Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Capítulo 5: A diretiva de linha de base do controlador de domínio

Atualizado em: 27 de dezembro de 2005

Nesta página

Visão geral
Configurações da Diretiva de Auditoria
Configurações de atribuição de direitos de usuário
Opções de segurança
Configurações do Log de Eventos
Grupos restritos
Configurações adicionais de segurança
Criando a Diretiva Usando o ACS
Resumo

Visão geral

Lidar com a segurança da função de servidor de Controlador de Domínio é um dos aspectos mais importantes de qualquer ambiente com computadores que executam o Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1) e o serviço de diretório Active Directory®. Qualquer perda ou comprometimento de um controlador de domínio no ambiente pode afetar seriamente os computadores clientes, os servidores e os aplicativos que dependem dos controladores de domínio para autenticação, Diretiva de Grupo e diretório central LDAP.

Devido à sua importância, os controladores de domínio devem ser sempre armazenados em locais fisicamente seguros, acessíveis somente ao pessoal administrativo qualificado. Quando os controladores de domínio tiverem que ser armazenados em locais desprotegidos, como em escritórios de filiais, várias configurações de segurança podem ser ajustadas para limitar o dano potencial de ameaças físicas.

Diretiva de Linha de Base de Controlador de Domínio

Ao contrário das diretivas de função de servidor detalhadas mais adiante neste guia, a Diretiva de Grupo para a função de servidor de Controladores de Domínio é uma diretiva de linha de base, como a Diretiva de Linha de Base de Servidor Membro (MSBP) definida no Capítulo 4, "A diretiva de linha de base de servidor membro". A Diretiva de Linha de Base de Controlador de Domínio (DCBP) está vinculada à unidade organizacional (UO) Controladores de Domínio e tem precedência sobre a Diretiva Padrão de Controladores de Domínio. As configurações de diretiva incluídas na DCBP fortalecerão a segurança em geral de todos os controladores de domínio em qualquer ambiente.

A maior parte da DCBP é copiada da MSBP. Portanto, você deve rever atentamente o Capítulo 4, "A diretiva de linha de base de servidor membro" para entender por completo as muitas configurações de diretiva que também são incluídas na DCBP. Somente as configurações da DCBP que diferem daquelas na MSBP estão documentadas neste capítulo.

Os modelos de controlador de domínio são projetados exclusivamente para atender às necessidades de segurança dos três ambientes definidos neste guia. A tabela a seguir mostra os arquivos .inf de controlador de domínio que acompanham este guia para os ambientes Cliente Herdado (LC), Cliente Corporativo (EC) e Segurança Especializada – Funcionalidade Limitada (SSLF). Por exemplo, o arquivo EC-Domain Controller.inf é o modelo de segurança para o ambiente Cliente Corporativo.

Tabela 5.1 Modelos de segurança de linha de base de controlador de domínio

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

LC-Domain Controller.inf

EC-Domain Controller.inf

SSLF-Domain Controller.inf

Observação: as operações do domínio podem ser seriamente prejudicadas se um objeto de Diretiva de Grupo (GPO) incorretamente configurado for vinculado à UO Controladores de Domínio. Tome um cuidado extremo ao importar esses modelos de segurança e verifique se todas as configurações da diretiva importada estão corretas antes de vincular um GPO à UO Controladores de Domínio.

Configurações da Diretiva de Auditoria

As configurações da Diretiva de Auditoria para controladores de domínio são quase as mesmas especificadas na MSBP. Para obter mais informações, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da diretiva na DCBP garantem que toda informação relevante de auditoria de segurança seja registrada em log nos controladores de domínio.

Tabela 5.2 Configurações recomendadas de Diretiva de Auditoria

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Auditoria de acesso ao serviço de diretório

Sem auditoria

Sem auditoria

Falha

Auditoria de acesso ao serviço de diretório

Essa configuração de diretiva determina se é preciso auditar o acesso do usuário a um objeto do Active Directory que tem sua própria lista de controle de acesso ao sistema (SACL) especificada. Se você definir a configuração Auditoria de acesso ao serviço de diretório, poderá especificar se quer auditar sucessos, falhas ou não auditar o tipo de evento. As auditorias de sucesso geram uma entrada de auditoria quando um usuário acessa de maneira bem-sucedida um objeto do Active Directory que tem uma SACL específica. As auditorias de falhas geram uma entrada de auditoria quando um usuário tenta sem sucesso acessar um objeto do Active Directory que tem uma SACL especificada.

Se você ativar a configuração Auditoria de acesso ao serviço de diretório na DCBP e configurar SACLs em objetos de diretório, um grande volume de entradas pode ser gerado nos logs de segurança nos controladores de domínio. Você só deverá ativar essa configuração se realmente pretende usar as informações criadas.

A configuração Auditoria de acesso ao serviço de diretório é definida como Sem auditoria nos ambientes LC e EC. Ela é configurada para registrar eventos de Falha no ambiente SSLF.

A tabela a seguir inclui os eventos de segurança importantes que a configuração Auditoria de acesso ao serviço de diretório registra no log de segurança.

Tabela 5.3 Eventos de acesso de serviço de diretório

Identificação do evento

Descrição do evento

ID

Descrição

566

Ocorreu uma operação genérica de objeto.

Configurações de atribuição de direitos de usuário

A DCBP especifica diversas atribuições de direitos de usuário para os controladores de domínio. Além da configuração padrão, várias configurações de direitos de usuário foram modificadas para fortalecer a segurança dos controladores de domínio nos três ambientes definidos neste guia.

Esta seção fornece detalhes sobre as configurações dos direitos de usuário prescritas para a DCBP que são diferentes daquelas na MSBP. Para obter um resumo das configurações prescritas nesta seção, consulte a pasta de trabalho do Microsoft Excel® "Windows Server 2003 Security Guide Settings", que acompanha a versão de download deste guia.

A tabela a seguir resume as configurações recomendadas de atribuição de direitos de usuário para a DCBP. Informações adicionais sobre cada configuração são fornecidas nas seções apresentadas após a tabela.

Tabela 5.4 Configurações recomendadas de Atribuições de Direitos do Usuário

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Acesso a este computador pela rede

Não definido

Não definido

Administradores, Usuários Autenticados, CONTROLADORES DE DOMÍNIO DA EMPRESA

Adicionar estações de trabalho ao domínio

Não definido

Não definido

Administradores

Permitir logon local

Administradores, Operadores de Servidor, Operadores de Cópia

Administradores, Operadores de Servidor, Operadores de Cópia

Administradores

Permitir logon pelos serviços de terminal

Administradores

Administradores

Administradores

Alterar a hora do sistema

Administradores

Administradores

Administradores

Ativar computador e contas de usuário para serem confiáveis para delegação

Não definido

Não definido

Administradores

Carregar e descarregar drivers de dispositivo

Administradores

Administradores

Administradores

Restaurar arquivos e diretórios

Administradores

Administradores

Administradores

Desligar o sistema

Administradores

Administradores

Administradores

Acesso a este computador pela rede

Essa configuração de diretiva determina quais usuários e grupos podem se conectar ao controlador de domínio pela rede. Ela é exigida por várias operações de rede, inclusive duplicação do Active Directory entre controladores de domínio, solicitações de autenticação a controladores de domínio de usuários e de computadores e acesso a pastas e impressoras compartilhadas.

Embora as permissões atribuídas ao grupo de segurança Todos não concedam mais acesso a usuários anônimos no Windows Server 2003 com SP1, o acesso ainda pode ser concedido a contas e grupos convidados por meio do grupo de segurança Todos.

Por esse motivo, o grupo de segurança Todos foi removido do direito de usuário Acesso a este computador pela rede na DCBP do ambiente SSLF. A remoção desse grupo fornece um salvaguarda extra contra ataques que visam o acesso de convidados ao domínio. Essa diretiva é configurada como Não definido nos ambientes de LC e EC.

Adicionar estações de trabalho ao domínio

Essa configuração de diretiva especifica quais usuários podem adicionar estações de trabalho a um domínio específico. Para que essa configuração de diretiva seja efetivada, ela deve ser atribuída ao usuário como parte da Diretiva de Controladores de Domínio Padrão do domínio. O usuário que receber esse direito poderá adicionar até 10 estações de trabalho ao domínio. Os usuários a quem a permissão Criar Objetos de Computador foi concedida para uma UO ou o recipiente Computadores no Active Directory podem adicionar um número ilimitado de computadores ao domínio, independentemente de terem recebido ou não o direito de usuário Adicionar estações de trabalho ao domínio.

Por padrão, todos os usuários do grupo Usuários Autenticados podem adicionar até 10 contas de computador a um domínio do Active Directory. Essas novas contas de computador são criadas no recipiente Computadores.

Em redes baseadas no Windows, o termo elemento de segurança é definido como um usuário, grupo ou computador a quem um identificador de segurança é atribuído automaticamente para controlar o acesso aos recursos. Em um domínio do Active Directory, cada conta de computador é um elemento de segurança completo com capacidade de autenticar e acessar recursos do domínio. No entanto, algumas empresas podem querer limitar o número de computadores em um ambiente do Active Directory para poderem controlar, criar e gerenciar os computadores de maneira consistente. Se for permitido aos usuários adicionar computadores ao domínio, os esforços de controle e gerenciamento serão prejudicados. Além disso, os usuários poderiam executar atividades mais difíceis de rastrear por causa de sua capacidade de criar computadores de domínio adicionais não autorizados.

Por esses motivos, o direito de usuário Adicionar estações de trabalho ao domínio é atribuído somente ao grupo Administradores na DCBP para o ambiente SSLF. Essa diretiva é configurada como Não definido nos ambientes de LC e EC.

Permitir logon local

Essa configuração de diretiva especifica quais usuários podem iniciar sessões interativas no controlador de domínio. Os usuários que não têm esse direito ainda são capazes de iniciar uma sessão interativa remota no controlador de domínio se tiverem o direito de usuário Permitir logon pelos serviços de terminal.

Restrinja o número de contas que podem fazer logon nos consoles do controlador de domínio a fim de ajudar a impedir o acesso não autorizado a sistemas de arquivos e serviços de sistema do controlador de domínio. Um usuário que pode fazer logon em um console do controlador de domínio poderia explorar o sistema com más intenções e possivelmente comprometer a segurança de todo o domínio ou floresta.

Por padrão, o direito de usuário Permitir logon local é atribuído os grupos Operadores de Contas, Operadores de Cópia, Operadores de Impressão e grupos de Operadores de Servidor nos controladores de domínio. Os usuários nesses grupos não precisam fazer logon em um controlador de domínio para executar suas tarefas de gerenciamento e devem poder executar suas tarefas em outras estações de trabalhos. Somente os usuários no grupo Administradores devem realizar tarefas de manutenção nos controladores de domínio.

Se você atribuir o direito de usuário Permitir logon local somente ao grupo Administradores, o acesso físico e interativo aos controladores de domínio ficará limitado a usuários altamente confiáveis, o que aumenta a segurança. Por esse motivo, o direito de usuário Permitir logon local é atribuído apenas ao grupo Administradores na DCBP para o ambiente SSLF. Essa diretiva é definida de forma a incluir os grupos Operadores de Servidor e Operadores de Cópia nos ambientes LC e EC.

Permitir logon pelos serviços de terminal

Essa configuração de diretiva especifica quais usuários podem fazer logon no controlador de domínio por meio de uma conexão por uma conexão Área de Trabalho Remota.

Restrinja o número de contas que podem fazer logon nos consoles do controlador de domínio pelos Serviços de Terminal a fim de ajudar a impedir o acesso não autorizado a sistemas de arquivos e serviços de sistema do controlador de domínio. Um usuário que pode fazer logon em um console do controlador de domínio através dos Serviços do Terminal pode explorar aquele computador e possivelmente comprometer a segurança de todo um domínio ou floresta.

Se você atribuir o direito de usuário Permitir logon pelos Serviços de Terminal somente ao grupo Administradores, o acesso interativo aos controladores de domínio ficará limitado a usuários altamente confiáveis, o que aumenta a segurança. Por esse motivo, o direito de usuário Permitir logon pelos Serviços de Terminal é designado somente ao grupo Administradores na DCBP para todos os três ambientes definidos neste guia. Embora por padrão o logon a um controlador de domínio pelos Serviços de Terminal exija acesso administrativo, a definição dessa configuração de diretiva ajuda a protege contra ações inadvertidas ou mal-intencionadas que possam comprometer a rede.

Como uma medida de segurança adicional, a DCBP nega o direito de usuário Permitir logon pelos Serviços de Terminal à conta Administrador padrão. Essa configuração evita que usuários mal-intencionados tentem invadir remotamente um controlador de domínio usando a conta Administrador padrão. Para obter mais detalhes sobre essa configuração de diretiva, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro".

Alterar a hora do sistema

Essa configuração de diretiva especifica quais usuários podem ajustar o horário no relógio interno de um computador. No entanto, ele não é necessário para alterar o fuso horário ou outras características de exibição da hora do sistema.

A hora do sistema sincronizada é crítica para a operação do Active Directory. Os processos de geração de tíquete de autenticação e de duplicação do Active Directory usados pelo protocolo de autenticação Kerberos dependem da sincronização da hora em todo o ambiente.

Um relógio de controlador de domínio que não esteja sincronizado com o horário do sistema em outros controladores de domínio no ambiente pode interferir com a operação dos serviços do domínio. Se somente os administradores puderem modificar o horário do sistema, a possibilidade de se ter a hora do sistema incorreta em um controlador de domínio é reduzida.

Por padrão, o grupo Operadores de Servidor pode modificar a hora do sistema nos controladores de domínio. Devido aos problemas que podem resultar da modificação incorreta do relógio do um controlador de domínio por membros desse grupo, o direito de usuário Alterar a hora do sistema é atribuído na DCBP somente ao grupo Administradores para todos os três ambientes definidos neste guia.

Para obter mais informações sobre o Serviço de Tempo do Microsoft Windows®, consulte Windows Time Service Technical Reference em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/TechRef/
a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx (site em inglês).

Ativar computador e contas de usuário para serem confiáveis para delegação

Essa configuração de diretiva especifica quais usuários podem mudar a configuração Confiável para Delegação em um objeto de usuário ou computador no Active Directory. A delegação de autenticação é uma capacidade usada por aplicativos cliente/servidor multicamadas. Ela permite a um serviço front-end, como um aplicativo, usar as credenciais de um cliente ao autenticar em um serviço back-end, como um banco de dados. Para que essa autenticação seja possível, tanto o cliente quanto o servidor devem ser executados em contas confiáveis para delegação.

O abuso desse direito de usuário pode permitir a usuários não autorizados fazer-se passar por outros usuários na rede. Um invasor poderia explorar esse direito de usuário para obter acesso a recursos da rede como se fossem um usuário diferente, o que poderia tornar difícil determinar o que aconteceu após um incidente relacionado à segurança.

O direito de usuário Ativar computador e contas de usuário para serem confiáveis para delegação é atribuído somente ao grupo Administradores em controladores de domínio do ambiente SSLF. Essa diretiva é configurada como Não definido nos ambientes de LC e EC.

Observação: apesar da Diretiva de Controladores de Domínio Padrão atribuir esse direito de usuário ao grupo Administradores, a DCBP só aplica esse direito no ambiente SSLF porque ele se baseia originalmente na MSBP. A MSBP atribui a esse direito um valor nulo.

Carregar e descarregar drivers de dispositivo

Essa configuração de diretiva especifica quais usuários podem carregar e descarregar drivers de dispositivos e é necessária para carregar e descarregar dispositivos Plug and Play.

O gerenciamento negligente dos drivers de dispositivo nos controladores de domínio cria oportunidades para bugs ou código mal-intencionado apresentarem um impacto negativo na operação dos controladores de domínio. Se as contas que podem carregar e descarregar drivers de dispositivo forem restritas na DCBP aos usuários mais confiáveis, o potencial de os drivers de dispositivo serem usados para comprometer os controladores de domínio será minimizado.

Por padrão, o direito de usuário Carregar e descarregar drivers de dispositivo é atribuído ao grupo Operadores de Impressão. Como mencionado anteriormente, a criação de compartilhamentos de impressoras não é recomendada em controladores de domínio, o que elimina a necessidade dos Operadores de Impressão de carregar e descarregar drivers de dispositivo. Portanto, o direito de usuário Carregar e descarregar drivers de dispositivo é atribuído somente ao grupo Administradores na DCBP para todos os três ambientes definidos neste guia.

Restaurar arquivos e diretórios

Essa configuração de diretiva especifica quais usuários podem contornar as permissões de arquivo e diretório durante o processo de restauração. Qualquer elemento de segurança válido pode ser definido com o proprietário de um objeto.

Uma conta com a capacidade de restaurar arquivos e diretórios ao sistema de arquivos de um controlador de domínio pode facilmente modificar arquivos executáveis. Usuários mal-intencionados poderiam explorar esse recurso não só para inutilizar um controlador de domínio, mas para comprometer a segurança de um domínio ou de toda uma floresta.

Por padrão, o direito de usuário Restaurar arquivos e diretórios é atribuído aos grupos Operadores de Servidor e Operadores de Cópia. Se você remover esse direito de usuário desses grupos e atribuí-lo somente ao grupo Administradores, a probabilidade de comprometimento do controlador de domínio pela modificação imprópria do sistema de arquivos é reduzida. Portanto, o direito de usuário Restaurar arquivos e diretórios é atribuído somente ao grupo Administradores na DCBP para todos os três ambientes definidos neste guia.

Desligar o sistema

Essa configuração de diretiva especifica quais usuários podem desligar o computador local.

Usuários mal-intencionados com a capacidade de desligar controladores de domínio podem facilmente iniciar um ataque de negação de serviço que pode afetar seriamente todo um domínio ou floresta. Um invasor pode explorar esse direito de usuário para iniciar um ataque de aumento de privilégio em uma conta do controlador de domínio quando esta estiver reiniciando os serviços. Um ataque bem-sucedido de aumento de privilégio em um controlador de domínio compromete a segurança de um domínio ou de toda uma floresta.

Por padrão, o direito de usuário Desligar o sistema é atribuído aos grupos Administradores, Operadores de Servidor, Operadores de Impressão e Operadores de Cópia. Em ambientes seguros, nenhum desses grupos, exceto o grupo Administradores, precisa desse direito para executar tarefas administrativas. Por esse motivo, o direito de usuário Desligar o sistema é atribuído somente ao grupo Administradores na DCBP para todos os três ambientes definidos neste guia.

Opções de segurança

A maioria das configurações de opções de segurança para os controladores de domínio são as mesmas especificadas na MSBP. Para obter mais informações, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As diferenças entre as configurações de diretiva da MSBP e da DCBP são descritas na próxima seção.

Configurações de controlador de domínio

Tabela 5.5 Opções de segurança: recomendações de configuração de Controlador de Domínio

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

permitir que operadores do servidor agendem tarefas

Desativada

Desativada

Desativada

requisitos de assinatura de servidor LDAP

Não definido

Não definido

Requer assinatura

recusar alterações de senha de conta de computador

Desativada

Desativada

Desativada

Controlador de domínio: permitir que operadores do servidor agendem tarefas

Essa configuração de diretiva determina se os membros do grupo Operadores de Servidor podem enviar trabalhos por meio do recurso de agendamento de AT.

A configuração Controlador de domínio: permitir que operadores do servidor agendem tarefas é definida como Desativado na DCBP para todos os três ambientes definidos neste guia. O impacto dessa definição de configuração de diretiva é provavelmente pequeno para a maioria das organizações. Os usuários, inclusive aqueles que fazem parte do grupo Operadores de Servidor, ainda podem criar trabalhos por meio do Assistente do Agendador de Tarefas, mas os trabalhos serão executados no contexto da conta com a qual o usuário é autenticado ao configurar o trabalho.

Observação: uma conta de serviço AT pode ser modificada para selecionar uma conta diferente em vez da conta SISTEMA LOCAL. Para alterar a conta, abra Ferramentas do Sistema, clique em Tarefas Agendadas e na pasta Acessórios. Em seguida, clique em Conta de serviço AT no menu Avançado.

Controlador de domínio: requisitos de assinatura de servidor LDAP

Essa configuração de diretiva determina se o Servidor LDAP requer uma assinatura antes de negociar com clientes de LDAP. O tráfego de rede que não é assinado nem criptografado é suscetível a ataques de interceptadores, em que um intruso captura pacotes entre o servidor e o cliente e os modifica antes de encaminhá-los ao cliente. Para um servidor LDAP, um invasor pode fazer com que um cliente tome decisões com base em registros falsos do LDAP.

Se todos os controladores de domínio executarem o Windows 2000 ou o Windows Server 2003, defina a configuração Controlador de domínio: requisitos de assinatura de servidor LDAP como Requer assinatura. Caso contrário, deixe essa configuração de diretiva definida como Não definido, que é a configuração da DCBP nos ambientes LC e EC. Essa diretiva é definida como Requer assinatura na DCBP para o ambiente SSLF, visto que todos os computadores nesse ambiente executam o Windows 2000 ou o Windows Server 2003.

Controlador de domínio: recusar alterações de senha de conta de computador

Essa configuração de diretiva determina se os controladores de domínio recusarão solicitações de computadores membros para alterar as senhas de conta de computador. Se você ativar essa configuração de diretiva em todos os controladores de um domínio, as senhas de conta de computador nos membros do domínio não poderão ser alteradas e serão mais susceptíveis a ataques.

Portanto, a configuração Controlador de domínio: recusar alterações de senha de conta de computador é configurada como Desativado na DCBP para todos os três ambientes definidos neste guia.

Configurações de segurança da rede

Tabela 5.6 Opções de segurança: recomendações de configuração de Segurança de Rede

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

não armazenar o valor de hash do LAN Manager na próxima alteração de senha

Ativada

Ativada

Ativada

Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha

Essa configuração de diretiva determina se o valor de hash do LM (LAN Manager) para a nova senha é armazenado quando a senha é alterada. O hash do LM é relativamente fraco e propenso a ataques em comparação com o hash do Windows NT®, que é criptograficamente mais forte.

Por esse motivo, a DCBP ativa a configuração Segurança de rede: não armazenar o valor de hash do LAN Manager na próxima alteração de senha em todos os três ambientes definidos neste guia.

Observação: sistemas operacionais mais antigos e alguns aplicativos de terceiros podem falhar se você ativar essa configuração de diretiva. Por exemplo, o Windows 95 e o Windows 98 falharão se não tiverem a extensão de cliente Active Directory instalada. Além disso, todas contas terão que mudar suas senhas se você ativar essa configuração de diretiva.

Configurações do Log de Eventos

As configurações do log de eventos para os controladores de domínio são as mesmas especificadas na MSBP. Para obter mais informações, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações de linha de base na DCBP garantem que toda informação relevante de auditoria de segurança seja registrada em log nos controladores de domínio, inclusive o Acesso aos Serviços de Diretório.

Grupos restritos

Como descrito no capítulo anterior, a configuração Grupos Restritos permite gerenciar a participação dos grupos no Windows Server 2003 com SP1 por meio da Diretiva de Grupo do Active Directory. Primeiro, reveja as necessidades de sua organização para determinar os grupos que você deseja restringir. Para controladores de domínio, os grupos Operadores de Servidor e Operadores de Cópia são restritos em todos os três ambientes definidos neste guia. Embora os membros dos grupos Operadores de Servidor e Operadores de Cópia tenham menos acesso que os membros do grupo Administradores, eles ainda têm privilégios poderosos.

Observação: se a sua organização usa qualquer um desses grupos, controle cuidadosamente sua participação e não implemente a orientação para a configuração de Grupos Restritos. Se sua organização adicionar usuários ao grupo Usuários de Servidor, pode ser que você queira implementar as permissões opcionais de sistema de arquivos descritas na seção “Protegendo o sistema de arquivos”, do capítulo anterior.

Tabela 5.7 Recomendações para Grupos Restritos

Grupo Local

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Operadores de cópia

Nenhum membro

Nenhum membro

Nenhum membro

Operadores de servidor

Nenhum membro

Nenhum membro

Nenhum membro

A configuração Grupos Restritos pode ser configurada no Windows Server 2003 com SP1 no seguinte local no Editor de Objeto de Diretiva de Grupo:

Configuração do computador\Configurações do Windows\Configurações de segurança\Grupos restritos\

Para configurar grupos restritos para um GPO, os administradores podem adicionar o grupo desejado diretamente ao nó Grupos Restritos do espaço para nome do GPO.

Quando um grupo é restrito, é possível definir seus membros e quaisquer outros grupos a que ele pertence. Se você não especificar esses membros, o grupo ficará totalmente restrito. Os grupos podem ser restritos somente com os modelos de segurança.

Para exibir ou modificar a configuração de Grupos Restritos:

  1. Abra o Console de Gerenciamento de Modelos de Segurança.

    Observação: por padrão, o Console de Gerenciamento de Modelos de Segurança não é adicionado ao menu Ferramentas Administrativas. Para adicioná-lo, inicie o Microsoft Management Console (mmc.exe) e adicione os Suplementos de Modelos de Segurança.

  2. Clique duas vezes no diretório do arquivo de configuração e, em seguida, no arquivo de configuração.

  3. Clique duas vezes no item Grupos Restritos.

  4. Clique com o botão direito do mouse em Grupos Restritos.

  5. Selecione Adicionar Grupo.

  6. Clique no botão Procurar e, em seguida, em Locais, selecione os locais em que você deseja procurar e clique em OK.

    Observação: normalmente, essa ação fará com que um computador local seja exibido no início da lista.

  7. Digite o nome do grupo na caixa de texto Digite os nomes de objeto a serem selecionados e clique no botão Verificar Nomes.

    – ou –

    Clique no botão Avançado e, em seguida, no botão Localizar Agora para listar todos os grupos disponíveis.

  8. Selecione os grupos que deseja restringir e, em seguida, clique em OK.

  9. Clique em OK na caixa de diálogo Adicionar Grupos para fechá-la.

Neste guia, todos os membros – usuários e grupos – dos grupos Operadores de Servidor e Operadores de Cópia foram removidos a fim de restringi-los totalmente em ambos os ambientes. Além disso, no ambiente SSLF, todos os membros foram removidos para o grupo Usuários da Área de Trabalho Remota. A Microsoft recomenda restringir qualquer grupo interno que você não pretenda usar na organização.

Observação: a configuração de Grupos Restritos descrita nesta seção é muito simples. As versões do Windows XP com SP1 e SP2, assim como o Windows Server 2003 oferecem suporte a designs mais complexos. Para obter mais informações, consulte o artigo “Updates to Restricted Groups ("Member of") Behavior of User-Defined Local Groups” da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/default.aspx?kbid=810076 (site em inglês).

Configurações adicionais de segurança

Esta seção descreve modificações que devem ser realizadas na DCBP manualmente, bem como configurações e contramedidas adicionais que não podem ser implementadas via Diretiva de Grupo.

Adicionar manualmente grupos de segurança exclusivos às atribuições de direitos do usuário

A maioria das atribuições de direitos de usuário aplicadas pela DCBP são adequadamente especificadas nos modelos de segurança que acompanham este guia. No entanto, existem algumas contas e grupos de segurança que não podem ser incluídos nos modelos porque seus SIDs (identificadores de segurança) são específicos a domínios individuais do Windows Server 2003. As atribuições de direitos de usuário que devem ser configuradas manualmente são especificadas na tabela a seguir.

Aviso: a tabela a seguir contém valores para a conta interna Administrador. Essa conta não deve ser confundida com o grupo de segurança interno Administradores. Se você adicionar o grupo de segurança Administradores a qualquer um dos direitos de usuário com acesso negado a seguir, precisará fazer logon localmente para corrigir o erro.

Além disso, se você renomeou a conta Administrador interna de acordo com as recomendações no Capítulo 4, "A diretiva de linha de base de servidor membro", não deixe de selecionar a conta de administrador recém-nomeada ao adicionar a conta a qualquer direito de usuário com acesso negado.

Tabela 5.8 Atribuições de direitos do usuário adicionadas manualmente

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Negar acesso a este computador pela rede

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Negar logon como um trabalho em lotes

Support_388945a0 e Convidado

Support_388945a0 e Convidado

Support_388945a0 e Convidado

Negar logon pelos serviços de terminal

Conta Administrador interna: todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna: todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna: todas as contas de serviço que NÃO são do sistema operacional

Importante: “Todas as contas de serviço que NÃO são do sistema operacional” inclui contas de serviço usadas para aplicativos específicos em toda a empresa, mas NÃO inclui as contas SISTEMA LOCAL, SERVIÇO LOCAL nem SERVIÇO DE REDE (as contas internas usadas pelo sistema operacional).

Serviços de diretório

Controladores de domínio que executam o Windows Server 2003 com SP1 armazenam dados de diretório e gerenciam interações de usuários e domínios, inclusive processos de logon do usuário, autenticação e buscas de diretórios.

Relocando dados – Banco de dados e arquivos de log do Active Directory

Para manter a integridade de diretório e a confiabilidade, é essencial salvaguardar o banco de dados do Active Directory, assim como seus arquivos de log.

É possível mover os arquivos Ntds.dit, Edb.log e Temp.edb de seu local padrão, o que ajudará a ocultá-los de um invasor se um controlador de domínio for comprometido. Se você mover os arquivos para fora do volume do sistema para um disco físico separado, desfrutará do benefício adicional de um melhor desempenho do controlador de domínio.

Por esses motivos, este guia recomenda mover o banco de dados e os arquivos de log do Active Directory dos controladores de domínio para um volume de disco distribuído ou distribuído/espelhado que não contenha o sistema operacional. Esses arquivos devem ser movidos para todos os três ambientes definidos neste guia.

Redimensionando os arquivos de log do Active Directory

Uma quantidade adequada de informação deve ser registrada em log para que se possa monitorar e manter eficazmente a integridade, confiabilidade e disponibilidade de Active Directory. São necessárias informações de todos os controladores de domínio no ambiente.

Você pode aumentar o tamanho máximo dos arquivos de log a fim de apoiar esse esforço. Mais informações de log permitirão aos administradores executar auditorias significativas em caso de ataques de hackers.

Este guia recomenda aumentar o tamanho máximo dos arquivos de log do Serviço de Diretório e do Serviço de Duplicação de Arquivos do padrão de 512 KB para 16 MB nos controladores de domínio nos três ambientes definidos neste guia.

Usando a Syskey

Nos controladores de domínio, as informações de senha ficam armazenadas no Active Directory. Não é incomum que softwares de quebra de senha tenham como alvo o banco de dados do SAM (Gerenciador de Contas de Segurança) ou os serviços de diretório para acessar as senhas das contas dos usuários.

O utilitário Syskey fornece uma linha extra de defesa contra softwares offline de quebra de senha. O Syskey usa técnicas de criptografia de alta segurança para proteger as informações de senhas de contas armazenadas no SAM no controlador de domínio.

Tabela 5.9 Modos de Syskey

Opção de chave de sistema

Nível de segurança

Descrição

Modo 1: Senha gerada pelo sistema, Armazenar a chave de inicialização localmente

Proteger

Usa uma chave aleatória gerada por computador como chave do sistema e armazena uma versão criptografada da chave no computador local. Essa opção fornece uma criptografia de alto nível da informação de senha no registro e permite que o usuário reinicie o computador sem a necessidade de um administrador digitar uma senha ou inserir um disco.

Modo 2: Senha gerada pelo administrador, Inicialização da senha

Mais seguro

Usa uma chave aleatória gerada por computador como chave do sistema e armazena uma versão criptografada da chave no computador local. A chave também é protegida por uma senha escolhida pelo administrador. A senha da chave do sistema é pedida quando o computador está na seqüência inicial de inicialização. A senha da chave do sistema não é armazenada em nenhum lugar no computador.

Modo 3: Senha gerada pelo sistema, Armazenar a chave de inicialização em disquete

Mais seguro de todos

Usa uma chave randômica gerada por computador e armazena a chave em um disquete. O disquete que contém a chave do sistema é necessário para iniciar o computador e deve ser inserido quando um prompt é exibido durante a seqüência de inicialização. A chave do sistema não é armazenada em nenhum lugar no computador.

O Syskey é habilitado em todos os servidores Windows Server 2003 com SP1 no Modo 1 (chave ofuscada). Do ponto de vista de segurança, essa configuração parece sensato a princípio. No entanto, o Syskey no Modo 1 permite que um atacante leia e altere o conteúdo de um diretório, que deixaria o controlador de domínio facilmente vulnerável a um invasor com acesso físico.

Há muitas razões para se recomendar o uso do Syskey em Modo 2 (senha do console) ou Modo 3 (armazenamento da senha do Syskey em disquete) para qualquer controlador de domínio que fique exposto a ameaças físicas de segurança. Entretanto, a necessidade operacional de reiniciar os controladores de domínio tende a dificultar o suporte aos Modos 2 ou 3 do Syskey. Para tirar vantagem da proteção adicional fornecida por esses modos do Syskey, os processos operacionais adequados devem ser implementados em seu ambiente para atender aos requisitos de disponibilidade específicos para os controladores de domínio.

A logística do gerenciamento da senha ou do disquete do Syskey pode ser bem complexa, especialmente em filiais. Por exemplo, pode ser muito caro solicitar que um de seus gerentes de filial ou pessoal administrativo local venha ao escritório às 3:00 horas da madrugada. para digitar senhas ou inserir um disquete a fim de ativar o acesso dos usuários. Esses requisitos dispendiosos podem transformar o cumprimento dos contratos de nível de serviço (SLAs) de alta disponibilidade em um grande desafio.

Como alternativa, se você optar por permitir que o pessoal de operações de TI centralizado forneça a senha do Syskey remotamente, isso exigirá um hardware adicional. Alguns fornecedores de hardware têm soluções disponíveis para acesso remoto a consoles de servidores.

Finalmente, a perda da senha ou do disquete do Syskey deixaria o controlador de domínio em um estado em que não poderia ser reinicializado. Não há um método para se recuperar um controlador de domínio se for perdida a senha ou disquete do Syskey. Se isso ocorrer, o controlador de domínio tem que ser refeito.

Com os procedimentos operacionais adequados, o Syskey pode fornecer um nível elevado de segurança para proteger informações de diretório confidenciais nos controladores de domínio. Por essas razões, é recomendado o Modo 2 ou o Modo 3 do Syskey para controladores de domínio que não tenham uma forte segurança de armazenagem física. Essa configuração se aplica aos controladores de domínio em todos os três ambientes descritos neste guia.

Para criar ou atualizar uma chave do sistema

  1. Clique em Iniciar, clique em Executar, digite syskeye clique em OK.

  2. Clique em Criptografia Ativada e clique em Atualizar.

  3. Clique na opção desejada e clique em OK.

DNS Integrado ao Active Directory

A Microsoft recomenda o uso de DNS integrado ao Active Directory nos três ambientes definidos neste guia. Essa recomendação se baseia parcialmente no fato de a integração de zonas do Active Directory tornar a proteção da infra-estrutura de DNS em um ambiente que usa o DNS integrado ao Active Directory mais simples do que em um ambiente que não o usa.

Protegendo os servidores DNS

É essencial salvaguardar os servidores DNS em qualquer ambiente do Active Directory. As próximas seções fornecem várias recomendações e explicações sobre como salvaguardar os servidores DNS.

Quando um servidor DNS é atacado, uma possível meta do invasor é controlar as informações do DNS retornadas em resposta às consultas de clientes DNS. Se um invasor controlar essas informações, os clientes poderão ser redirecionado inadvertidamente para computadores não autorizados. Falsificação de IP e envenenamento de cache são exemplos desse tipo de ataque.

Na falsificação de IP, uma transmissão recebe o endereço IP de um usuário autorizado para obter acesso a um computador ou rede. O envenenamento de cache é um ataque em que um host não autorizado transmite informações falsas sobre um outro host para o cache de um servidor DNS. O ataque faz com que os clientes sejam redirecionados a computadores não autorizados.

Se os computadores clientes puderem se comunicar com computadores não autorizados, estes poderão tentar obter acesso a informações nos computadores clientes.

Não são todos os ataques que visam a falsificação de servidores DNS. Alguns ataques de negação de serviço podem alterar os registros do DNS em servidores DNS legítimos para fornecer endereços inválidos em resposta às consultas de cliente. Se um servidor DNS responde com endereços inválidos, os clientes e servidores não podem localizar os recursos de que precisam para funcionar, tais como controladores de domínio, servidores Web ou compartilhamentos de arquivos.

Por esses motivos, os roteadores usados nos três ambientes definidos neste guia são configurados para ignorar pacotes de IP falsificados, o que ajuda a garantir que os endereços IP dos servidores DNS não sejam falsificados por outros computadores.

Configurando atualizações dinâmicas seguras

O serviço Cliente DNS no Windows Server 2003 com SP1 oferece suporte às atualizações dinâmicas de DNS, que permitem que computadores clientes adicionem registros DNS diretamente no banco de dados. Se um servidor DNS dinâmico é configurado para aceitar atualizações não seguras, um invasor pode transmitir atualizações mal-intencionadas ou não autorizadas de um computador cliente que ofereça suporte ao protocolo DNS de atualização dinâmica.

Na melhor das hipóteses, um invasor pode adicionar entradas falsas ao banco de dados DNS. No pior dos casos, pode substituir ou exclui entradas legítimas no banco de dados DNS. Esse invasor pode executar qualquer um dos seguintes procedimentos:

  • Direcionar clientes para controladores de domínio não autorizados. Quando um cliente envia uma consulta DNS para localizar o endereço de um controlador de domínio, um servidor DNS comprometido pode ser instruído a retornar o endereço de um servidor não autorizado. Então, com o uso de outros ataques não relacionados ao DNS, o cliente pode ser enganado e persuadido a transmitir informações seguras para o servidor não autorizado.

  • Responder a consultas DNS com endereços inválidos. Os clientes e servidores não podem localizar uns aos outros. Se clientes não podem localizar servidores, eles não podem acessar o diretório. Quando controladores de domínio não conseguem localizam outros controladores de domínio, a duplicação de diretório é interrompida, criando uma condição de negação de serviço que pode afetar usuários em toda a floresta.

  • Criar uma condição de negação de serviço. O espaço em disco de um servidor pode ser esgotado por um imenso arquivo de zona preenchido com registros fictícios, ou por uma enorme quantidade de registros que tornam a duplicação vagarosa.


O uso de atualizações DNS seguras garante que as solicitações de registro somente serão processadas se forem enviadas por clientes válidos em uma floresta do Active Directory. Esse método limita drasticamente a capacidade de um invasor de comprometer a integridade de um servidor DNS.

Por esses motivos, os servidores DNS do Active Directory nos três ambientes definidos neste guia são configurados para aceitar somente atualizações dinâmicas seguras.

Limitando transferências de zonas a sistemas autorizados

Devido à importância das zonas no DNS, elas devem estar disponíveis em mais de um servidor DNS na rede para fornecer disponibilidade e tolerância a falhas adequadas às consultas de resolução de nomes. Quando servidores adicionais hospedam uma zona, é preciso que as transferências de zona dupliquem e sincronizem todas as cópias da zona em cada servidor configurado para hospedar a zona.

Além disso, um servidor DNS que não limite quem pode solicitar transferências de zona é vulnerável a transferir toda uma zona DNS para qualquer pessoa que solicitá-la. Essa transferência pode ser realizada facilmente com ferramentas como o Nslookup.exe. Essas ferramentas podem expor todo o conjunto de dados do DNS do domínio, inclusive os hosts que funcionam como controladores de domínio, servidores Web integrados a diretórios ou bancos de dados do Microsoft SQL Server™.

Por esses motivos, os servidores DNS integrados ao Active Directory nos três ambientes definidos neste guia são configurado para permitir transferências de zona, mas limitar quais computadores podem solicitar as transferências.

Redimensionando o log de eventos e o log do serviço DNS

Uma quantidade adequada de informação deve ser registrada em log para que se possa monitorar e manter eficazmente o serviço DNS. São necessárias informações de todos os controladores de domínio no ambiente.

É possível aumentar o tamanho máximo do arquivo de log do serviço DNS, o que permitirá aos administradores executar auditorias significativas em caso de um ataque.

Este guia recomenda aumentar o tamanho máximo do arquivo de log do serviço DNS para pelo menos 16 MB nos controladores de domínio dos três ambientes definidos neste guia. Além disso, certifique-se de que a opção Substituir eventos quando necessário no serviço DNS esteja selecionada a fim de maximizar a quantidade de registros de log preservados.

Protegendo contas bem conhecidas

O Windows Server 2003 com SP1 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, você deve renomear a conta Administrador interna e alterar sua descrição para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra essa conta de Administrador se você a renomear com um nome exclusivo.

Conclua as seguintes etapas para proteger as contas bem conhecidas em domínios e servidores:

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em todos os domínios e servidores.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os domínios e servidores, um atacante que consiga acessar um servidor membro poderia ter acesso a todos os outros com o mesmo nome de conta e a mesma senha.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas a um local protegido.

    Observação: a conta interna Administrador pode ser renomeada usando-se a Diretiva de Grupo. Essa configuração de diretiva não foi implementada em nenhum dos modelos de segurança fornecidos com este guia porque cada organização deve escolher um nome exclusivo para essa conta. No entanto, você pode definir a configuração Contas: renomear conta do administrador para renomear contas de administrador em todos os três ambientes definidos neste guia. Essa configuração de diretiva faz parte das configurações Opções de Segurança de um GPO.


Protegendo contas de serviço

Nunca configure um serviço para ser executado no contexto de segurança de uma conta de domínio a menos que seja absolutamente necessário. Se o servidor for comprometido fisicamente, as senhas de contas de domínio poderão ser facilmente obtidas despejando-se segredos LSA. Para obter mais informações sobre como proteger contas de serviço, consulte o Guia de Planejamento da Segurança de Serviços e Contas de Serviço em http://www.microsoft.com/brasil/security/guidance/servaccount/default.mspx.

Configurações dos Serviços de Terminal

Tabela 5.10 Configurações recomendadas dos Serviços de Terminal

Padrão

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Definir o nível de criptografia da conexão de cliente

Alta

Alta

Alta

A configuração Definir o nível de criptografia da conexão de cliente determina o nível de criptografia das conexões de cliente dos Serviços de Terminal em seu ambiente. A opção Alto Nível que usa a criptografia de 128 bits evita que um invasor escute as sessões de Serviços de Terminal usando um analisador de pacotes. Algumas versões mais antigas de clientes de Serviços de Terminal não dão suporte a esse nível alto de criptografia. Se a rede contiver esse tipo de cliente, defina o nível de criptografia da conexão para envio e recebimento de dados no nível mais alto de criptografia para o qual o cliente ofereça suporte.

A configuração Definir o nível de criptografia da conexão de cliente é definida como Ativado e a criptografia Nível Alto é selecionada na DCBP para os três ambientes de segurança definidos neste guia.

É possível definir essa configuração de diretiva no Windows Server 2003 no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Componentes do Windows\
Serviços de terminal\Criptografia e segurança

Os três níveis de criptografia disponíveis são descritos na seguinte tabela:

Tabela 5.11 Níveis de criptografia dos Serviços de Terminal

Nível de criptografia

Descrição

Nível alto

Criptografa os dados enviados do cliente para o servidor e do servidor para o cliente com criptografia de 128 bits de alta segurança. Use esse nível quando o Terminal Server for executado em um ambiente que contém somente clientes de 128 bits (como os clientes de Conexão de Área de Trabalho Remota). Os clientes que não oferecerem suporte a esse nível de criptografia não poderão se conectar.

Compatível com cliente

Criptografa os dados enviados entre o cliente e o servidor com a segurança máxima de chave para a qual o cliente oferece suporte. Use esse nível quando o Terminal Server for executado em um ambiente que contenha clientes mistos ou herdados.

Nível baixo

Criptografa os dados enviados do cliente para o servidor com criptografia de 56 bits.

Importante: os dados enviados do servidor ao cliente não são criptografados.

Relatório de erros

Tabela 5.12 Configurações recomendadas de Relatório de Erro

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Desativar Relatório de Erros do Windows

Ativada

Ativada

Ativada

Esse serviço ajuda a Microsoft a rastrear e tratar erros. Você pode configurar esse serviço para gerar relatórios de erros do sistema operacional, erros de componentes do Windows ou erros de programas. Ele está disponível somente no Windows XP Professional e no Windows Server 2003.

O serviço de Relatório de Erros pode informar tais erros à Microsoft pela Internet ou por um compartilhamento de arquivo interno. Embora os relatórios de erros potencialmente possam conter dados confidenciais, a política de privacidade da Microsoft com referência à informação de erros assegura que a Microsoft não usará tais dados de maneira imprópria. Porém, os dados são transmitidos em HTTP de texto simples, que pode ser interceptado na Internet e visto por terceiros.

A configuração Desativar Relatório de Erros do Windows controla se o serviço Relatório de Erros transmite dados.

É possível definir essa configuração de diretiva no Windows Server 2003 no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema\Gerenciamento da comunicação da Internet\Configurações da comunicação da Internet

Defina a configuração Desativar Relatório de Erros do Windows como Ativado no DCBP para todos os três ambientes definidos neste guia.

Criando a Diretiva Usando o ACS

Para implantar as configurações de segurança necessárias, use tanto o Assistente de Configuração de Segurança (ACS) quanto os modelos de segurança incluídos na versão para download deste guia para criar uma diretiva de linha de base de controlador de domínio.

Ao criar sua própria diretiva, não deixe de ignorar as seções “Configurações de Registro” e “Diretiva de Auditoria”. Essas configurações de diretiva são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, instale o sistema operacional em hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Para criar a Diretiva de Linha de Base de Controlador de Domínio

Você deve usar um computador configurado como controlador de domínio para criar a Diretiva de Linha de Base de Controlador de Domínio. É possível usar um controlador de domínio existente ou criar um computador de referência e usar a ferramenta Dcpromo para transformar o computador em um controlador de domínio. No entanto, a maioria das organizações não quer adicionar um controlador de domínio ao seu ambiente de produção, visto que isso pode transgredir sua diretiva de segurança. Caso esteja usando um controlador de domínio existente, não aplique a ele nenhuma configuração com o ACS nem modifique sua configuração.

  1. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  2. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  3. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o ambiente. Não remova a função de servidor de arquivos, porque é necessária ao funcionamento correto dos controladores de domínio.

  4. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente.

  5. Assegure-se de que as opções administrativas detectadas sejam apropriadas para o ambiente.

    Observação: se seu ambiente contém controladores de domínio em vários locais, não deixe de selecionar Duplicação do Active Directory baseada em e-mail.

  6. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  7. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativar. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  8. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de rede" e, em seguida, clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows.

    Observação: certifique-se de que Portas para Aplicativos RPC do sistema esteja selecionado.

  9. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  10. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  11. Inclua o modelo de segurança apropriado (por exemplo, EC-Domain Controller.inf).

  12. Salve a diretiva com um nome apropriado (por exemplo, Controlador de Domínio.xml).

Testar a Diretiva Usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Há duas opções disponíveis para o teste da diretiva. É possível usar os recursos de implantação do ACS ou implantar as diretivas por meio de um GPO.

Ao começar a produzir suas diretivas, considere o uso dos recursos de implantação nativos ao ACS. É possível usar o ACS para enviar uma diretiva para um único servidor de cada vez, ou usar Scwcmd para enviá-la para um grupo de servidores. O método nativo de implantação oferece como vantagem a capacidade de reverter facilmente as diretivas implantadas do ACS. Esse recurso pode ser muito útil quando várias alterações são feitas às diretivas durante o processo de teste.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em http://download.microsoft.com/download/c/4/6/c4691e15-1c49-4a96-8060-f3c6db5816eb/SCW_Deployment_V2_brz.doc
 e Security Configuration Wizard Documentation em http://go.microsoft.com/fwlink/?linkid=43450 (site em inglês).

Converter e Implantar a Diretiva

Depois de testar rigorosamente a diretiva, siga estas etapas para convertê-la em um GPO e implementá-la:

  1. No prompt de comando, digite o seguinte comando:

    
    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    e, em seguida, pressione ENTER. Por exemplo:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Domain
    Controller.xml" /g:"Domain Controller Policy"
    

    Observação: as informações a serem inseridas no prompt de comando estão exibidas aqui em mais de uma linha devido às limitações de exibição. Essas informações devem ser inseridas em uma única linha.

  2. Use o Console de Gerenciamento de Diretiva de Grupo para vincular o GPO recém-criado à UO Controladores de Domínio e certifique-se de movê-lo acima da Diretiva de Controladores de Domínio Padrão de modo que ele receba a prioridade mais alta.

Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Lembre-se de que o GPO recém-criado pode demorar algum tempo para ser duplicado para todos os controladores de domínio, especialmente em ambientes com controladores de domínio em vários locais. Depois de verificar que a duplicação do GPO foi bem-sucedida, execute um teste final para garantir que o GPO aplique as configurações de diretiva desejadas. Para completar esse procedimento, verifique se as configurações apropriadas foram feitas e se a funcionalidade não foi afetada.

Resumo

Este capítulo explicou como proteger servidores de controlador de domínio que executam o Windows Server 2003 com SP1 em cada um dos três ambientes definidos neste guia. A maioria das configurações de diretiva que foram discutidas foi configurada e aplicada por meio da Diretiva de Grupo. A Diretiva de Linha de Base de Controlador de Domínio (DCBP) que complementa a Diretiva de Controladores de Domínio Padrão foi vinculada à UO Controladores de Domínio.

As configurações da DCBP fortalecerão a segurança total nos controladores de domínio em qualquer ambiente. O uso de dois GPOs para proteger os controladores de domínio permite que o ambiente padrão seja preservado e simplifica a solução de problemas.

Várias das configurações discutidas não podem ser aplicadas por meio da Diretiva de Grupo. Foram fornecidos detalhes sobre a definição manual dessas configurações.

Depois que os controladores de domínio são configurados para segurança, é possível tornar outras funções de servidor mais seguras. Os próximos capítulos deste guia se concentram em como proteger várias outras funções específicas de servidor.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de controladores de domínio que executam o Windows Server 2003 com SP1.

  • Para obter informações sobre os guias prescritivos de arquitetura do Microsoft Systems Architecture: Enterprise Data Center, consulte a página Prescriptive Architecture Guide em www.microsoft.com/resources/documentation/msa/edc/all/solution/
    en-us/pak/pag/default.mspx (site em inglês).

  • Para obter informações sobre como ativar o acesso anônimo ao Active Directory, consulte o artigo "Description of Dcpromo Permissions Choices" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=257988 (site em inglês).

  • Para obter informações sobre DNS no Windows 2000, consulte "Windows 2000 DNS White Paper" em www.microsoft.com/windows2000/techinfo/howitworks/communications/
    nameadrmgmt/w2kdns.asp (site em inglês).

  • Para obter mais informações sobre DNS no Windows 2000, consulte o Capítulo 6 da versão online do "TCP/IP Core Networking Guide" no Windows 2000 Server Resource Kit em www.microsoft.com/windows2000/techinfo/reskit/en-us/default.asp (site em inglês).

  • Para obter informações sobre DNS no Windows 2003, consulte "Changes to DNS in Windows Server 2003" em www.microsoft.com/windows2000/technologies/communications/dns/dns2003.asp (site em inglês).

  • Para obter mais informações sobre como restringir o Active Directory, consulte o artigo "Restricting Active Directory replication traffic to a specific port" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=224196 (site em inglês).

  • Para obter mais informações sobre restringir o como restringir tráfego de duplicação FRS, consulte o artigo "How to restrict FRS replication traffic to a specific static port" da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=319553 (site em inglês).

  • Para obter mais informações sobre o Serviço de Tempo do Windows, consulte Windows Time Service Technical Reference em http://www.microsoft.com/technet/prodtechnol/windowsserver2003/
    library/TechRef/a0fcd250-e5f7-41b3-b0e8-240f8236e210.mspx (site em inglês).

  • Para obter mais informações sobre falsificação de IP, consulte o artigo “Introduction to IP Spoofing” em www.giac.org/practical/gsec/Victor_Velasco_GSEC.pdf (documento em inglês).



Neste artigo


Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft