certificados para Windows Server 2003 com SP1 ou Windows XP.

    • HelpServicesGroup. O grupo do Centro de Ajuda e Suporte. Support_388945a0 é membro desse grupo por padrão.

    • TelnetClients. Os membros desse grupo têm acesso ao servidor Telnet na rede.

  • Controladores de domínio

    • Operadores de servidor. Os membros desse grupo podem administrar servidores de domínio.

    • Serviços de Licença do Terminal Server. Os membros desse grupo têm acesso aos servidores de licença do Terminal Server na rede.

    • Grupo de Acesso de Autorização do Windows. Os membros desse grupo têm acesso ao atributo calculado tokenGroupsGlobalAndUniversal em objetos de usuário.

O grupo Convidados e as contas de usuário Convidado e Support_388945a0 têm SIDs (identificadores de segurança) exclusivos entre domínios diferentes. Portanto, essa Diretiva de Grupo para atribuições de direito de usuário pode precisar ser modificada em um computador que tenha somente o grupo de destino específico. Como alternativa, os modelos de diretiva podem ser editados individualmente para incluir os grupos adequados nos arquivos .inf. Por exemplo, uma Diretiva de Grupo de controlador de domínio pode ser criada em um controlador de domínio em um ambiente de teste.

Observação: devido aos SIDs exclusivos que existem entre membros do grupo Convidados, Support_388945a0 e Convidado, algumas configurações usadas para proteger servidores não podem ser automatizadas por meio dos modelos de segurança que acompanham este guia. Essas configurações são descritas na seção "Configurações adicionais de segurança", mas adiante neste capítulo.

Esta seção fornece detalhes sobre as configurações recomendadas de atribuição de direitos de usuário da MSBP para os três ambientes definidos neste guia. Para obter um resumo das configurações prescritas nesta seção, consulte a pasta de trabalho do Microsoft Excel "Windows Server 2003 Security Guide Settings", que acompanha a versão de download deste guia. Para obter informações sobre as configurações padrão e uma explicação detalhada de cada uma das configurações discutidas nesta seção, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP.

A tabela a seguir inclui recomendações para as configurações de atribuições de direitos de usuário para os três ambientes definidos neste guia. Informações adicionais sobre cada configuração são fornecidas nas subseções apresentadas após a tabela.

Tabela 4.11 Configurações recomendadas para atribuições de direitos do usuário

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Acesso a este computador pela rede

Não definido

Não definido

Administradores, Usuários Autenticados, CONTROLADORES DE DOMÍNIO DA EMPRESA

Atuar como parte do sistema operacional

Não definido

Não definido

Ninguém

Ajustar cotas de memória para um processo

Não definido

Não definido

Administradores, SERVIÇO DE REDE, SERVIÇO LOCAL

Permitir logon local

Administradores, Operadores de Cópia, Usuários Avançados

Administradores, Operadores de Cópia, Usuários Avançados

Administradores

Permitir logon pelos serviços de terminal

Administradores e Usuários da Área de Trabalho Remota

Administradores e Usuários da Área de Trabalho Remota

Administradores

Fazer backup de arquivos e diretórios

Não definido

Não definido

Administradores

Ignorar a verificação completa

Não definido

Não definido

Usuários Autenticados

Alterar a hora do sistema

Não definido

Não definido

Administradores

Criar arquivo de paginação

Não definido

Não definido

Administradores

Criar objeto identificador

Não definido

Não definido

Ninguém

Criar objetos globais

Não definido

Não definido

Administradores, SERVIÇO

Criar objetos compartilhados permanentes

Não definido

Não definido

Ninguém

Depurar programas

Não definido

Administradores

Ninguém

Negar acesso a este computador pela rede

LOGON ANÔNIMO; Convidados; Support_388945a0;

todas as contas de serviço que NÃO são do sistema operacional

LOGON ANÔNIMO; Convidados; Support_388945a0;

todas as contas de serviço que NÃO são do sistema operacional

LOGON ANÔNIMO; Convidados; Support_388945a0;

todas as contas de serviço que NÃO são do sistema operacional

Negar logon como um trabalho em lotes

Convidados; Support_388945a0

Convidados; Support_388945a0

Convidados; Support_388945a0;

Negar logon como um serviço

Não definido

Não definido

Ninguém

Negar logon local

Não definido

Não definido

Convidados; Support_388945a0;

Negar logon pelos serviços de terminal

Convidados

Convidados

Convidados

Ativar computador e contas de usuário para serem confiáveis para delegação

Não definido

Não definido

Administradores

Forçar o desligamento a partir de um sistema remoto

Não definido

Não definido

Administradores

Gerar auditorias de segurança

Não definido

Não definido

SERVIÇO DE REDE, SERVIÇO LOCAL

Representar um cliente após a autenticação

Não definido

Não definido

Administradores, SERVIÇO

Aumentar a prioridade de planejamento

Não definido

Não definido

Administradores

Carregar e descarregar drivers de dispositivo

Não definido

Não definido

Administradores

Bloquear páginas na memória

Não definido

Não definido

Ninguém

Fazer logon como um trabalho em lotes

Não definido

Não definido

Não definido

Fazer logon como um serviço

Não definido

Não definido

SERVIÇO DE REDE

Gerenciar o log de auditoria e de segurança

Não definido

Não definido

Administradores

Modificar valores do ambiente de firmware

Não definido

Não definido

Administradores

Executar tarefas de manutenção de volume

Não definido

Não definido

Administradores

Traçar perfil de um único processo

Não definido

Não definido

Administradores

Traçar perfil do desempenho do sistema

Não definido

Não definido

Administradores

Remover computador da estação de encaixe

Não definido

Não definido

Administradores

Substituir um token no nível de processo

Não definido

Não definido

SERVIÇO LOCAL, SERVIÇO DE REDE

Restaurar arquivos e diretórios

Não definido

Não definido

Administradores

Desligar o sistema

Não definido

Não definido

Administradores

Sincronizar dados do serviço de diretório

Não definido

Não definido

Ninguém

Apropriar-se de arquivos ou outros objetos

Não definido

Não definido

Administradores

Acesso a este computador pela rede

Essa configuração de diretiva determina quais usuários e grupos podem se conectar ao computador pela rede. Ela é necessária a vários protocolos de rede, inclusive protocolos baseados em SMB (Bloco de Mensagens do Servidor), NetBIOS, CIFS (Common Internet File System), HTTP e COM+ (Component Object Model Plus).

O Acesso a este computador pela rede é configurado como Não definido nos ambientes LC e EC. No entanto, embora as permissões atribuídas ao grupo de segurança Todos no Windows Server 2003 com SP1 não concedam mais acesso a usuários anônimos, o acesso ainda poderá ser concedido a contas e grupos convidados por meio do grupo de segurança Todos. Por esse motivo, o direito de usuário Acesso a este computador pela rede é negado ao grupo de segurança Todos no ambiente SSLF, o que ajuda a proteger contra ataques que visam o acesso de convidados ao domínio. Esse direito de usuário só é atribuído aos grupos Administradores, Usuários Autenticados e CONTROLADORES DE DOMÍNIO DA EMPRESA no ambiente SSLF.

Atuar como parte do sistema operacional

Essa configuração de diretiva determina se um processo pode assumir a identidade de qualquer usuário e, assim, obter acesso aos recursos que o usuário está autorizado a acessar. Geralmente, apenas serviços de autenticação de baixo nível exigem esse direito de usuário.

O direito de usuário Atuar como parte do sistema operacional é configurado como Não definido nos ambientes LC e EC. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, negando a esse usuário o direito a todas as contas e grupos de segurança.

Ajustar cotas de memória para um processo

Essa configuração de diretiva determina se os usuários podem ajustar a quantidade máxima de memória disponível a um processo. Ela é útil para fins de ajuste do computador, mas pode haver abusos. Um invasor pode explorar este direito de usuário para iniciar um ataque de negação de serviço.

A diretiva Ajustar cotas de memória para um processo é configurada como Não definido nos ambientes LC e EC. No entanto, este direito do usuário é atribuído aos grupos Administradores, SERVIÇO DE REDE e SERVIÇO LOCAL no ambiente SSLF.

Permitir logon local

Essa configuração de diretiva determina quais usuários podem fazer logon interativamente ao computador especificado. Logons iniciados com a combinação de teclas CTRL+ALT+DEL no teclado requerem que o usuário tenha esse direito de usuário. Qualquer conta com esse direito de usuário pode ser usada para fazer logon no console local do computador.

O direito de usuário Permitir logon local é restrito aos grupos Administradores, Operadores de Cópia e Usuários Avançados nos ambientes LC e EC, ajudando a evitar o logon por usuários não autorizados que possam querer elevar seus privilégios ou introduzir vírus no ambiente. Esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Permitir logon pelos serviços de terminal

Essa diretiva determina quais usuários ou grupos têm permissão para fazer logon como um cliente dos Serviços de Terminal.

Nos ambientes LC e EC, o direito de usuário Permitir logon pelos serviços de terminal é restrito aos grupos Administradores e Usuários da Área de Trabalho Remota. No ambiente SSLF, esse direito é atribuído somente os membros do grupo Administradores.

Fazer backup de arquivos e diretórios

Essa configuração de diretiva determina se os usuários podem burlar as permissões de acesso a arquivos e diretórios para fazer o backup do computador. Ela é usada somente quando um aplicativo tenta obter acesso pela API (Interface de Programação de Aplicativo) de backup do NTFS com um utilitário de backup como o NTBACKUP.EXE. Caso contrário, as permissões normais de acesso a arquivos e diretórios serão aplicadas.

A diretiva Fazer backup de arquivos e diretórios é configurada como Não definido nos ambientes LC e EC. Esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Ignorar a verificação completa

Essa diretiva determina se um usuário pode passar por pastas, ao navegar em um caminho de objeto no sistema de arquivos NTFS ou no Registro, sem que a permissão de acesso especial "Desviar pasta" seja verificada. Esse direito de usuário não permite listar o conteúdo de uma pasta; só permite que ele passe seus diretórios.

A diretiva Ignorar a verificação completa é configurada como Não definido nos ambientes LC e EC. Esse direito só é atribuído ao grupo Usuários Autenticados no ambiente SSLF.

Alterar a hora do sistema

Essa diretiva determina quais usuários podem alterar a hora e a data no relógio interno do computador. Os usuários a quem esse direito é atribuído podem afetar a aparência dos logs de eventos, que recebem o carimbo de hora do relógio interno do computador. Se a hora do computador for alterada, os logs não refletirão a hora real em que os eventos ocorreram.

A diretiva Alterar a hora do sistema é configurada como Não definido nos ambientes LC e EC. Esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Observação: discrepâncias entre a hora do computador local e a dos controladores de domínio podem causar problemas para o protocolo de autenticação Kerberos, podendo impossibilitar o logon dos usuários no domínio ou a obtenção de autorização para acessar os recursos do domínio após o logon.

Criar arquivo de paginação

Essa configuração de diretiva determina se os usuários podem criar e alterar o tamanho de arquivo de paginação. Para executar essa tarefa, o usuário especifica um tamanho de arquivo de paginação para uma determinada unidade na caixa Opções de Desempenho localizada na guia Avançado da caixa de diálogo Propriedades do Sistema.

A diretiva Criar arquivo de paginação é configurada como Não definido nos ambientes LC e EC. Esse direito só é atribuído ao grupo Administradores no ambiente SSLF.

Criar objeto identificador

Essa configuração de diretiva determina se um processo pode criar um objeto identificador, que o processo pode então usar para obter acesso a qualquer recurso local quando usa NtCreateToken() ou outra API de criação de objetos identificadores.

A diretiva Criar um objeto identificador é configurada como Não definido nos ambientes LC e EC. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, o que significa que nenhum grupo ou conta de segurança terá esse direito.

Criar objetos globais

Essa configuração de diretiva permite aos usuários criar objetos globais disponível a todas as sessões. Os usuários ainda podem criar objetos específicos a suas próprias sessões sem que esse direito lhes tenha sido atribuído.

A diretiva Criar objetos globais é configurada como Não definido nos ambientes LC e EC. No ambiente SSLF, esse direito só é atribuído aos grupos SERVIÇO e Administradores.

Criar objetos compartilhados permanentes

Essa diretiva determina se os usuários podem criar objetos de diretório no gerenciador de objetos, o que significa que eles podem criar pastas, impressoras e outros objetos compartilhados. Ela é útil a componentes do modo kernel que estendem o namespace do objeto. Tais componentes têm esse direito de usuário inerentemente. Portanto, normalmente não é necessário atribuir especificamente esse direito aos usuários.

A diretiva Criar objetos compartilhados permanentes é configurada como Não definido nos ambientes LC e EC. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, o que significa que nenhum grupo ou conta de segurança terá esse direito.

Depurar programas

Essa configuração de diretiva determina quais usuários podem anexar um depurador a qualquer processo ou ao kernel. Ela oferece acesso completo a componentes confidenciais e críticos do sistema operacional. A depuração de programas não deve ocorrer em ambientes de produção, exceto em circunstâncias extremas, como a solução de problemas em um aplicativo comercial crítico que não pode ser avaliado de maneira eficaz no ambiente de teste.

A diretiva Depurar programas é configurada como Não definido no ambiente LC. No ambiente EC, esse direito só é atribuído ao grupo Administradores. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, o que significa que nenhum grupo ou conta de segurança terá esse direito.

Observação: no Windows Server 2003 com SP1, a remoção do direito Depurar programas pode impossibilitar o uso do serviço Windows Update. No entanto, ainda podem ser feitos o download e a instalação ou aplicação manual de correções por outros meios. A remoção desse direito também pode interferir no Serviço de Cluster. Para obter mais informações, consulte o artigo "How to apply more restrictive security settings on a Windows Server 2003-based cluster server" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=891597 (site em inglês).

Negar acesso a este computador pela rede

Observação: LOGON ANÔNIMO, conta interna Administrador, Support_388945a0, Convidado e todas as contas de serviço que NÃO são do sistema operacional não estão incluídas no modelo de segurança .inf. Essas contas e grupos têm SIDs exclusivos para cada domínio da organização. Portanto, devem ser adicionadas manualmente. Para obter mais informações, consulte a seção "Procedimentos manuais de proteção" no final deste capítulo.

Essa configuração de diretiva determina quais usuários não poderão acessar um computador pela rede. Ela nega vários protocolos de rede, inclusive protocolos baseados em SMB, NetBIOS, CIFS, HTTP e COM+. Essa configuração de diretiva substituirá o direito de usuário Acesso a este computador pela rede quando uma conta de usuário estiver sujeita a ambas as configurações.

Para todos os três ambientes definidos neste guia, o direito Negar acesso a este computador pela rede é atribuído ao grupo Convidados, a LOGON ANÔNIMO, a Support_388945a0 e a todas as contas de serviço que não fazem parte do sistema operacional.

A definição dessa diretiva para outros grupos pode limitar as capacidades dos usuários aos quais foram atribuídas funções administrativas específicas no ambiente. Certifique-se de que as tarefas delegadas não sejam prejudicadas.

Negar logon como um trabalho em lotes

Observação: LOGON ANÔNIMO, conta interna Administrador, Support_388945a0, Convidado e todas as contas de serviço que NÃO são do sistema operacional não estão incluídas no modelo de segurança .inf. Essas contas e grupos têm SIDs exclusivos para cada domínio da organização. Portanto, devem ser adicionadas manualmente. Para obter mais informações, consulte a seção "Procedimentos manuais de proteção" no final deste capítulo.

Essa configuração de diretiva determina quais contas não poderão fazer logon no computador como um trabalho em lotes. Um trabalho em lotes não é um arquivo em lotes (.bat), mas um recurso de fila em lotes. As contas que usam o Agendador de Tarefas para agendar trabalhos precisam deste direito do usuário.

O direito Negar logon como um trabalho em lotes substitui o direito Fazer logon como um trabalho em lotes, que pode ser usado para permitir que contas agendem trabalhos que consomem recursos excessivos do sistema. Tal ocorrência pode causar uma condição de negação de serviço. Por esse motivo, o direito Negar logon como um trabalho em lotes é atribuído ao grupo Convidados e à conta de usuário Support_388945a0 na diretiva de linha de base de todos os três ambientes definidos neste guia. Deixar de atribuir esse direito de usuário às contas recomendadas pode representar um risco à segurança.

Negar logon como um serviço

Essa configuração de diretiva determina se os serviços podem ser iniciados no contexto da conta especificada.

A diretiva Negar logon como um serviço é configurada como Não definido para os ambientes LC e EC. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, o que significa que nenhum grupo ou conta de segurança terá esse direito.

Negar logon local

Essa configuração de diretiva determina se os usuários podem fazer logon diretamente no teclado do computador.

A diretiva Negar logon local é configurada como Não definido para os ambientes EC e LC. No entanto, esse direito só é atribuído ao grupo Convidados e à conta de usuário Support_388945a0 no ambiente SSLF. Deixar de atribuir esse direito de usuário às contas recomendadas pode representar um risco à segurança.

Negar logon pelos serviços de terminal

Observação: LOGON ANÔNIMO, conta interna Administrador, Support_388945a0, Convidado e todas as contas de serviço que NÃO são do sistema operacional não estão incluídas no modelo de segurança .inf. Essas contas e grupos têm SIDs exclusivos para cada domínio da organização. Portanto, devem ser adicionadas manualmente. Para obter mais informações, consulte a seção "Procedimentos manuais de proteção" no final deste capítulo.

Essa configuração de diretiva determina se os usuários podem fazer logon como cliente dos Serviços de Terminal. Depois que o servidor membro de linha de base é integrado a um ambiente de domínio, não é preciso usar contas locais para acessar o servidor pela rede. As contas de domínio podem acessar o servidor para administração e processamento de usuário final.

Nos três ambientes definidos neste guia, o direito de usuário Negar logon pelos serviços de terminal é atribuído ao grupo Convidados, de modo que eles não possam fazer logon pelos Serviços de Terminal.

Ativar computador e contas de usuário para serem confiáveis para delegação

Essa configuração de diretiva determina quais usuários podem alterar a configuração Confiável para Delegação em um objeto de usuário ou computador no Active Directory. Usuários ou computadores a quem é atribuído esse direito também devem ter acesso de gravação aos sinalizadores de controle de conta no objeto. O abuso deste direito pode permitir que usuários não autorizados representem outros usuários na rede.

A diretiva Ativar computador e contas de usuário para serem confiáveis para delegação é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito só é atribuído ao grupo Administradores no ambiente SSLF.

Forçar o desligamento a partir de um sistema remoto

Essa configuração de diretiva determina se os usuários podem desligar computadores de locais remotos na rede. Qualquer usuário que possa desligar um computador pode causar uma condição de negação de serviço. Portanto, esse direito de usuário deve ser bastante restrito.

A diretiva Forçar o desligamento a partir de um sistema remoto é configurada como Não definido nos ambientes LC e EC. Esse direito só é atribuído ao grupo Administradores no ambiente SSLF.

Gerar auditorias de segurança

Essa configuração de diretiva determina se um processo pode gerar registros de auditoria no log de segurança. Como o log de segurança pode ser usado para rastrear acesso não autorizado, contas que podem gravar no log de segurança podem ser usadas por um invasor para preencher o log com eventos sem importância. Se o computador estiver configurado para substituir eventos conforme a necessidade, o invasor poderá usar esse recurso para remover as provas de suas atividades não autorizadas. Se você configurar o computador para desligar-se quando não puder gravar no log de segurança, um invasor poderá usar esse recurso para criar uma condição de negação de serviço.

A diretiva Gerar auditorias de segurança é configurada como Não definido nos ambientes LC e EC. Esse direito só é atribuído às contas SERVIÇO DE REDE e SERVIÇO LOCAL no ambiente SSLF.  

Representar um cliente após a autenticação

Essa configuração de diretiva determina se aplicativos executados em nome de um usuário autenticado podem se fazer passar por clientes. Se esse direito for necessário para este tipo de representação, os usuários não autorizados não poderão convencer um cliente a conectar-se – por exemplo, por chamada de procedimento remoto (RPC) ou pipes nomeados – a um serviço que eles criaram para se fazer passar por esse cliente. O usuário não autorizado pode usar esse recurso para elevar suas permissões para níveis administrativo ou de sistema.

A diretiva Representar um cliente após a autenticação é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito só é atribuído ao grupo Administradores e a SERVIÇO no ambiente SSLF.

Aumentar a prioridade de planejamento

Essa configuração de diretiva determina se os usuários podem aumentar a classe de prioridade base de um processo. O aumento da prioridade relativa em uma classe de prioridade não é uma operação privilegiada. Esse direito de usuário não é exigido por ferramentas administrativas fornecidas com o sistema operacional, mas pode ser necessário a ferramentas de desenvolvimento de software. Um usuário com esse privilégio pode aumentar a prioridade do planejamento de um processo para Tempo Real, deixando pouco tempo de processamento para todos os outros processos, o que pode criar uma condição de negação de serviço.

A diretiva Aumentar a prioridade de planejamento é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito só é atribuído ao grupo Administradores no ambiente SSLF.

Carregar e descarregar drivers de dispositivo

Essa configuração de diretiva determina quais usuários podem carregar e descarregar drivers de dispositivos dinamicamente. Esse direito de usuário não é necessário se já existir um driver assinado para o novo hardware no arquivo Driver.cab do computador. Os drivers de dispositivos são executados como código altamente privilegiado. Um usuário com o direito Carregar e descarregar drivers de dispositivo pode instalar código mal-intencionado disfarçado como um driver de dispositivo (involuntariamente ou não). Os administradores devem tomar maior cuidado e instalar apenas drivers com assinaturas digitais comprovadas.

A diretiva Carregar e descarregar drivers de dispositivo é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Bloquear páginas na memória

Essa configuração de diretiva determina se um processo pode manter dados na memória física, o que impede o computador de colocar dados na memória virtual em disco.. Tal ocorrência pode resultar em uma redução significativa do desempenho. Os usuários com esse direito podem atribuir memória física a vários processos, deixando pouca ou nenhuma RAM para outros processos, o que pode levar a uma condição de negação de serviço.

A diretiva Bloquear páginas na memória é configurada como Não definido nos ambientes LC e EC. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, o que significa que nenhum grupo ou conta de segurança terá esse direito.

Fazer logon como um serviço

Essa configuração de diretiva determina se um elemento de segurança pode fazer logon como um serviço. Os serviços podem ser configurados para serem executados nas contas Sistema Local, Serviço Local ou Serviço de Rede, que possuem direitos internos de logon como um serviço. Qualquer serviço executado em uma conta de usuário separada deve receber esse direito.

A diretiva Fazer logon como um serviço é configurada como Não definido para os ambientes LC e EC. No entanto, esse direito só é atribuído à conta Serviço de Rede no ambiente SSLF.

Gerenciar o log de auditoria e de segurança

Essa diretiva de segurança determina se os usuários podem especificar opções de auditoria de acesso a objetos para recursos individuais, como arquivos, objetos do Active Directory e chaves do Registro. Esse direito de usuário é poderoso e deve ser bastante protegido. Qualquer pessoa com esse direito de usuário pode limpar o log de segurança e possivelmente apagar evidências importantes de atividades não autorizadas.

A diretiva Gerenciar o log de auditoria e de segurança é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito só é atribuído a Administradores no ambiente SSLF.

Importante: o Microsoft Exchange Server 2003 modifica esse direito de usuário na Diretiva de Controladores de Domínio Padrão durante o processo de instalação. Para obter detalhes, consulte Exchange Server 2003 Deployment online em http://www.microsoft.com/technet/prodtechnol/exchange/guides/E2k3ADPerm/110e37bf-a68c-47bb-b4d5-1cfd539d9cba.mspx (página em inglês). Se esse direito for restrito ao grupo Administradores, o Exchange registrará mensagens de erro com freqüência no log de eventos do aplicativo Se você usar o Exchange Server 2003, precisará ajustar o valor dessa configuração para os controladores de domínio. Como com todas as configurações recomendadas neste guia, pode ser necessário fazer alguns ajustes para permitir que os aplicativos da organização funcionem normalmente.

Modificar valores do ambiente de firmware

Essa configuração de diretiva determina se as variáveis de ambiente do computador podem ser modificadas, seja por um processo, usando uma API, ou pelo usuário, nas Propriedades do Sistema. Qualquer pessoa com esse direito de usuário pode configurar um componente de hardware para que ele falhe, o que pode causar a corrupção dos dados ou uma condição de negação de serviço.

A diretiva Modificar valores do ambiente de firmware é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Executar tarefas de manutenção de volume

Essa configuração de diretiva determina se um usuário remoto ou que não seja um administrador pode gerenciar volumes ou discos. Um usuário com esse direito pode excluir um volume e causar a perda de dados ou uma condição de negação de serviço.

A diretiva Executar tarefas de manutenção de volume é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito só é atribuído ao grupo Administradores no ambiente SSLF.

Traçar perfil de um único processo

Essa configuração de diretiva determina quais usuários podem usar ferramentas de monitoramento de desempenho para monitorar o desempenho de processos que não sejam do sistema. Esse direito de usuário apresenta uma vulnerabilidade moderada, já que um invasor com essa capacidade pode monitorar o desempenho de um computador para ajudar a identificar processos críticos que ele pode desejar atacar diretamente. Um invasor também pode determinar que processos estão sendo executados no computador, de modo a identificar contramedidas a serem evitadas, como um software antivírus, um sistema de detecção de intrusão ou outros usuários que fizeram logon no sistema.

A diretiva Traçar perfil de um único processo é configurada como Não definido nos ambientes LC e EC. Para maior segurança, certifique-se de que o grupo Usuários Avançados não receba esse direito de usuário no ambiente SSLF. Somente membros do grupo Administradores devem ter esta capacidade nesse ambiente.

Traçar perfil do desempenho do sistema

Essa configuração de diretiva é semelhante à anterior. Ela determina se os usuários podem monitorar o desempenho de processos do sistema. Esse direito de usuário apresenta uma vulnerabilidade moderada, já que um invasor com esse privilégio pode monitorar o desempenho de um computador para ajudar a identificar processos críticos que ele pode desejar atacar diretamente. O invasor também pode determinar que processos estão sendo executados no sistema para identificar contramedidas a serem evitadas, como um software antivírus ou um sistema de detecção de intrusão.

A diretiva Traçar perfil do desempenho do sistema é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Remover computador da estação de encaixe

Essa configuração de diretiva determina se usuários de computadores portáteis podem clicar em Ejetar PC no menu Iniciar para desencaixar os computadores. Qualquer um a quem esse direito de usuário tenha sido atribuído pode remover um computador portátil da estação de encaixe.

A diretiva Remover computador da estação de encaixe é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Substituir um token no nível de processo

Essa configuração de diretiva determina se um processo pai pode substituir o token de acesso associado a um processo filho.

A diretiva Substituir um token no nível de processo é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito só é atribuído às contas SERVIÇO LOCAL e SERVIÇO DE REDE no ambiente SSLF.

Restaurar arquivos e diretórios

Essa configuração de diretiva determina quais usuários podem ignorar permissões de arquivo, diretório, Registro e outras permissões de objetos persistentes ao restaurar arquivos e diretórios dos quais foi feito backup. Ele também determina que os usuários podem definir qualquer elemento de segurança válido como proprietário de um objeto.

A diretiva Restaurar arquivos e diretórios é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF. As tarefas de restauração de arquivo normalmente são executadas por administradores ou membros de outro grupo de segurança especificamente delegado, especialmente para servidores altamente confidenciais e controladores de domínio.

Desligar o sistema

Essa configuração de diretiva determina que usuários que tiverem feito logon localmente podem desligar o sistema operacional usando o comando Desligar. Visto que o mau uso dessa capacidade pode causar uma condição de negação de serviço, a capacidade de desligar controladores de domínio deve ser limitada a um número muito pequeno de administradores confiáveis. Embora o desligamento do sistema exija a capacidade de fazer logon no servidor, você deve ter muito cuidado ao determinar as contas e os grupos que terão permissão para desligar um controlador de domínio.

A diretiva Desligar o sistema é configurada como Não definido nos ambientes LC e EC. No entanto, esse direito de usuário só é atribuído ao grupo Administradores no ambiente SSLF.

Sincronizar dados do serviço de diretório

Essa configuração de diretiva determina se um processo pode ler todos os objetos e propriedades no diretório, independentemente da proteção dos objetos e propriedades. Esse direito de usuário é necessário para o uso de serviços LDAP de sincronização de diretório (Dirsync).

O valor padrão da diretiva configuração Sincronizar dados do serviço de diretório é Não definido, o que é suficiente para os ambientes LC e EC. No entanto, no ambiente SSLF, essa diretiva é definida com um valor inválido ou em branco, o que significa que nenhum grupo ou conta de segurança terá esse direito.

Apropriar-se de arquivos ou outros objetos

Essa configuração de diretiva determina se os usuários podem apropriar-se de qualquer objeto que possa ser protegido na rede, inclusive objetos do Active Directory, arquivos do sistema de arquivos NTFS e pastas impressoras, chaves do Registro, serviços, processos e segmentos.

A diretiva Apropriar-se de arquivos ou outros objetos é configurada como Não definido nos ambientes LC e EC. No entanto, você só deve atribuir esse direito de usuário ao grupo Administradores local no ambiente SSLF.

Opções de segurança

As configurações de diretiva na seção Opções de segurança da Diretiva de Grupo são usadas para ativar ou desativar recursos como acesso a unidades de disquete e de CD-ROM e solicitações de logon. Essas configurações de diretiva também são usadas para definir várias outras configurações, como as da assinatura digital de dados, nomes das contas de administrador e convidado e como a instalação de drivers funciona.

Você pode configurar as opções de segurança no Windows Server 2003 com SP1 no Editor de Objeto de Diretiva de Grupo, em:

Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\
Opções de segurança

Nem todas as configurações incluídas nesta seção existem em todos os tipos de computadores. Portanto, as configurações das opções de segurança da Diretiva de Grupo nesta seção talvez precisem ser modificadas manualmente em computadores nos quais estejam presentes para torná-las plenamente operacionais.

As seções seguintes fornecem informações sobre as configurações de opções de segurança da MSBP recomendadas para todos os três ambientes definidos neste guia. Para obter um resumo das configurações prescritas, consulte a pasta de trabalho do Microsoft Excel "Windows Server 2003 Security Guide Settings", que acompanha a versão de download deste guia. Para obter informações sobre a configuração padrão e uma explicação detalhada de cada uma das configurações, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP.

As tabelas em cada uma das seções seguintes resumem as recomendações para os diferentes tipos de configurações de opção de segurança. Informações detalhadas sobre as configurações são fornecidas nas subseções que seguem cada tabela.

Configurações de contas

Tabela 4.12 Opções de segurança: configurações de conta recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

status de conta de administrador

Não definido

Não definido

Ativada

status de conta de convidado

Desativada

Desativada

Desativada

limite o uso em contas locais de senhas em branco somente ao logon no console

Ativada

Ativada

Ativada

Contas: status de conta de administrador

Essa configuração de diretiva ativa ou desativa a conta Administrador durante a operação normal. Quando o computador é iniciado no modo de segurança, a conta Administrador é sempre ativada, independentemente dessa configuração.

A diretiva Contas: status de conta de administrador é configurada como Não definido nos ambientes LC e EC, e como Ativada no ambiente SSLF.

Contas: status de conta de convidado

Essa configuração de diretiva determina se a conta de Convidado está ativada ou desativada. Essa conta permite que usuários de rede não autenticados façam logon como Convidado e obtenham acesso ao computador.

A diretiva Contas: status de conta de convidado é configurada como Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Contas: limitar o uso de senhas em branco em contas locais somente para logon no console

Essa configuração de diretiva determina se contas locais que não têm proteção por senhas podem ser usadas para fazer logon de locais que não sejam o console físico do computador. Se esta diretiva estiver ativada, as contas locais com uma senha que não esteja em branco não poderão fazer logon na rede de um cliente remoto, e contas locais que não são protegidas por senha só poderão fazer logon enquanto estiverem fisicamente localizadas no teclado do computador.

A diretiva Contas: limitar o uso de senhas em branco em contas locais somente para logon no console é configurada com o valor padrão Ativada na diretiva de linha de base nos três dos ambientes definidos neste guia.

Configurações de auditoria

Tabela 4.13 Opções de segurança: configurações de auditoria recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

fazer auditoria do acesso a objetos do sistema global

Desativada

Desativada

Desativada

fazer auditoria do uso dos privilégios Backup e Restauração

Desativada

Desativada

Desativada

desligar o sistema imediatamente se não for possível o log de auditorias seguras

Desativada

Desativada

Ativada

Auditoria: fazer auditoria do acesso a objetos do sistema global

Essa configuração de diretiva audita o acesso de objetos globais do sistema quando está em vigor. Se ambas as configurações Auditoria: fazer auditoria do acesso a objetos do sistema global e Diretiva de auditoria de acesso a objeto de auditoria estiverem ativadas, será gerado um grande número de eventos de auditoria.

A diretiva Auditoria: fazer auditoria do acesso a objetos do sistema global é configurada com o valor padrão Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Observação: as alterações feitas na definição dessa configuração de diretiva não entrarão em vigor até que o Windows Server 2003 seja reiniciado.

Auditoria: fazer auditoria do uso do privilégio de backup e restauração

Essa configuração de diretiva determina se deve ser feita uma auditoria do uso de todos os privilégios do usuário, inclusive Backup e Restauração, quando a diretiva Auditoria de uso de privilégios estiver em vigor. Se você ativar essa diretiva, um grande número de eventos de segurança poderá ser gerado, fazendo com que os servidores respondam com maior lentidão e os logs de eventos de segurança registrem numerosos eventos de pouca importância.

Portanto, a configuração Auditoria: fazer auditoria do uso do privilégio de backup e restauração é definida com o valor padrão Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Observação: as alterações feitas na definição dessa configuração de diretiva não entrarão em vigor até que o Windows Server 2003 seja reiniciado.

Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias seguras

Essa configuração de diretiva determina se o computador deve ser desligado se não for possível registrar em log os eventos de segurança.

Determinou-se que a quantidade de sobrecarga administrativa necessária à ativação da configuração Auditoria: desligar o sistema imediatamente se não for possível o log de auditorias seguras nos ambientes LC e EC era grande demais. Portanto, essa configuração de diretiva é definida como Desativada na diretiva de linha de base desses ambientes. No entanto, essa configuração é definida como Ativada na diretiva de linha de base para o ambiente SSLF, porque a sobrecarga administrativa adicional foi considerada aceitável para impedir a exclusão de eventos do log de segurança de eventos, a menos que um administrador decida fazer isso especificamente.

Configurações de dispositivos

Tabela 4.14 Opções de segurança: configurações de dispositivo recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

permitir desencaixe sem fazer logon

Desativada

Desativada

Desativada

permite formatar e ejetar a mídia removível

Administradores

Administradores

Administradores

evita que usuários instalem drivers de impressora

Ativada

Ativada

Ativada

Restringir o acesso ao CD-ROM somente para usuário com logon feito localmente

Não definido

Não definido

Desativada

restringir o acesso ao floppy somente para usuário com logon feito localmente

Não definido

Não definido

Desativada

comportamento de instalação de driver não assinado

Avisar, mas permitir a instalação

Avisar, mas permitir a instalação

Avisar, mas permitir a instalação

Dispositivos: permitir desencaixe sem fazer logon

Essa configuração de diretiva determina se um computador portátil pode ser desencaixado sem que o usuário precise fazer logon no computador. É possível ativar essa configuração de diretiva para eliminar o requisito de logon e permite usar um botão Ejetar do hardware externo para desencaixar o computador. Se você desativar essa configuração de diretiva, um usuário que não tenha feito logon precisará do direito de usuário Remover computador da estação de encaixe.

A configuração Dispositivos: permitir desencaixe sem fazer logon é definida como Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Dispositivos: permite formatar e ejetar a mídia removível

Essa configuração de diretiva determina quem pode formatar e ejetar a mídia removível. Apenas administradores devem ser capazes de ejetar mídia removível em servidores.

Portanto, o valor recomendado para a configuração Dispositivos: permite formatar e ejetar a mídia removível é o padrão Administradores na diretiva de linha de base nos três ambientes definidos neste guia.

Dispositivos: evitar que usuários instalem drivers de impressora

Para que um computador imprima em uma impressora de rede, o driver para essa impressora de rede deve estar instalado nele. Se você ativar a configuração Dispositivos: evitar que usuários instalem drivers de impressora, somente os membros dos grupos Administradores ou Usuários Avançados ou aqueles com privilégios de Operador de Servidor poderão instalar um driver de impressora para adicionar uma impressora de rede. Se você desativar essa configuração, qualquer usuário poderá instalar um driver de impressora.

A configuração Dispositivos: evitar que usuários instalem drivers de impressora é definida com o valor padrão Ativado na diretiva de linha de base nos três ambientes definidos neste guia.

Dispositivos: restringir o acesso ao CD-ROM somente para usuário com logon feito localmente

Essa configuração de diretiva determina se a unidade de CD-ROM pode ser acessada simultaneamente por usuários locais e remotos. Se você ativar essa configuração, apenas usuários que tenham feito logon interativamente poderão acessar a mídia de CD-ROM removível. Quando essa configuração estiver ativada e ninguém tiver feito logon interativamente, o CD-ROM estará acessível pela rede.

A configuração Dispositivos: restringir o acesso ao CD-ROM somente para usuário com logon feito localmente é definida como Não definido na diretiva de linha de base nos ambientes LC e EC. Na diretiva de linha de base do ambiente SSLF, essa configuração de diretiva é definida como Desativada.

Dispositivos: restringir o acesso ao floppy somente para usuários com logon feito localmente

Essa configuração de diretiva determina se a mídia de disquete removível pode ser acessada simultaneamente por usuários locais e remotos. Se você ativar essa configuração de diretiva, apenas usuários que tenham feito logon interativamente poderão acessar a mídia de disquete removível. Se essa diretiva estiver ativada e ninguém tiver feito logon interativamente, a mídia de disquete estará acessível pela rede.

A configuração Dispositivos: restringir o acesso ao floppy somente para usuários com logon feito localmente é definida como Não definido na diretiva de linha de base para os ambientes LC e EC. Na diretiva de linha de base do ambiente SSLF, essa configuração de diretiva é definida como Desativada.

Dispositivos: comportamento de instalação de driver não assinado

Essa configuração de diretiva determina o que ocorre quando é feita uma tentativa de instalar um driver de dispositivo (por meio da API de Instalação) que não foi aprovado e assinado pelos laboratórios de qualidade de hardware para Windows (WHQL). Dependendo de é definida, essa configuração impedirá a instalação de drivers não assinados ou avisará o administrador que um driver não assinado está prestes a ser instalado.

A configuração Dispositivos: comportamento de instalação de driver não assinado pode ser usada para impedir a instalação de drivers que não foram certificados para execução no Windows Server 2003 com SP1. No entanto, essa configuração de diretiva é definida como Avisar, mas permitir a instalação na diretiva de linha de base nos três ambientes definidos neste guia. Um problema potencial dessa configuração é que os scripts de instalação autônomos falharão se tentarem instalar drivers não assinados.

Configurações de membro de domínio

Tabela 4.15 Opções de segurança: configurações de membros de domínio recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

criptografar ou assinar digitalmente os dados de canal seguro (sempre)

Desativada

Ativada

Ativada

criptografar digitalmente dados do canal seguro (quando for possível)

Ativada

Ativada

Ativada

assinar digitalmente dados do canal seguro (quando for possível)

Ativada

Ativada

Ativada

desativar alterações de senha de conta da máquina

Desativada

Desativada

Desativada

duração máxima de senha de conta de computador

30 dias

30 dias

30 dias

Requer uma chave de sessão de alta segurança (Windows 2000, Windows XP ou Windows Server 2003)

Ativada

Ativada

Ativada

Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre)

Essa configuração de diretiva determina se todo o tráfego de canal seguro iniciado pelo membro do domínio deve ser assinado ou criptografado. Se um computador for definido para sempre criptografar ou assinar dados de canal seguro, não poderá estabelecer um canal seguro com um controlador de domínio que não possa assinar ou criptografar todo o tráfego de canal seguro.

A configuração Membro do domínio: criptografar ou assinar digitalmente os dados de canal seguro (sempre) é definida como Desativada na diretiva de linha de base do ambiente LC, e como Ativada nos ambientes EC e SSLF.

Observação: para tirar proveito dessa configuração em estações de trabalho e servidores membros, todos os controladores de domínio que constituem o domínio do membro devem executar o Windows NT 4.0 com Service Pack 6a ou uma versão mais recente do Windows. Além disso, não há suporte para essa configuração de diretiva nos clientes do Windows 98 Second Edition, a menos que tenham o Dsclient instalado.

Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível)

Essa configuração de diretiva determina se um domínio membro pode tentar negociar a criptografia para todo o tráfego de canal seguro que ele iniciar. Se você ativar essa configuração, o membro do domínio solicitará a criptografia de todo o tráfego de canal seguro. Se você desativar essa configuração, o membro do domínio não poderá negociar a criptografia de canal seguro.

Portanto, a configuração Membro do domínio: criptografar digitalmente dados do canal seguro (quando for possível) é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível)

Essa configuração de diretiva determina se um domínio membro pode tentar negociar a assinatura para todo tráfego de canal seguro que iniciar. O requisito de uma assinatura protege o tráfego de modificações por qualquer pessoa que possa capturar os dados.

A configuração Membro do domínio: assinar digitalmente dados do canal seguro (quando for possível) é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Membro do domínio: desativar alterações de senha de conta da máquina

Essa configuração de diretiva determina se um membro do domínio pode alterar periodicamente a senha de sua conta de computador. Se você ativar essa configuração, o membro do domínio não poderá alterar a senha de conta do computador. Se você desativar essa configuração, o membro do domínio poderá alterar a senha de conta do computador, conforme especificado pela configuração Membro do domínio: duração máxima de senha de conta de computador, que é a cada 30 dias, por padrão.

Os computadores que não podem mais alterar automaticamente as senhas de suas contas correm o risco de um ataque por alguém que determine a senha da conta de domínio do computador. Portanto, a configuração Membro do domínio: desativar alterações de senha de conta da máquina é definida como Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Membro do domínio: duração máxima de senha de conta de computador

Essa configuração de diretiva determina a duração máxima permitida para a senha de uma conta de computador. Ela também se aplica a computadores que executam o Windows 2000, mas não está disponível por meio das ferramentas Gerenciador de Configuração de Segurança nesses computadores. Por padrão, os membros do domínio alteram automaticamente suas senhas de domínio a cada 30 dias. Se esse intervalo for aumentado significativamente, ou se for configurado como 0 (de modo que os computadores não alterem mais suas senhas), um invasor terá mais tempo para empreender um ataque de força bruta e adivinhar a senha de uma ou mais contas do computador.

Portanto, a configuração Membro do domínio: duração máxima de senha de conta de computador é definida como 30 dias na diretiva de linha de base nos três ambientes definidos neste guia.

Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior)

Essa configuração de diretiva determina se a restrição de chave de 128 bits é necessária para dados de canal seguro criptografados. Se você ativar essa configuração, não será possível estabelecer um canal seguro sem a criptografia de 128 bits. Se você desativar essa configuração, o membro de domínio precisará negociar a restrição de chave com o controlador de domínio. As chaves de sessão usadas para estabelecer comunicações por canal seguro entre controladores de domínio e computadores membros são muito mais restritas no Windows 2000 do que nos sistemas operacionais anteriores da Microsoft.

Portanto, visto que os três ambientes de segurança descritos neste guia contêm controladores de domínio Windows 2000 ou posteriores, a configuração Membro do domínio: requer uma chave de sessão de alta segurança (Windows 2000 ou posterior) é definida como Ativada na diretiva de linha de base nos três ambientes.

Observação: se você ativar essa configuração de diretiva, não poderá ingressar em computadores que executam domínios do Windows 2000 ao Windows NT 4.0.

Configurações de logon interativo

Tabela 4.16 Opções de segurança: configurações de logon interativo recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Exibir informações sobre o usuário quando a sessão estiver bloqueada

Não definido

Não definido

Nome de exibição do usuário, nomes de domínio e de usuário

não exibir o último nome do usuário

Ativada

Ativada

Ativada

não exigir Ctrl+Alt+Del

Desativada

Desativada

Desativada

texto de mensagem para usuários tentando fazer logon

(Consulte as pessoas competentes em sua organização.)

(Consulte as pessoas competentes em sua organização.)

(Consulte as pessoas competentes em sua organização.)

título de mensagem para usuários tentando fazer logon

(Consulte as pessoas competentes em sua organização.)

(Consulte as pessoas competentes em sua organização.)

(Consulte as pessoas competentes em sua organização.)

número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível)

1

0

0

pedir que o usuário altere a senha antes que ela expire

14 dias

14 dias

14 dias

exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho

Ativada

Ativada

Ativada

requer um cartão inteligente

Não definido

Não definido

Desativada

comportamento de remoção de placa inteligente

Não definido

Bloquear estação de trabalho

Bloquear estação de trabalho

Logon interativo: exibir informações sobre o usuário quando a sessão estiver bloqueada

Essa configuração de diretiva determina se o nome da conta do último usuário a fazer logon nos computadores clientes na organização será exibido na tela de logon do Windows de cada computador respectivamente. Se você ativar essa configuração, intrusos não poderão coletar nomes de conta visualmente das telas de área de trabalho de computadores desktop ou laptop em sua organização.

A configuração Logon interativo: exibir informações sobre o usuário quando a sessão estiver bloqueada é definida como Não definido nos ambientes LC e EC. Ela é configurada como Nome de exibição do usuário , nomes de domínio e de usuário na diretiva de linha de base de servidor no ambiente SSLF.

Logon interativo: não exibir o último nome do usuário

Essa configuração de diretiva determina se o nome do último usuário que fez logon no computador é exibido na tela de logon do Windows. Se você ativar essa configuração, o nome do último usuário que fez logon não será exibido na caixa de diálogo Fazer logon no Windows.

A configuração Logon interativo: não exibir o último nome do usuário é definida como Ativada na diretiva de servidor de linha de base nos três ambientes definidos neste guia.

Logon interativo: não exigir CTRL + ALT + DEL

Essa configuração de diretiva determina se um usuário precisa pressionar CTRL+ALT+DEL antes de fazer logon. Se você desativar essa configuração, todos os usuários serão solicitados a pressionar CTRL+ALT+DEL antes de fazer logon no Windows (a menos que estejam usando um cartão inteligente para isso).

A configuração Logon interativo: não exigir CTRL + ALT + DEL é definida como Desativada na diretiva de linha de base nos três ambientes definidos neste guia para diminuir a possibilidade de um invasor ser capaz de interceptar senhas por meio de um programa cavalo de Tróia.

Logon interativo: texto de mensagem para usuários tentando fazer logon

Essa configuração de diretiva especifica uma mensagem de texto a ser exibida aos usuários quando eles fizerem logon. Esse texto é usado freqüentemente por motivos legais, por exemplo, para avisar os usuários sobre as implicações do acesso não autorizado, do uso incorreto das informações da empresa ou para avisá-los que suas ações podem ser auditadas.

A configuração da opção de segurança Logon interativo: texto de mensagem para usuários tentando fazer logon é recomendada. Consulte as pessoas relevantes em sua organização para determinar o conteúdo do texto.

Observação: ambas as configurações Logon interativo: texto de mensagem para usuários tentando fazer logon e Logon interativo: título de mensagem para usuários tentando fazer logon devem estar ativadas para que as duas funcionem corretamente.

Logon interativo: título de mensagem para usuários tentando fazer logon

Essa configuração de diretiva permite que um título seja especificado na barra de título da caixa de diálogo de logon interativo exibida quando os usuários fazem logon no computador. Essa configuração é usada pelos mesmos motivos que a configuração Texto de mensagem para usuários tentando fazer logon.

Portanto, a configuração Logon interativo: título de mensagem para usuários tentando fazer logon é recomendada. Consulte as pessoas relevantes em sua organização para determinar o conteúdo do texto.

Observação: ambas as configurações Logon interativo: texto de mensagem para usuários tentando fazer logon e Logon interativo: título de mensagem para usuários tentando fazer logon devem estar ativadas para que as duas funcionem corretamente.

Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível)

Essa configuração de diretiva determina se um usuário pode fazer logon em um domínio do Windows com informações de conta armazenadas em cache. As informações de logon de contas de domínio podem ser armazenadas em cache localmente para que, caso um controlador de domínio não possa ser contatado em logons posteriores, o usuário ainda possa fazer logon. Esse recurso pode permitir que os usuários façam logon depois que suas contas tiverem sido desativadas ou excluídas, visto que a estação de trabalho não contata o controlador de domínio. Essa configuração determina o número de usuários exclusivos para os quais as informações de logon são armazenadas em cache localmente. Se você definir essa configuração como 0, o cache de logon será desativado.

A configuração Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível) é definida como 0 na diretiva de linha de base dos ambientes EC e SSLF. No ambiente LC, a configuração é definida como 1 para permitir acesso a clientes legítimos quando estes não puderem contatar o controlador de domínio.

Logon interativo: pedir que o usuário altere a senha antes que ela expire

Essa configuração de diretiva determina com quantos dias de antecedência os usuários são avisados de que a sua senha expirará. A seção "Diretivas de conta" no Capítulo 3 recomenda que as senhas de usuário sejam configuradas para expirarem periodicamente. Se os usuários não forem notificados quando suas senhas estiverem prestes a expirar, poderão não perceber até que as senhas já tenham expirado, o que pode confundir usuários locais que têm dificuldade para alterar suas senhas. Expirações inesperadas também impossibilitam aos usuários remotos fazer logon por discagem ou conexões de VPN (Rede Virtual Privada).

Portanto, a configuração Logon interativo: pedir que o usuário altere a senha antes que ela expire é definida com o valor padrão, 14 dias, na diretiva de linha de base dos três ambientes definidos neste guia.

Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho

Para contas de domínio, essa configuração de diretiva determina se um controlador de domínio deve ser contatado para desbloquear um computador. Essa configuração de diretiva elimina uma vulnerabilidade potencial semelhante à da configuração Logon interativo: número de logons anteriores para armazenar em cache (caso o controlador de domínio não esteja disponível). Um usuário pode desconectar o cabo de rede do servidor, desbloquear o servidor usando uma senha antiga e desbloquear o servidor sem autenticação.

Para evitar que isso aconteça, a configuração Logon interativo: exigir autenticação de controlador de domínio para desbloqueio de estação de trabalho é definida como Ativada na diretiva de linha de base dos três ambientes definidos neste guia.

Importante: essa configuração de diretiva se aplica a computadores que executam Windows 2000, Windows XP e Windows Server 2003, mas não está disponível nas ferramentas Gerenciador de Configuração de Segurança em computadores que executam o Windows 2000.

Logon interativo: requer um cartão inteligente

Essa configuração de diretiva requer que os usuários façam logon em um computador usando um cartão inteligente. A segurança é reforçada quando os usuários têm que usar senhas longas e complexas para autenticação, especialmente se precisarem alterar suas senhas regularmente. Esse procedimento reduz a chance de um invasor conseguir adivinhar a senha de um usuário por meio de um ataque de força bruta. No entanto, é difícil fazer com que os usuários escolham senhas de alta segurança, e até mesmo as senhas de alta segurança são vulneráveis a ataques de força bruta.

O uso de cartões inteligentes em vez de senhas para autenticação aumenta drasticamente a segurança, porque a tecnologia atual faz com que seja quase impossível para um invasor fazer-se passar por outro usuário. Cartões inteligentes que requerem números de identificação pessoal (PINs) oferecem uma autenticação com dois fatores: o usuário deve ter o cartão inteligente e conhecer seu PIN. Um invasor que capture o tráfego de autenticação entre o computador do usuário e o controlador de domínio terá dificuldades extremas para descriptografar o tráfego. Mesmo que consiga descriptografar o tráfego, na próxima vez que o usuário fizer logon na rede, uma nova chave de sessão será gerada para criptografar o tráfego entre o usuário e o controlador de domínio.

A Microsoft incentiva as organizações a migrar para cartões inteligentes ou para outras tecnologias de autenticação de alta segurança. No entanto, só ative a configuração Logon interativo: requer um cartão inteligente se os cartões inteligentes já tiverem sido implementados. Por esse motivo, esta configuração de diretiva é configurada como Não definido na diretiva de linha de base dos ambientes LC e EC. Essa configuração é definida como Desativada na diretiva de linha de base do ambiente SSLF.

Logon interativo: comportamento de remoção de cartão inteligente

Essa configuração de diretiva determina o que deve ocorrer quando o cartão inteligente de um usuário que fez logon for removido da leitora de cartão inteligente. Se você definir essa configuração como Bloquear estação de trabalho, a estação de trabalho será bloqueada quando o cartão inteligente for removido, o que permitirá ao usuário sair do local e retirar o cartão inteligente. Se você definir essa configuração como Forçar logoff, o logoff do usuário será feito automaticamente quando o cartão inteligente for removido.

A configuração Logon interativo: comportamento de remoção de cartão inteligente é definida como Não definido na diretiva de linha de base do ambiente LC, e como Bloquear estação de trabalho nos ambientes EC e SSLF.

Configurações de cliente de rede Microsoft

Tabela 4.17 Opções de segurança: configurações de cliente de rede Microsoft recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

assinar digitalmente a comunicação (sempre)

Desativada

Ativada

Ativada

assinar digitalmente a comunicação (se o servidor concordar)

Ativada

Ativada

Ativada

enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante

Desativada

Desativada

Desativada

Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre)

Essa configuração de diretiva determina se a assinatura de pacotes é necessária para o componente de cliente SMB. Se você ativar essa configuração, os clientes de rede Microsoft não poderão se comunicar com um servidor de rede Microsoft, a menos que esse servidor concorde em executar a assinatura de pacote SMB. Em ambientes mistos com clientes herdados, defina essa opção como Desativada, pois esses clientes não poderão executar a autenticação nem acessar controladores de domínio. No entanto, você pode usar essa configuração em ambientes que executam Windows 2000, Windows XP e Windows Server 2003. Os ambientes EC e SSLF definidos neste guia só contêm computadores que executam esses sistemas operacionais, sendo que todos eles oferecem suporte a assinaturas digitais.

Portanto, para aumentar a segurança das comunicações entre computadores nesse ambiente, a configuração Cliente de rede Microsoft: assinar digitalmente a comunicação (sempre) é definida como Ativada na diretiva de linha de base dos ambientes EC e SSLF.

Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar)

Essa configuração de diretiva determina se o cliente SMB tentará negociar a assinatura de pacotes SMB. A implementação de assinaturas digitais em redes Windows ajuda a impedir o roubo de sessões. Se você ativar essa configuração, os clientes da rede Microsoft em servidores membros só solicitarão assinaturas se os servidores com os quais estão se comunicando aceitarem a comunicação assinada digitalmente.

A configuração Cliente de rede Microsoft: assinar digitalmente a comunicação (se o servidor concordar) é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante

Se você ativar essa configuração de diretiva, o redirecionador SMB poderá enviar senhas de texto simples a servidores SMB que não sejam da Microsoft e que não admitam a criptografia de senhas durante a autenticação.

A configuração Cliente de rede Microsoft: enviar senha não criptografada para conectar-se a servidores SMB de outro fabricante será definida com o valor padrão Desativada na diretiva de linha de base nos três ambientes definidos neste guia, a menos que os requisitos do aplicativo prevaleçam sobre a necessidade de manter senhas secretas.

Configurações de servidor de rede Microsoft

Tabela 4.18 Opções de segurança: configurações do servidor de rede Microsoft recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

período de tempo ocioso necessário antes de desconectar a sessão

15 minutos

15 minutos

15 minutos

assinar digitalmente a comunicação (sempre)

Desativada

Ativada

Ativada

assinar digitalmente a comunicação (se o cliente concordar)

Ativada

Ativada

Ativada

desconectar clientes após o término do tempo de logon

Ativada

Ativada

Ativada

Servidor de rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão

Essa configuração de diretiva determina o período de tempo ocioso contínuo que deve decorrer em uma sessão SMB antes que ela seja suspensa por inatividade. Os administradores podem usar essa configuração de diretiva para controlar quando um computador suspenderá uma sessão SMB inativa. Se a atividade do cliente for retomada, a sessão será automaticamente restabelecida.

A configuração Servidor de rede Microsoft: período de tempo ocioso necessário antes de desconectar a sessão é definida como 15 minutos na diretiva de linha de base nos três ambientes definidos neste guia.

Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

Essa configuração de diretiva determina se a assinatura de pacotes é necessária para o componente de servidor SMB antes que seja permitida a comunicação com um cliente SMB. O Windows 2000 Server, o Windows 2000 Professional, o Windows Server 2003 e o Windows XP Professional incluem versões do SMB que dão suporte à autenticação mútua, evitando ataques de seqüestro de sessão e oferecendo suporte à autenticação de mensagens para evitar ataques por interceptação. A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada pacote SMB, que depois é verificada tanto pelo cliente quanto pelo servidor. Quando os computadores são configurados para ignorar todas as comunicações de SMB, os aplicativos e sistemas operacionais herdados não podem se conectar. Se toda a assinatura SMB estiver completamente desativada, os computadores estarão vulneráveis a ataques que tentem seqüestrar suas sessões de comunicação.

A configuração Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) é definida como Desativada na diretiva de linha de base no ambiente LC, e como Ativada nos ambientes EC e SSLF.

Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar)

Essa configuração de diretiva determina se o servidor SMB negocia a assinatura de pacotes SMB com os clientes que a solicitarem. O Windows 2000 Server, o Windows 2000 Professional, o Windows Server 2003 e o Windows XP Professional incluem versões do SMB que dão suporte à autenticação mútua, que bloqueia ataques de seqüestro de sessão e oferece suporte à autenticação de mensagens para evitar ataques por interceptação. A assinatura SMB fornece essa autenticação colocando uma assinatura digital em cada pacote SMB, que depois é verificada tanto pelo cliente quanto pelo servidor. Quando os computadores são configurados para ignorar todas as comunicações de SMB, os aplicativos e sistemas operacionais herdados não podem se conectar. Se toda a assinatura SMB estiver completamente desativada, os computadores estarão vulneráveis a ataques que tentem seqüestrar suas sessões de comunicação.

A configuração Servidor de rede Microsoft: assinar digitalmente a comunicação (se o cliente concordar) é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon

Essa configuração de diretiva determina se usuários que estejam conectados a um computador da rede fora do horário de logon válido para a sua conta devem ser desconectados. Esta configuração afeta o componente SMB. Se sua organização tiver configurado horários de logon para os usuários, então fará sentido ativar essa configuração. Caso contrário, os usuários não devem ter acesso aos recursos da rede fora do seu horário de logon ou podem continuar a usar esses recursos com sessões estabelecidas durante o horário permitido.

A configuração Servidor de rede Microsoft: desconectar clientes após o término do tempo de logon é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Configurações de acesso à rede

Tabela 4.19 Opções de segurança: configurações de acesso à rede recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

permitir SID anônimo/conversão de nomes

Não definido

Não definido

Desativada

não permitir enumeração anônima de contas SAM

Ativada

Ativada

Ativada

não permitir enumeração anônima de contas e compartilhamentos SAM

Ativada

Ativada

Ativada

não permitir o armazenamento de credenciais ou Passports .NET para autenticação de rede

Ativada

Ativada

Ativada

deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos

Desativada

Desativada

Desativada

pipes nomeados acessíveis anonimamente

Não definido

Não definido

COMNAP, COMNODE, SQL\QUERY, SPOOLSS, LLSRPC, netlogon, lsarpc, samr, browser

Caminhos do registro acessíveis remotamente

System\CurrentControlSet\Control\Product Options;

System\CurrentControlSet\Control\

Server Applications;

Software\Microsoft\

Windows NT\Current

Versão

System\CurrentControlSet\Control\Product Options;

System\CurrentControlSet\Control\

Server Applications;

Software\Microsoft\

Windows NT\Current

Versão

System\CurrentControlSet\Control\Product Options;

System\CurrentControlSet\Control\

Server Applications;

Software\Microsoft\

Windows NT\Current

Versão

caminhos e subcaminhos do Registro acessíveis remotamente

(consulte a seguinte subseção para obter informações sobre a configuração)

(consulte a seguinte subseção para obter informações sobre a configuração)

(consulte a seguinte subseção para obter informações sobre a configuração)

acesso anônimo restrito a pipes nomeados e compartilhamentos

Ativada

Ativada

Ativada

compartilhamentos acessíveis anonimamente

Não definido

Não definido

Nenhum

compartilhamento e modelo de segurança para contas locais

Clássico – os usuários locais são autenticados como eles próprios

Clássico – os usuários locais são autenticados como eles próprios

Clássico – os usuários locais são autenticados como eles próprios

Acesso à rede: permitir SID anônimo/conversão de nomes

Essa configuração de diretiva determina se um usuário anônimo pode solicitar atributos de SID de outro usuário. Se essa configuração for ativada, um usuário com acesso local poderá usar os SID conhecidos dos administradores para obter o nome real da conta Administrador interna, mesmo que a conta tenha sido renomeada. Essa pessoa poderia então usar a conta para iniciar um ataque de detecção de senha.

A configuração Acesso à rede: permitir SID anônimo/conversão de nomes é definida como Não definido na diretiva de linha de base nos ambientes LC e EC. Essa configuração é definida como Desativada na diretiva de linha de base do ambiente SSLF.

Acesso à rede: não permitir enumeração anônima de contas SAM

Essa configuração de diretiva determina quais permissões adicionais serão concedidas para conexões anônimas ao computador. O Windows permite que usuários anônimos executem determinadas atividades, como a enumeração de nomes de contas de domínio. Esse recurso é conveniente, por exemplo, quando um administrador deseja conceder acesso a usuários em um domínio confiável que não mantenha uma confiança recíproca. Entretanto, mesmo se essa configuração estiver ativada, os usuários anônimos ainda terão acesso a quaisquer recursos com permissões que incluam explicitamente a permissão interna especial do grupo LOGON ANÔNIMO.

A configuração Acesso à rede: não permitir enumeração anônima de contas SAM é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM

Essa configuração de diretiva determina se é permitida a enumeração anônima de contas e compartilhamentos SAM.

A configuração Acesso à rede: não permitir enumeração anônima de contas e compartilhamentos SAM é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Acesso à rede: não permitir o armazenamento de credenciais ou Passports .NET para autenticação de rede

Essa configuração de diretiva determina se as configurações para Nomes de usuário e senhas armazenados salvarão senhas, credenciais ou Microsoft .NET Passports para uso posterior após a obtenção da autenticação de domínio.

A configuração Acesso à rede: não permitir o armazenamento de credenciais ou Passports .NET para autenticação de rede é definida como Ativada na diretiva de linha de base nos três ambientes de segurança definidos neste guia.

Observação: as alterações feitas na definição dessa configuração de diretiva não entrarão em vigor até que o Windows seja reiniciado.

Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos

Essa configuração de diretiva determina as permissões adicionais que são concedidas para conexões anônimas ao computador. Se você ativar essa configuração de diretiva, os usuários do Windows poderão realizar certas atividades, como enumerar nomes para contas de domínio e compartilhamentos de rede. Um usuário não autorizado pode listar anonimamente os nomes de conta e recursos compartilhados e usas as informações para detectar senhas ou executar ataques de engenharia social.

Portanto, a configuração Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos é definida como Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Observação: domínios com essa configuração de diretiva ativada não podem estabelecer nem manter relacionamentos de confiança com domínios ou controladores de domínio do Windows NT 4.0.

Acesso à rede: pipes nomeados acessíveis anonimamente

Essa configuração de diretiva determina que sessões de comunicação (pipes nomeados) têm atributos e permissões que permitem o acesso anônimo.

Você deve impor os valores padrão para a configuração Acesso à rede: pipes nomeados acessíveis anonimamente no ambiente SSLF. Os valores padrão consistem nos seguintes pipes nomeados:

  • COMNAP – acesso a sessão SNA

  • COMNODE – acesso a sessão SNA

  • SQL\QUERY – acesso a instância de SQL

  • SPOOLSS – serviço de spooler

  • LLSRPC – serviço de registro de licença

  • Netlogon – serviço de logon de rede

  • Lsarpc – acesso a LSA

  • Samr – acesso a SAM

  • browser – serviço de localização de computadores

    Importante: se precisar ativar essa configuração de diretiva, certifique-se de adicionar apenas os pipes nomeados necessários para o suporte aos aplicativos em seu ambiente. Assim como ocorre com todas as configurações recomendadas neste guia, você deve testar cuidadosamente essa configuração de diretiva antes de instalá-la em um ambiente de produção.

Acesso à rede: caminhos do Registro acessíveis remotamente

Essa configuração de diretiva determina que caminhos do Registro podem ser acessados pela rede.

A configuração Acesso à rede: caminhos do Registro acessíveis remotamente é definida com seu valor padrão nos modelos de segurança de linha de base nos três ambientes de segurança definidos neste guia.

Observação: mesmo que você defina essa configuração, também deverá iniciar o serviço de sistema de Registro Remoto se os usuários autorizados precisarem acessar o Registro pela rede.

Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente

Essa configuração de diretiva determina que caminhos e subcaminhos do Registro podem ser acessados pela rede.

Os valores padrão da configuração Acesso à rede: caminhos e subcaminhos do Registro acessíveis remotamente são aplicados nos modelos de segurança de linha de base dos três ambientes de segurança definidos neste guia. Os valores padrão consistem nos seguintes caminhos e subcaminhos:

  • System\CurrentControlSet\Control\Print\Printers

  • System\CurrentControlSet\Services\Eventlog

  • Software\Microsoft\Servidor OLAP

  • Software\Microsoft\Windows NT\CurrentVersion\Print

  • Software\Microsoft\Windows NT\CurrentVersion\Windows

  • System\CurrentControlSet\Control\ContentIndex

  • System\CurrentControlSet\Control\Terminal Server

  • System\CurrentControlSet\Control\Terminal Server\UserConfig

  • System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration

  • Software\Microsoft\Windows NT\CurrentVersion\Perflib

  • System\CurrentControlSet\Services\SysmonLog

Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos

Essa configuração de diretiva pode ser usada para restringir o acesso anônimo a compartilhamentos e pipes nomeados nas seguintes configurações:

  • Acesso à rede: pipes nomeados acessíveis anonimamente

  • Acesso à rede: compartilhamentos acessíveis anonimamente

A configuração Acesso à rede: acesso anônimo restrito a pipes nomeados e compartilhamentos é definida com a configuração padrão, Ativada, na diretiva de linha de base dos três ambientes definidos neste guia.

Acesso à rede: compartilhamentos acessíveis anonimamente

Essa configuração de diretiva determina que compartilhamentos de rede podem ser acessados por usuários anônimos. O padrão para essa configuração tem pouco impacto, pois todos os usuários precisam ser autenticados para poderem acessar recursos compartilhados no servidor.

A configuração Acesso à rede: compartilhamentos acessíveis anonimamente é definida como Não definido nos ambientes LC e EC e como Nenhum no ambiente SSLF.

Observação: essa configuração de diretiva pode ser muito perigosa, pois qualquer compartilhamento listado pode ser acessado por qualquer usuário da rede. Dados confidenciais poderão ser expostos ou corrompidos se essa configuração de diretiva for ativada.

Acesso à rede: compartilhamento e modelo de segurança para contas locais

Essa configuração de diretiva determina como os logons na rede que usam contas locais são autenticados. A configuração Clássico permite o controle detalhado do acesso aos recursos e permite fornecer tipos de acessos diferentes a usuários diferentes para o mesmo recurso. A configuração Somente convidados permite tratar todos os usuários da mesma maneira. Neste contexto, todos os usuários se autenticam como Somente convidados para ter o mesmo nível de acesso a um determinado recurso.

A configuração Acesso à rede: compartilhamento e modelo de segurança para contas locais é definida com a configuração padrão, Clássico, na diretiva de linha de base dos três ambientes definidos neste guia.

Configurações de segurança da rede

Tabela 4.20 Opções de segurança: recomendações de configuração de segurança de rede

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

não armazenar o valor de hash do LAN Manager na próxima alteração de senha

Ativada

Ativada

Ativada

nível de autenticação LAN Manager

Enviar somente respostas NTLMv2

Enviar somente respostas NTLMv2\recusar LM

Enviar somente respostas NTLMv2\recusar LM e NTLM

requisitos de assinatura de cliente LDAP

Negociar assinatura

Negociar assinatura

Negociar assinatura

segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro)

Sem mínimo

Todas as configurações ativadas

Todas as configurações ativadas

segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro)

Sem mínimo

Todas as configurações ativadas

Todas as configurações ativadas

Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha

Essa configuração de diretiva determina se o valor de hash do LM (LAN Manager) para a nova senha é armazenado quando a senha é alterada. O hash do LM é relativamente fraco e propenso a ataques em comparação com o hash do Windows NT, que é criptograficamente mais forte.

Por esse motivo, a configuração Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha é definida como Ativada na diretiva de linha de base dos três ambientes de segurança definidos neste guia.

Observação: sistemas operacionais herdados muito antigos e alguns aplicativos podem falhar quando essa configuração de diretiva é ativada. Além disso, você precisará alterar a senha em todas as contas após ativar esta configuração de diretiva.

Segurança de rede: nível de autenticação LAN Manager

Essa configuração de diretiva determina que protocolo de autenticação de desafio/resposta é usado para logons de rede. Essa escolha afeta o nível do protocolo de autenticação usado por computadores clientes, o nível de segurança negociado e o nível de autenticação aceito por servidores, conforme indicado a seguir. Os números na tabela a seguir são as configurações reais do valor de Registro LMCompatibilityLevel.

Tabela 4.21 Configurações do valor de Registro LMCompatibilityLevel

Valor

Protocolo

0

Os clientes usam o LAN Manager e a autenticação NTLM, e nunca usam a segurança de sessão NTLMv2.

1

Os clientes usam o LAN Manager e a autenticação NTLM, e usarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor.

2

Os clientes usam somente a autenticação NTLM e usarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor.

3

Os clientes usam somente a autenticação NTLMv2 e usarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor.

4

Os clientes usam somente a autenticação NTLM e usarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. O controlador de domínio recusa a autenticação LAN Manager.

5

Os clientes usam somente a autenticação NTLMv2 e usarão a segurança da sessão NTLMv2 caso ela conte com o suporte do servidor. O controlador de domínio recusa a autenticação LAN Manager e NTLM e aceita somente o NTLMv2.

Você deve definir essa configuração de diretiva com o nível mais alto que seu ambiente permitir, de acordo com as diretrizes a seguir:

Em um ambiente que inclui somente Windows NT 4.0 SP4, Windows 2000 e Windows XP Professional, defina essa configuração de diretiva como Enviar somente respostas NTLMv2\recusar LM e NTLM em todos os clientes, e como Enviar somente respostas NTLMv2\recusar LM e NTLM em todos os servidores depois que todos os clientes estiverem configurados. A exceção a essa recomendação consiste nos servidores de Roteamento e Acesso Remoto do Windows Server 2003, que não funcionam corretamente se essa configuração for definida com um valor mais elevado do que Enviar somente respostas NTLMv2\recusar LM.

Pode ser necessário que o ambiente EC ofereça suporte a servidores de Roteamento e Acesso Remoto. Portanto, a configuração Segurança de rede: nível de autenticação LAN Manager para esse ambiente é configurado como Enviar somente respostas NTLMv2\recusar LM na diretiva de linha de base. Não há suporte para servidores de Roteamento e Acesso Remoto no ambiente SSLF e, portanto, a configuração de diretiva para esse ambiente é definida como Enviar somente respostas NTLMv2\recusar LM e NTLM.

Se você tiver clientes Windows 9x em que possa instalar o DSClient, configure essa configuração como Enviar somente respostas NTLMv2\recusar LM e NTLM em computadores que executam Windows NT (Windows NT, Windows 2000 e Windows XP Professional). Caso contrário, deixe essa configuração definida com um valor igual ou inferior a Enviar somente respostas NTLMv2 na diretiva de linha de base para computadores que não executam Windows 9x, que é a maneira como ela é definida no ambiente de LC.

Se algum aplicativo falhar quando essa configuração estiver ativada, reverta uma etapa de cada vez para determinar o que está causando a falha. No mínimo, defina essa configuração como Enviar LM e NTLM – use a segurança da sessão NTLMv2, se estiver negociada na diretiva de linha de base em todos os computadores. Normalmente, você pode configurá-la como Enviar somente respostas NTLMv2 em todos os computadores no ambiente.

Segurança de rede: requisitos de assinatura de cliente LDAP

Essa configuração de diretiva determina o nível de assinatura de dados que é solicitado em nome dos clientes que emitem solicitações LDAP BIND. O tráfego de rede não assinado é suscetível a ataques de interceptadores. Para um servidor LDAP, um invasor pode fazer com que um cliente tome decisões com base em consultas falsas do cliente LDAP.

Portanto, a configuração Segurança de rede: requisitos de assinatura de cliente LDAP é definida como Negociar assinatura na diretiva de linha de base dos três ambientes definidos neste guia.

Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro)

Essa configuração de diretiva permite que um cliente exija a negociação do sigilo de mensagens (criptografia), a assinatura de mensagens, a criptografia de 128 bits ou a segurança de sessão NTLM versão 2 (NTLMv2). Defina essa configuração de diretiva com o mais alto nível de segurança possível, mas lembre-se de que você ainda precisa permitir que os aplicativos na rede funcionem. A definição correta desta configuração ajudará a garantir que o tráfego de rede de servidores baseados em NTLM SSP seja protegido contra ataques de interceptadores e exposição dos dados.

A configuração Segurança de rede: segurança mínima de sessão para clientes baseados em NTLM SSP (incluindo RPC seguro) é definida como Sem mínimo na diretiva de linha de base no ambiente de LC. Todas as configurações são ativadas nos ambientes EC e SSLF.

Segurança de rede: segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro)

Essa configuração de diretiva permite que um cliente exija a negociação do sigilo de mensagens (criptografia), a integridade de mensagens, a criptografia de 128 bits ou a segurança da sessão NTLMv2. Defina essa configuração de diretiva com o mais alto nível de segurança possível, mas lembre-se de que você ainda precisa permitir que os aplicativos na rede funcionem. Assim como a configuração anterior, a definição correta desta diretiva ajudará a garantir que o tráfego de rede de clientes baseados em NTLM SSP seja protegido contra ataques de interceptadores e exposição dos dados.

A configuração Segurança de rede: segurança mínima de sessão para servidores baseados em NTLM SSP (incluindo RPC seguro) é definida como Sem mínimo na diretiva de linha de base no ambiente de LC. Todas as configurações são ativadas nos ambientes EC e SSLF.

Configurações de console de recuperação

Tabela 4.22 Opções de segurança: recomendações de configuração de console de recuperação

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

permite logon automático administrativo

Desativada

Desativada

Desativada

permite cópia em disquete e acesso a todas as unidades e pastas

Ativada

Ativada

Desativada

Console de recuperação: permitir logon automático administrativo

Essa configuração de diretiva determina se a senha para a conta de Administrador deve ser fornecida antes de ser concedido acesso ao computador. Se você ativar essa configuração de diretiva, o Console de Recuperação não exigirá que você forneça uma senha e fará logon automaticamente no computador. O Console de Recuperação pode ser muito útil quando você precisa trabalhar com computadores que apresentam problemas de inicialização. No entanto, pode ser prejudicial ativar essa configuração porque qualquer pessoa pode se dirigir ao servidor, desligá-lo (tirando-o da tomada), reiniciá-lo, selecionar Console de Recuperação no menu Reiniciar e assumir o controle total do servidor.

Portanto, a configuração Console de recuperação: permitir logon automático administrativo é definida como Desativada na diretiva de linha de base nos três ambientes definidos neste guia. Para usar o Console de Recuperação quando essa configuração está desabilitada, o usuário precisa digitar um nome de usuário e uma senha para acessar a conta de Console de Recuperação.

Console de recuperação: permitir cópia em disquete e acesso a todas as unidades e pastas

Você pode ativar essa configuração a fim de disponibilizar o comando SET do Console de Recuperação, que permite definir as seguintes variáveis de ambiente do Console de Recuperação:

  • AllowWildCards. Permite o suporte a caracteres curinga para alguns comandos (como o comando DEL).

  • AllowAllPaths. Permite o acesso a todos os arquivos e pastas no computador.

  • AllowRemovableMedia. Permite a cópia de arquivos para mídia removível, como um disquete.

  • NoCopyPrompt. Não avisa ao substituir um arquivo existente.

Para o máximo de segurança, a configuração Console de recuperação: permitir cópia em disquete e acesso a todas as unidades e pastas é definida como Desativada na diretiva de linha de base do ambiente SSLF. Entretanto, essa diretiva é configurada como Não definido nos ambientes de LC e EC.

Configurações de desligamento

Tabela 4.23 Opções de segurança: recomendações para configuração de desligamento

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

permitir que o sistema seja encerrado sem a necessidade de fazer logon

Desativada

Desativada

Desativada

limpar arquivo de paginação de memória virtual

Desativada

Desativada

Desativada

Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon

Essa configuração de diretiva determina se um computador pode ser desligado por um usuário que não precise fazer logon no sistema operacional Windows. Os usuários que podem acessar o console podem desligar o computador. Um invasor ou usuário mal-intencionado pode se conectar ao servidor por meio dos Serviços de Terminal e desligá-lo ou reiniciá-lo sem precisar se identificar.

Portanto, a configuração Desligamento: permitir que o sistema seja encerrado sem a necessidade de fazer logon é definida por padrão como Desativada na diretiva de linha de base nos três ambientes definidos neste guia.

Desligamento: limpar arquivo de paginação de memória virtual

Essa configuração de diretiva determina se o arquivo de paginação de memória virtual é limpo quando o computador é desligado. Quando essa configuração é ativada, o arquivo de paginação do sistema é limpo sempre que o computador é desligado adequadamente. Se você ativar essa configuração, o arquivo de hibernação (Hiberfil.sys) também será zerado quando a hibernação for desativada em um computador portátil. O servidor levará mais tempo para ser desligado e ligado novamente, o que é particularmente visível em servidores com arquivos de paginação grandes.

Por esses motivos, a configuração Desligamento: limpar arquivo de paginação de memória virtual é definida como Desativada nos três ambientes definidos neste guia.

Observação: um invasor com acesso físico ao servidor pode ignorar essa contramedida simplesmente desconectando o servidor de sua fonte de energia.

Configurações de criptografia do sistema

Tabela 4.24 Opções de segurança: configurações de criptografia do sistema recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

forçar proteção de chave forte para chaves do usuário armazenadas no computador

O usuário é consultado quando a chave é usada pela primeira vez

O usuário é consultado quando a chave é usada pela primeira vez

O usuário deve digitar uma senha sempre que usar uma chave

usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura

Desativada

Desativada

Ativada

Criptografia de sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador

Essa configuração de diretiva determina se as chaves particulares dos usuários (como suas chaves S-MIME) exigem uma senha para serem usadas. Se você configurar essa diretiva de forma que os usuários precisem fornecer uma senha – diferente da senha do domínio – sempre que usaram uma chave, será mais difícil para um invasor acessar as chaves armazenadas localmente, mesmo que ele descubra senhas de logon.

Devido aos requisitos de utilização nos ambientes LC e EC, a configuração Criptografia do sistema: forçar proteção de chave forte para chaves do usuário armazenadas no computador é definida como O usuário é consultado quando a chave é usada pela primeira vez na diretiva de linha de base. Para fornecer segurança adicional, essa configuração de diretiva é definida como O usuário deve digitar uma senha sempre que usar uma chave no ambiente SSLF.

Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura

Essa configuração de diretiva determina se o Provedor de Segurança TLS/SSL oferecerá suporte apenas ao conjunto de codificação TLS_RSA_WITH_3DES_EDE_CBC_SHA. Embora essa configuração aumente a segurança, a maioria dos sites públicos protegidos com TLS ou SSL não oferecem suporte a esses algoritmos. Muitos computadores cliente também não são configurados de forma a dar suporte a esses algoritmos.

Por esses motivos, a configuração Criptografia do sistema: usar algoritmos compatíveis com FIPS para criptografia , hash , e assinatura é definida como Desativada na diretiva de linha de base nos ambientes LC e EC. No entanto, essa configuração de diretiva é definida como Ativada no ambiente SSLF.

Configurações de objetos de sistema

Tabela 4.25 Opções de segurança: configurações de objetos do sistema recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

o proprietário padrão de objetos criados por membros do grupo Administradores

Criador de objetos

Criador de objetos

Criador de objetos

exigir distinção entre maiúsculas e minúsculas para subsistemas não–Windows

Ativada

Ativada

Ativada

Restringir permissões padrão de objetos do sistema interno (por exemplo: Ligações Simbólicas)

Ativada

Ativada

Ativada

Objetos do sistema: o proprietário padrão de objetos criados por membros do grupo Administradores

Essa configuração de diretiva determina se o grupo Administradores ou um criador de objetos é o proprietário padrão de quaisquer objetos do sistema que forem criados. Quando objetos do sistema são criados, seus proprietários correspondem às contas que os criaram, e não ao grupo mais genérico Administradores.

A configuração Objetos do sistema: o proprietário padrão de objetos criados por membros do grupo Administradores é definida como Criador de objetos na diretiva de linha de base nos três ambientes definidos neste guia.

Objetos do sistema: não exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows

Essa configuração de diretiva determina se a distinção entre maiúsculas e minúsculas é adotada em todos os subsistemas. O subsistema Microsoft Win32® não faz distinção entre maiúsculas e minúsculas. No entanto, o núcleo dá suporte para distinção entre maiúsculas e minúsculas para outros subsistemas, como POSIX (Portable Operating System Interface for UNIX). Como o Windows não faz distinção entre maiúsculas e minúsculas e o subsistema POSIX dá suporte à distinção, se essa configuração não for aplicada, um usuário do POSIX poderá criar um arquivo com o mesmo nome que outro arquivo, usando uma mistura de maiúsculas e minúsculas no nome. Isso pode bloquear o acesso de outro usuário a esses arquivos com ferramentas Win32 normais, porque apenas um dos arquivos estará disponível.

Para garantir a padronização dos nomes de arquivo, a configuração Objetos do sistema: não exigir distinção entre maiúsculas e minúsculas para subsistemas não-Windows é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo: Ligações simbólicas)

Essa configuração de diretiva determina o nível de restrição da DACL (lista de controle de acesso condicional) padrão para os objetos e ajuda a proteger objetos que possam ser localizados e compartilhados entre processos. Para reforçar a DACL, você pode usar o valor padrão Ativada, que permite que usuários que não são administradores leiam objetos compartilhados, mas não modifiquem os objetos que não tiverem criado.

A configuração Objetos do sistema: restringir permissões padrão de objetos do sistema interno (por exemplo: Ligações simbólicas) é definida com o valor padrão Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Configurações do sistema

Tabela 4.26 Opções de segurança: configurações do sistema recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Configurações do sistema: subsistemas opcionais

Nenhum

Nenhum

Nenhum

Configurações do sistema: usar Regras de Certificado em Arquivos Executáveis do Windows para Diretivas de Restrição de Software

Não definido

Desativada

Ativada

Configurações do sistema: subsistemas opcionais

Essa configuração de diretiva determina que subsistemas são usados para o suporte a aplicativos em seu ambiente. O valor padrão para essa configuração no Windows Server 2003 é POSIX.

Para desativar o subsistema POSIX, a configuração Configurações do sistema: subsistemas opcionais é definida como Nenhum na diretiva de linha de base nos três ambientes definidos neste guia.

Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para diretivas de restrição de software

Essa configuração de diretiva determina se certificados digitais são processados quando as diretivas de restrição de software estão ativadas e um usuário ou processo tenta executar software com a extensão de nome de arquivo .exe. Ela ativa ou desativa regras de certificado (um tipo de regra para diretivas de restrição de software). Com diretivas de restrição de software, você pode criar uma regra de certificado que permitirá ou não que o software assinado pelo Authenticode® seja executado, com base no certificado digital a ele associado. Para que as regras de certificado tenham efeito nas diretivas de restrição de software, é preciso ativar essa configuração de diretiva.

A configuração Configurações do sistema: usar regras de certificado em arquivos executáveis do Windows para diretivas de restrição de software é definida como Ativada no ambiente SSLF. No entanto, ela é configurada como Desativada no ambiente EC e como Não definido no ambiente LC devido ao impacto potencial no desempenho.

Log de eventos

O log de eventos registra eventos no computador, e o log de segurança registra eventos de auditoria. O recipiente de log de eventos da Diretiva de Grupo é usado para definir atributos dos logs de eventos do aplicativo, da segurança e do sistema, como tamanho máximo de log, direitos de acesso para cada log, e definições e métodos de retenção. As configurações para os logs de eventos do aplicativo, da segurança e do sistema são definidas na MSBP e aplicadas a todos os servidores membros do domínio.

Você pode definir as configurações do log de segurança no Windows Server 2003 com SP1 no seguinte local do Editor de Objeto de Diretiva de Grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Log de eventos

Esta seção fornece detalhes sobre as configurações recomendadas para o log de eventos da MSBP nos três ambientes definidos neste guia. Para obter um resumo das configurações prescritas nesta seção, consulte a pasta de trabalho do Microsoft Excel "Windows Server 2003 Security Guide Settings", disponível com a versão de download deste guia. Para obter informações sobre a configuração padrão e uma explicação detalhada de cada uma das configurações, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

A tabela a seguir resume as recomendações para a configuração do log de eventos nos três ambientes definidos neste guia. Informações adicionais sobre cada configuração são fornecidas nas subseções apresentadas após a tabela.

Tabela 4.27 Configurações do log de eventos recomendadas

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Tamanho máximo do log de aplicativo

16.384 KB

16.384 KB

16.384 KB

Tamanho máximo do log de segurança

81.920 KB

81.920 KB

81.920 KB

Tamanho máximo do log do sistema

16.384 KB

16.384 KB

16.384 KB

Impede que o grupo de convidados locais acesse o log do aplicativo

Ativada

Ativada

Ativada

Impede que o grupo de convidados locais acesse o log de segurança

Ativada

Ativada

Ativada

Impede que o grupo de convidados locais acesse o log de sistema

Ativada

Ativada

Ativada

Método de retenção do log de aplicativo

Conforme necessário

Conforme necessário

Conforme necessário

Método de retenção do log de segurança

Conforme necessário

Conforme necessário

Conforme necessário

Método de retenção do log do sistema

Conforme necessário

Conforme necessário

Conforme necessário

Tamanho máximo do log de aplicativo

Essa configuração de diretiva especifica o tamanho máximo do log de eventos do aplicativo, que tem uma capacidade máxima de 4 GB. No entanto, esse tamanho não é recomendado devido ao risco de fragmentação da memória, que causa desempenho lento e o registro não confiável dos eventos. Os requisitos de tamanho de log do aplicativo variam e dependem da função da plataforma e da necessidade de registros históricos de eventos relativos ao aplicativo.

A configuração Tamanho máximo do log de aplicativo é definida com o valor padrão de 16 . 384 KB na diretiva de linha de base nos três ambientes definidos neste guia.

Tamanho máximo do log de segurança

Essa configuração de diretiva especifica o tamanho máximo do log de eventos de segurança, que tem uma capacidade máxima de 4 GB. Configure o log de segurança com pelo menos 80 MB em controladores de domínio e servidores autônomos, que deve armazenar adequadamente informações suficientes para a realização de auditorias. A definição dessa diretiva para outros computadores depende de fatores como a freqüência com que o log será consultado, o espaço em disco disponível e assim por diante.

A configuração de segurança Tamanho máximo do log de segurança é definida como 81 . 920 KB na diretiva de linha de base nos três ambientes definidos neste guia.

Tamanho máximo do log do sistema

Essa configuração de diretiva especifica o tamanho máximo do log de eventos do sistema, que tem uma capacidade máxima de 4 GB. No entanto, esse tamanho não é recomendado devido ao risco de fragmentação da memória, que causa desempenho lento e o registro não confiável dos eventos. Os requisitos de tamanho de log do sistema variam e dependem da função da plataforma e da necessidade de registros históricos.

A configuração Tamanho máximo do log do sistema é definida com o valor padrão de 16 . 384 KB na diretiva de linha de base nos três ambientes definidos neste guia.

Impede que o grupo de convidados locais acesse o log do aplicativo

Essa configuração de diretiva determina se o acesso de convidados ao log de eventos do aplicativo é negado. Por padrão no Windows Server 2003 com SP1, o acesso de convidados é proibido em todos os computadores. Portanto, essa configuração de diretiva não tem nenhum efeito real em computadores com configurações padrão.

No entanto, como essa é considerada uma configuração de defesa em profundidade sem efeitos colaterais, a configuração Impede que o grupo de convidados locais acesse o log do aplicativo é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Observação: esta configuração não aparece no objeto Diretiva de Computador Local.

Impede que o grupo de convidados locais acesse o log de segurança

Essa configuração de diretiva determina se o acesso de convidados ao log de eventos de segurança é negado. Um usuário deve ter o direito de usuário Gerenciar o log de auditoria e de segurança (que não é definido neste guia) para acessar o log de segurança. Portanto, essa configuração de diretiva não tem nenhum efeito real em computadores com configurações padrão.

No entanto, como essa é considerada uma configuração de defesa em profundidade sem efeitos colaterais, a configuração Impede que o grupo de convidados locais acesse o log de segurança é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Observação: esta configuração não aparece no objeto Diretiva de Computador Local.

Impede que o grupo de convidados locais acesse o log de sistema

Essa configuração de diretiva determina se o acesso de convidados ao log de eventos do sistema é negado. Por padrão no Windows Server 2003 com SP1, o acesso de convidados é proibido em todos os computadores. Portanto, essa configuração de diretiva não tem nenhum efeito real em computadores com configurações padrão.

No entanto, como essa é considerada uma configuração de defesa em profundidade sem efeitos colaterais, a configuração Impede que o grupo de convidados locais acesse o log de sistema é definida como Ativada na diretiva de linha de base nos três ambientes definidos neste guia.

Observação: esta configuração não aparece no objeto Diretiva de Computador Local.

Método de retenção do log de aplicativo

Essa configuração de diretiva determina o método de disposição para o log do aplicativo. É imprescindível que o log de aplicativo seja arquivado regularmente se eventos históricos forem necessários para fins judiciais ou de solução de problemas. Se os eventos forem substituídos conforme necessário, o log sempre armazenará os eventos mais recentes – embora essa configuração possa resultar na perda de dados históricos.

A configuração Método de retenção do log de aplicativo é definida como Conforme necessário na diretiva de linha de base para todos os três ambientes definidos neste guia.

Método de retenção do log de segurança

Essa configuração de diretiva determina o método de disposição para o log de segurança. É imprescindível que o log de segurança seja arquivado regularmente se eventos históricos forem necessários para fins judiciais ou de solução de problemas. Se os eventos forem substituídos conforme necessário, o log sempre armazenará os eventos mais recentes – embora essa configuração possa resultar na perda de dados históricos.

A configuração Método de retenção do log de segurança é definida como Conforme necessário na diretiva de linha de base nos três ambientes definidos neste guia.

Método de retenção do log do sistema

Essa configuração de diretiva determina o método de disposição para o log do sistema. É imprescindível que os logs sejam arquivados regularmente se eventos históricos forem necessários para fins judiciais ou de solução de problemas. Se os eventos forem substituídos conforme necessário, o log sempre armazenará os eventos mais recentes – embora essa configuração possa resultar na perda de dados históricos.

A configuração Método de retenção do log do sistema é definida como Conforme necessário na diretiva de linha de base nos três ambientes definidos neste guia.

Entradas adicionais do Registro

Entradas adicionais do Registro (também denominadas valores do registro) foram criadas para os arquivos de modelos de segurança de linha de base que não são definidos no arquivo Modelo Administrativo padrão (.adm) para os três ambientes de segurança definidos neste guia. Os arquivos .adm definem diretivas e restrições para área de trabalho, shell e segurança do Windows Server 2003.

Essas entradas do Registro foram incorporadas aos modelos de segurança (na seção "Opções de segurança") para automatizar as alterações. Se a diretiva for removida, essas entradas do Registro não serão removidas automaticamente e deverão ser alteradas manualmente com uma ferramenta de edição do Registro, como Regedt32.exe. As mesmas entradas do Registro são aplicadas aos três ambientes.

Este guia inclui entradas adicionais do Registro que são adicionadas ao Editor de Configuração de Segurança (SCE). Para adicionar essas entradas do Registro, é preciso modificar o arquivo Sceregvl.inf (localizado na pasta %windir%\inf) e registrar novamente o arquivo Scecli.dll. As entradas de segurança originais, assim como as adicionais, são exibidas em Diretivas locais\Segurança nas ferramentas e snap-ins listados anteriormente neste capítulo. Você precisará atualizar o arquivo Sceregvl.inf e registrar novamente o arquivo Scecli.dll em qualquer computador em que serão editados os modelos de segurança e as Diretivas de Grupo fornecidos com este guia. Detalhes sobre como atualizar esses arquivos são fornecidos no guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Esta seção é apenas um resumo das entradas adicionais do Registro, que são descritas detalhadamente no guia complementar. Para obter informações sobre as configurações padrão e uma explicação detalhada de cada uma das configurações discutidas nesta seção, consulte Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP.

Consideração de segurança para ataques à rede

Ataques de negação de serviço são ataques à rede que tentam fazer com que um computador ou um serviço específico em um computador não esteja disponível para os usuários das redes. Pode ser difícil defender-se contra ataques DoS.

Para ajudar a impedir esses ataques, você deve manter seu computador atualizado com as correções de segurança mais recentes e proteger a pilha de protocolo TCP/IP nos computadores que executam o Windows Server 2003 com SP1 e que estão expostos a invasores em potencial. A configuração de pilha TCP/IP padrão é ajustada para lidar com o tráfego padrão da intranet. Se você conectar um computador diretamente à Internet, a Microsoft recomenda que você proteja a pilha do TCP/IP contra ataques de negação de serviço.

É possível adicionar os valores de Registro na tabela a seguir ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\

subchave.

Tabela 4.28 Recomendações para entrada de Registro de TCP/IP

Entrada do Registro

Formato

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

EnableICMPRedirect

DWORD

0

0

0

SynAttackProtect

DWORD

1

1

1

EnableDeadGWDetect

DWORD

0

0

0

KeepAliveTime

DWORD

300.000

300.000

300.000

DisableIPSourceRouting

DWORD

2

2

2

TcpMaxConnectResponseRetransmissions

DWORD

2

2

2

TcpMaxDataRetransmissions

DWORD

3

3

3

PerformRouterDiscovery

DWORD

0

0

0

Outras entradas do Registro

Outras entradas do Registro recomendadas que não são específicas ao TCP/IP estão listadas na tabela a seguir. Informações adicionais sobre cada entrada são fornecidas nas subseções apresentadas após a tabela.

Tabela 4.29 Outras recomendações de entradas de Registro

Entrada do Registro

Formato

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

MSS: (NoNameReleaseOnDemand) permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS

DWORD

1

1

1

MSS: (NtfsDisable8dot3NameCreation) permite que o computador pare de gerar nomes de arquivo em estilo 8.3 (recomendado)

DWORD

0

0

1

MSS: (NoDriveTypeAutoRun) desativa Autorun para todas as unidades (recomendado)

DWORD

0xFF

0xFF

0xFF

MSS: (ScreenSaverGracePeriod) o tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0)

Seqüência

0

0

0

MSS: (WarningLevel) o limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso

DWORD

90

90

90

MSS: (SafeDllSearchMode) ativa o modo de pesquisa de DLL segura (recomendado)

DWORD

1

1

1

MSS: (AutoReboot) permite que o Windows seja reiniciado automaticamente após uma queda do sistema (recomendado, exceto para ambientes altamente seguros)

DWORD

1

1

0

MSS: (AutoAdminLogon) permite o logon automático (não recomendado)

DWORD

0

0

0

MSS: (AutoShareWks) permite compartilhamentos administrativos (recomendado, exceto para ambientes altamente seguros)

DWORD

1

1

0

MSS: (DisableSavePassword) impede que a senha de discagem seja salva (recomendado)

DWORD

1

1

1

MSS: (NoDefaultExempt) ativa NoDefaultExempt para filtragem IPSec (recomendado)

DWORD

3

3

3

Configurar segurança de liberação de nome do NetBIOS: permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS

Essa entrada aparece como MSS: (NoNameReleaseOnDemand) permite que o computador ignore pedidos de liberação de nomes do NetBIOS, exceto os pedidos de servidores WINS no SCE.

NetBIOS no TCP/IP é um protocolo de rede que (entre outras coisas) fornece um meio de resolver facilmente nomes do NetBIOS registrados em computadores baseados no Windows para os endereços IP configurados nesses computadores. Esse valor determina se o computador libera seu nome de NetBIOS ao receber um pedido de liberação de nome.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Netbt\Parameters\

subchave.

Desativar a geração automática de nomes de arquivo 8.3: permite que o computador pare de gerar nomes de arquivo em estilo 8.3

Essa entrada aparece como MSS: (NtfsDisable8dot3NameCreation) permite que o computador pare de gerar nomes de arquivo em estilo 8.3 (recomendado) no SCE.

O Windows Server 2003 com SP1 dá suporte para formatos de nome de arquivo 8.3 para compatibilidade com versões anteriores de aplicativos de 16 bits. A convenção de nome de arquivo 8.3 é um formato que permite somente nomes de arquivo com até oito caracteres.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\FileSystem\

subchave.

Desativar Autorun: desativa Autorun para todas as unidades

Essa entrada aparece como MSS: (NoDriveTypeAutoRun) desativa Autorun para todas as unidades (recomendado) no SCE.

O Autorun inicia a leitura de uma unidade no computador assim que uma mídia é inserida nela. Como resultado, componentes como o arquivo de instalação (de programas) ou o som (para conteúdo de áudio) são iniciados imediatamente.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

subchave.

Tornar imediata a proteção por senha do protetor de tela: o tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0)

Essa entrada aparece como MSS: (ScreenSaverGracePeriod) o tempo em segundos antes que o período de cortesia do protetor de tela expire (o valor recomendado é 0) no SCE.

O Windows inclui um período de cortesia entre o momento em que o protetor de tela é iniciado e o momento em que o console é realmente bloqueado automaticamente quando o bloqueio do protetor de tela é habilitado.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\

subchave.

Aviso de log de segurança próximo à capacidade máxima: o limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso

Essa entrada aparece como MSS: (WarningLevel) o limite de porcentagem para o log de eventos de segurança para que o sistema gere um aviso no SCE.

Essa opção se tornou disponível com o SP3 para Windows 2000. Ela gera uma auditoria no log de segurança quando seu tamanho atinge um limite definido pelo usuário. Por exemplo, se você configurar o valor dessa entrada de Registro como 90 e o log de segurança atingir 90% da capacidade, o log mostrará uma entrada com o eventID 523 que diz: "Agora o log de segurança está 90 por cento cheio".

Observação: se as configurações do log forem definidas como Substituir eventos quando necessário ou Substituir eventos mais antigos que x dias, esse evento não será gerado.

É possível adicionar este valor de Registro ao arquivo de modelo de segurança na

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Services\Eventlog\Security\

subchave.

Ativar ordem de pesquisa de DLL segura: ativa modo de pesquisa de DLL segura (recomendado)

Essa entrada aparece como MSS: (SafeDllSearchMode) ativa modo de pesquisa de DLL segura (recomendado) no SCE.

A ordem de pesquisa de DLL pode ser configurada como pesquisa para DLLs solicitadas executando-se processos em uma das duas seguintes maneiras:

  • Pesquisar primeiro as pastas especificadas no caminho do sistema e depois pesquisar a pasta de trabalho atual.

  • Pesquisar primeiro a pasta de trabalho atual e depois pesquisar as pastas especificadas no caminho do sistema.

O valor do Registro é configurado como 1, o que faz com que o computador pesquise primeiro as pastas especificadas no caminho do sistema e, em seguida, a pasta de trabalho atual. Se você configurar essa entrada como 0, o computador pesquisará primeiro a pasta de trabalho atual e, em seguida, as pastas especificadas no caminho do sistema.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\ SYSTEM\CurrentControlSet\Control\Session Manager\

subchave.

Reinicialização automática: permite que o Windows seja reiniciado automaticamente após uma queda do sistema

Essa entrada aparece como MSS: (AutoReboot) permite que o Windows seja reiniciado automaticamente após uma queda do sistema (recomendado, exceto para ambientes altamente seguros) no SCE.

Essa entrada, quando ativada, permite que um servidor seja reinicializado automaticamente depois de uma queda fatal do sistema. Por padrão, ela é ativada, o que não é desejável em servidores altamente seguros.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\CrashControl\

subchave.

Logon automático: ativa logon automático

Essa entrada aparece como MSS: (AutoAdminLogon) ativa logon automático (não recomendado) no SCE. Por padrão, essa entrada não é ativada e nunca deve ser usada em um servidor em praticamente nenhuma circunstância concebível.

Para obter mais informações, consulte o artigo "Como ativar o logon automático no Windows XP" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/default.aspx?kbid=315231.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\
Winlogon\

subchave.    

Compartilhamentos administrativos: permite compartilhamentos administrativos

Essa entrada aparece como MSS: (AutoShareWks) permite compartilhamentos administrativos (recomendado, exceto para ambientes altamente seguros) no SCE. Por padrão, quando a rede do Windows estiver ativa em um servidor, o Windows criará compartilhamentos administrativos ocultos, o que não é desejável no caso de servidores altamente seguros.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\RasMan\Parameters\

subchave.

Desativar senhas salvas: impede que a senha de discagem seja salva

Essa entrada aparece como MSS: (DisableSavePassword) impede que a senha de discagem seja salva (recomendado) no SCE. Por padrão, o Windows oferecerá a opção de salvar as senhas para conexões dial-up e VPN, o que não é desejável em um servidor.

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\
Parameters\

subchave.

Permitir que o IPSec proteja o tráfego RSVP Kerberos: ativa NoDefaultExempt para filtragem IPSec

Essa entrada aparece como MSS: (NoDefaultExempt) ativa NoDefaultExempt para filtragem IPSec (recomendado) no SCE. As isenções padrão para filtros de diretiva IPsec são documentadas na ajuda online do Microsoft Windows Server 2003. Esses filtros permitem que o protocolo de autenticação Kerberos e IKE (Internet Key Exchange) funcionem. Os filtros também permitem que a qualidade de serviço (QoS) da rede seja sinalizada (RSVP) quando o tráfego de dados é protegido por IPsec, e para tráfego que o IPsec pode não proteger (como tráfego de difusão seletiva e difusão ponto a ponto).

É possível adicionar este valor de Registro ao arquivo de modelo na

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\IPSEC\

subchave.

Grupos restritos

O recurso Grupos Restritos permite gerenciar a participação em grupos por meio de mecanismos de diretiva e impede a exploração deliberada ou inadvertida de grupos que tenham direitos de usuário poderosos. Reveja primeiro as necessidades de sua organização para determinar os grupos que deseja restringir.

Os grupos Operadores de Cópia e Usuários Avançados são restritos em todos os três ambientes definidos neste guia. Embora os membros dos grupos Operadores de Cópia e Usuários Avançados tenham menos acesso que os membros do grupo Administradores, eles ainda têm privilégios poderosos.

Observação: se a sua organização usa um desses grupos, controle cuidadosamente sua participação e não implemente a orientação para a configuração de Grupos Restritos. Se sua organização adicionar usuários ao grupo Usuários Avançados, pode ser que você queira implementar as permissões opcionais de sistema de arquivos descritas na seção “Protegendo o sistema de arquivos”, a seguir.

Você pode definir a configuração Grupos Restritos no Windows Server 2003 com SP1 no seguinte local do Editor de Objeto de Diretiva de Grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Grupos restritos\

Os administradores podem configurar grupos restritos adicionando o grupo desejado diretamente à MSBP. Quando um grupo é restrito, é possível definir seus membros e quaisquer outros grupos a que ele pertence. Se você não especificar esses membros, o grupo ficará totalmente restrito.

Protegendo o sistema de arquivos

O sistema de arquivos NTFS tem sido aprimorado a cada nova versão do Microsoft Windows, e as permissões padrão para NTFS são adequadas para a maioria de organizações. As configurações discutidas nesta seção são fornecidas para uso opcional por organizações que não usam grupos restritos, mas ainda assim desejam ter um nível adicional de proteção para seus servidores.

Você pode definir as configurações de segurança do sistema de arquivos no seguinte local no Editor de Objeto de Diretiva de Grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Sistema de arquivos

Observação: você deve testar exaustivamente qualquer alteração às configurações padrão de segurança do sistema de arquivos em um ambiente de laboratório antes de implantá-las em uma organização de grande porte. Houve casos em que as permissões de arquivo foram alteradas de tal maneira que os computadores afetados tiveram que ser completamente reconstruídos.

As permissões de arquivo padrão no Windows Server 2003 com SP1 são suficientes para a maioria das situações. No entanto, se você não planeja bloquear a participação do grupo Usuários Avançados com o recurso Grupos Restritos, ou se planeja ativar a configuração Acesso à rede: deixar que as permissões de todos os usuários sejam aplicadas a usuários anônimos, pode querer aplicar as permissões opcionais descritas no próximo parágrafo. Elas são muito específicas e aplicam restrições adicionais a certas ferramentas executáveis que um usuário mal-intencionado com privilégios elevados pode usar para comprometer ainda mais o computador ou a rede.

Observe como essas alterações não afetam várias pastas ou a raiz do volume do sistema. Pode ser muito arriscado alterar permissões dessa maneira, e fazê-lo pode, com freqüência, causar a instabilidade do computador. Todos os arquivos a seguir estão localizados na pasta %SystemRoot%\System32\, e todos eles têm as seguintes permissões: Administradores: Controle Total , Sistema: Controle Total.

  • regedit.exe

  • arp.exe

  • at.exe

  • attrib.exe

  • cacls.exe

  • debug.exe

  • edlin.exe

  • eventcreate.exe

  • eventtriggers.exe

  • ftp.exe

  • nbtstat.exe

  • net.exe

  • net1.exe

  • netsh.exe

  • netstat.exe

  • nslookup.exe

  • ntbackup.exe

  • rcp.exe

  • reg.exe

  • regedt32.exe

  • regini.exe

  • regsvr32.exe

  • rexec.exe

  • route.exe

  • rsh.exe

  • sc.exe

  • secedit.exe

  • subst.exe

  • systeminfo.exe

  • telnet.exe

  • tftp.exe

  • tlntsvr.exe

Para sua conveniência, essas permissões opcionais já estão configuradas no modelo de segurança Optional-File-Permissions.inf, que acompanha a versão de download deste guia.

Configurações adicionais de segurança

Embora a maioria das contramedidas usadas para proteger os servidores de linha de base neste guia tenham sido aplicadas por meio da Diretiva de Grupo, há configurações adicionais que são difíceis ou impossíveis de aplicar com a Diretiva de Grupo. Para obter uma explicação detalhada de cada uma das contramedidas discutidas nesta seção, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Procedimentos manuais de proteção

Esta seção descreve como algumas contramedidas adicionais (como a proteção de contas) foram implementadas manualmente em cada um dos ambientes de segurança definidos neste guia.

Adicionar manualmente grupos de segurança exclusivos às atribuições de direitos do usuário

A maioria dos grupos de segurança recomendados para atribuições de direitos do usuário foi configurada dentro dos modelos de segurança que acompanham este guia. No entanto, há alguns direitos que não podem ser incluídos nos modelos de segurança, porque os SIDs dos grupos de segurança específicos são exclusivos entre domínios diferentes do Windows Server 2003. O problema é que o RID (Identificador Relativo), que faz parte do SID, é exclusivo. A tabela a seguir faz referência a esses direitos.

Aviso: a tabela a seguir contém valores para a conta interna Administrador. A conta interna Administrador é a conta de usuário interna, não o grupo de segurança Administradores. Se o grupo de segurança Administradores for adicionado a qualquer um dos direitos de usuário com acesso negado a seguir, você precisará fazer logon localmente para corrigir o erro.

Além disso, a conta Administrador interna pode ter um novo nome se você tiver seguido a recomendação de renomeá-la, apresentada anteriormente neste guia. Ao adicionar esta conta a qualquer direito de usuário com acesso negado, certifique-se de selecionar a conta de administrador renomeada.

Tabela 4.30 Atribuições de direitos de usuário adicionadas manualmente

Nome da Configuração na UI

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Negar acesso a este computador pela rede

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Negar logon como um trabalho em lotes

Support_388945a0 e Convidado

Support_388945a0 e Convidado

Support_388945a0 e Convidado

Negar logon pelos serviços de terminal

Interna Administrador; Convidados; Support_388945a0; Convidado; todas as contas de serviço que NÃO sejam de sistema operacional

Interna Administrador; Convidados; Support_388945a0; Convidado; todas as contas de serviço que NÃO sejam de sistema operacional

Interna Administrador; Convidados; Support_388945a0; Convidado; todas as contas de serviço que NÃO sejam de sistema operacional

Importante: todas as contas de serviços que NÃO são do sistema operacional são contas de serviços para aplicativos específicos em sua empresa. Essas contas não incluem as contas SISTEMA LOCAL, SERVIÇO LOCAL ou SERVIÇO DE REDE, que são contas internas para o sistema operacional.

Para adicionar manualmente os grupos de segurança listados à Diretiva de Linha de Base de Servidor Membro para Cliente Corporativo, siga as etapas a seguir.

Para adicionar grupos de segurança às Atribuições de Direitos de Usuário

  1. Em Usuários e Computadores do Active Directory, clique com o botão direito do mouse na UO Servidores Membros e selecione Propriedades.

  2. Na guia Diretiva de Grupo, selecione a Diretiva de Linha de Base de Servidor Membro de Cliente Corporativo para editar o GPO vinculado.

  3. Selecione Cliente Corporativo – Diretiva de Linha de Base de Servidor Membro e clique em Editar.

  4. Na janela Diretiva de Grupo, clique em Configuração do computador\Configurações do Windows\Configurações de segurança\Diretivas locais\Atribuição de direitos de usuário para adicionar os grupos de segurança exclusivos da tabela anterior para cada direito.

  5. Feche a Diretiva de Grupo que você modificou.

  6. Feche a janela Propriedades da UO Servidores Membros.

  7. Force a duplicação entre os controladores de domínio, de modo que a diretiva seja aplicada a todos eles, fazendo o seguinte:

    1. Abra um prompt de comando, digite gpupdate /Force e pressione ENTER para forçar o servidor a atualizar a diretiva.

    2. Reinicialize o servidor.

  8. Verifique no log de eventos se a Diretiva de Grupo foi baixada com êxito e se o servidor pode se comunicar com os outros controladores do domínio.

Protegendo contas bem conhecidas

O Windows Server 2003 com SP1 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, a conta interna Administrador é renomeada e sua descrição alterada para ajudar a impedir o comprometimento de um servidor remoto por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra a conta Administrador se você a renomear com um nome exclusivo.

Conclua as seguintes etapas para proteger as contas bem conhecidas em domínios e servidores:

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em todos os domínios e servidores.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os domínios e servidores, um atacante que consiga acessar um servidor membro poderia ter acesso a todos os outros com o mesmo nome de conta e a mesma senha.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas a um local protegido.

    Observação: a conta interna Administrador pode ser renomeada usando-se a Diretiva de Grupo. Essa configuração não foi implementada na diretiva de linha de base porque cada organização deve escolher um nome exclusivo para essa conta. No entanto, você pode definir a configuração Contas: renomear conta do administrador para renomear contas de administrador em todos os três ambientes definidos neste guia. Essa configuração de diretiva faz parte das configurações Opções de Segurança de um GPO.

Protegendo contas de serviço

Nunca configure um serviço para ser executado no contexto de segurança de uma conta de domínio a menos que seja absolutamente necessário. Se o servidor for comprometido fisicamente, as senhas de contas de domínio poderão ser facilmente obtidas despejando-se segredos LSA. Para obter mais informações sobre como proteger contas de serviço, consulte o Guia de Planejamento da Segurança de Serviços e Contas de Serviço em http://www.microsoft.com/brasil/security/guidance/servaccount/default.mspx.

NTFS

As partições NTFS dão suporte para ACLs nos níveis de arquivo e pasta. Esse suporte não está disponível com os sistemas de arquivos FAT (tabela de alocação de arquivos) ou FAT32. FAT32 é uma versão do sistema de arquivos FAT que foi atualizada para permitir tamanhos de cluster padrão significativamente menores e para dar suporte para discos rígidos com até dois terabytes de tamanho. O FAT32 é incluído no Windows 95 OSR2, Windows 98, Microsoft Windows Me, Windows 2000, Windows XP Professional e Windows Server 2003.

Formate todas as partições em cada servidor com NTFS. Use o utilitário de conversão para converter cuidadosamente partições FAT em NTFS, mas lembre-se de que o utilitário de conversão definirá as ACLs da unidade convertida em Todos: Controle Total.

Para computadores que executam o Windows 2003 Server com SP1, aplique os dois seguintes modelos de segurança localmente para configurar as ACLs padrão de sistema de arquivos para servidores membros e controladores de domínio, respectivamente:

  • %windir%\inf\defltsv.inf

  • %windir%\inf\defltdc.inf

    Observação: as configurações de segurança padrão de controlador de domínio são aplicadas durante a promoção de um servidor a controlador de domínio.

Todas as partições dos servidores nos três ambientes definidos neste guia são formatadas com partições NTFS para fornecer os meios para o gerenciamento da segurança de arquivos e diretórios por ACLs.

Configurações dos Serviços de Terminal

A configuração Definir o nível de criptografia da conexão de cliente determina o nível de criptografia das conexões de cliente dos Serviços de Terminal em seu ambiente. A opção de configuração Nível Alto que usa a criptografia de 128 bits evita que um invasor escute as sessões de Serviços de Terminal usando um analisador de pacotes. Algumas versões mais antigas de clientes de Serviços de Terminal não dão suporte a esse nível alto de criptografia. Se a rede contiver esse tipo de cliente, defina o nível de criptografia da conexão para envio e recebimento de dados no nível mais alto de criptografia para o qual o cliente ofereça suporte.

Você pode definir essa configuração na Diretiva de Grupo no seguinte local:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Serviços de terminal\Criptografia e segurança

Tabela 4.31 Recomendação para configuração do nível de criptografia da conexão de cliente

Nome da configuração na UI

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Definir o nível de criptografia da conexão de cliente

Alta

Alta

Alta

Os três níveis de criptografia disponíveis são descritos na seguinte tabela:

Tabela 4.32 Níveis de criptografia dos Serviços de Terminal

Nível de criptografia

Descrição

Nível alto

Criptografa os dados enviados do cliente para o servidor e do servidor para o cliente com criptografia de 128 bits de alta segurança. Use esse nível quando o servidor de terminal for executado em um ambiente que contém somente clientes de 128 bits (como os clientes de Conexão de Área de Trabalho Remota). Os clientes que não oferecerem suporte a esse nível de criptografia não poderão se conectar.

Compatível com cliente

Criptografa os dados enviados entre o cliente e o servidor com a segurança máxima de chave para a qual o cliente oferece suporte. Use esse nível quando o servidor de terminal for executado em um ambiente que contenha clientes mistos ou herdados.

Nível baixo

Criptografa os dados enviados do cliente para o servidor com criptografia de 56 bits.

Importante: os dados enviados do servidor ao cliente não são criptografados.

Relatório de erros

Tabela 4.33 Configurações recomendadas para relatório de erro

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Desativar Relatório de Erros do Windows

Ativada

Ativada

Ativada

Esse serviço ajuda a Microsoft a rastrear e tratar erros. Você pode configurar esse serviço para gerar relatórios de erros do sistema operacional, erros de componentes do Windows ou erros de programas. Ele está disponível somente no Windows XP Professional e no Windows Server 2003.

O serviço de Relatório de Erros pode informar tais erros à Microsoft pela Internet ou por um compartilhamento de arquivo interno. Embora os relatórios de erros potencialmente possam conter dados confidenciais, a política de privacidade da Microsoft com referência à informação de erros assegura que a Microsoft não usará tais dados de maneira imprópria. Porém, os dados são transmitidos em HTTP de texto simples, que pode ser interceptado na Internet e visto por terceiros.

A configuração Desativar Relatório de Erros do Windows pode controlar se o serviço de relatórios de erros transmite dados.

É possível definir essa configuração de diretiva no Windows Server 2003 no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema\Gerenciamento da comunicação da Internet\Configurações da comunicação da Internet

Defina a configuração Desativar Relatório de Erros do Windows como Ativado no DCBP para todos os três ambientes definidos neste guia.

Ativar despejos manuais de memória

O Windows Server 2003 com SP1 inclui um recurso que você pode usar para fazer o computador parar de responder e gerar um arquivo Memory.dmp. Você deve ativar esse serviço explicitamente, o que pode não ser apropriado para todos os servidores na organização. Se você determinar que é importante capturar despejos de memória em alguns servidores, siga as instruções fornecidas em Recurso do Windows permite que um arquivo Memory.dmp seja gerado com o teclado em http://support.microsoft.com/default.aspx?kbid=244139.

Importante: quando a memória é copiada em disco, conforme descrito no artigo mencionado, informações confidenciais podem ser incluídas no arquivo Memory.dmp. O ideal é que todos os servidores sejam protegidos contra o acesso físico não autorizado. Se você gerar um arquivo de despejo de memória em um servidor que esteja correndo o risco de ser comprometido fisicamente, não deixe de excluir o arquivo de despejo após concluir a solução de problemas.

Criando a Diretiva de Linha de Base usando o ACS

Para implantar as configurações de segurança necessárias, você precisa primeiro criar uma diretiva de linha de base de servidor membro (MSBP). Para isso, use o ACS (a ferramenta Assistente de Configuração de Segurança) e os modelos de segurança que acompanham a versão de download deste guia.

Ao criar sua própria diretiva, ignore as seções "Configurações de Registro" e "Diretiva de Auditoria". Essas configurações são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos que seriam configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, use hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Durante as etapas de criação da MSBP, você provavelmente removerá a função de servidor de arquivos da lista de funções detectadas. Essa função é geralmente configurada em servidores que não a exigem e pode ser considerada um risco à segurança. A fim de ativar a função de servidor de Arquivos em servidores que a requeiram, aplique uma segunda diretiva mais tarde neste processo.

Para criar a Diretiva de Linha de Base de Servidor Membro

  1. Crie uma nova instalação do Windows Server 2003 com SP1 em um novo computador de referência.

  2. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  3. Adicione o computador ao domínio.

  4. Instale e configure apenas os aplicativos obrigatórios que devam constar de cada servidor no ambiente. Exemplos incluem agentes de gerenciamento e de software, agentes de backup em fita e utilitários antivírus ou antispyware.

  5. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  6. Remova a função de servidor de Arquivos da lista de funções detectadas.

  7. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o ambiente.

  8. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente.

  9. Assegure-se de que as opções administrativas detectadas sejam apropriadas para o ambiente.

  10. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  11. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativar. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  12. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de rede" e, em seguida, clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows.

  13. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  14. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  15. Inclua o modelo de segurança apropriado (por exemplo, EC-Member Server Baseline.inf).

  16. Salve a diretiva com um nome apropriado (por exemplo, Linha de Base de Servidor Membro.xml).

Testar a Diretiva Usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Há duas opções disponíveis para o teste da diretiva. É possível usar os recursos de implantação do ACS ou implantar as diretivas por meio de um GPO.

Ao começar a produzir suas diretivas, considere o uso dos recursos de implantação nativos ao ACS. É possível usar o ACS para enviar uma diretiva para um único servidor de cada vez, ou usar Scwcmd para enviá-la para um grupo de servidores. O método nativo de implantação oferece como vantagem a capacidade de reverter facilmente as diretivas implantadas do ACS. Esse recurso pode ser muito útil quando várias alterações são feitas às diretivas durante o processo de teste.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em http://www.microsoft.com/brasil/technet/centralwindows/servicepack1/default.mspx e Security Configuration Wizard Documentation em http://go.microsoft.com/fwlink/?linkid=43450 (página em inglês).

Converter e implantar a diretiva

Depois de testar rigorosamente a diretiva, siga estas etapas para convertê-la em um GPO e implementá-la:

  1. No prompt de comando, digite o seguinte comando:

    
    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    e, em seguida, pressione ENTER. Por exemplo:

    
    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Member 
    Server Baseline.xml" /g:"Member Server Baseline Policy"
    		
    

    Observação: as informações a serem inseridas no prompt de comando estão exibidas aqui em mais de uma linha devido às limitações de exibição. Essas informações devem ser inseridas em uma única linha.

  2. Use o Console de Gerenciamento de Diretiva de Grupo para vincular o GPO recém-criado à UO apropriada.

Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Agora é preciso executar um teste final para verificar se o GPO aplica as configurações desejadas. Para completar esse procedimento, verifique se as configurações apropriadas foram feitas e se a funcionalidade não foi afetada.

Resumo

Este capítulo explicou os procedimentos de proteção de servidor inicialmente aplicados a todos os servidores que executam o Windows Server 2003 com SP1 em todos os três ambientes de segurança definidos neste guia. A maioria desses procedimentos criou um modelo de segurança exclusivo para cada ambiente de segurança e o importou para um GPO vinculado à UO pai do servidor membro, de modo a atingir o nível de segurança desejado.

No entanto, alguns dos procedimentos de proteção não podem ser aplicados por meio da Diretiva de Grupo. Diretrizes foram fornecidas sobre como definir manualmente essas configurações. Foram executadas etapas adicionais para funções de servidor específicas, para permitir que elas operassem em suas funções da maneira mais segura possível.

As etapas específicas às funções de servidor incluem procedimentos adicionais de proteção, assim como procedimentos para reduzir as configurações de segurança na diretiva de segurança de linha de base. Essas alterações são discutidas detalhadamente nos próximos capítulos deste guia.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de servidores que executam o Windows Server 2003 com SP1.


Neste artigo

Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft