Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Capítulo 6: A função de servidor de infra-estrutura

Atualizado em: 27 de dezembro de 2005

Nesta página

Visão geral
Configurações da Diretiva de Auditoria
Configurações de atribuição de direitos de usuário
Opções de segurança
Configurações do log de eventos
Configurações adicionais de segurança
Criando a diretiva usando o ACS
Resumo

Visão geral

Este capítulo explica as configurações de diretiva que você pode usar para proteger os servidores de infra-estrutura que executam o Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1) nos três ambientes definidos neste guia. Para os propósitos deste guia, um servidor de infra-estrutura é aquele que fornece serviços DHCP ou a funcionalidade Microsoft WINS.

A maioria das configurações neste capítulo é definida e aplicada pela Diretiva de Grupo. Um objeto de Diretiva de Grupo (GPO) que complementa a Diretiva de Linha de Base de Servidor Membro (MSBP) pode ser vinculado às unidades organizacionais apropriadas (UO) que contêm os servidores de infra-estrutura para proporcionar segurança adicional aos servidores. Este capítulo discute somente as configurações de diretiva que variam com relação à MSBP.

Quando possível, essas configurações de diretiva são reunidas em um objeto de Diretiva de Grupo incremental que será aplicado à UO Servidores de Infra-estrutura. Algumas das configurações neste capítulo não podem ser aplicadas por meio da Diretiva de Grupo. Informações detalhadas sobre como definir essas configurações manualmente são fornecidas.

A tabela a seguir mostra os nomes dos modelos de segurança de servidor de infra-estrutura para os três ambientes definidos neste guia. Esses modelos fornecem as configurações de diretiva para o modelo incremental de Servidor de Infra-estrutura, usado para criar um novo GPO a ser vinculado à UO Servidores de Infra-estrutura no ambiente apropriado. Instruções passo a passo são fornecidas no Capítulo 2, "Mecanismos de proteção do Windows Server 2003" para ajudá-lo a criar as UOs e as Diretivas de Grupo e, em seguida, importar o modelo de segurança apropriado para cada GPO.

Tabela 6.1 Modelos e diretivas de segurança do servidor de infra-estrutura

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

LC-Infrastructure Server.inf

EC-Infrastructure Server.inf

SSLF-Infrastructure Server.inf

Para obter informações sobre configurações de segurança na MSBP, consulte o Capítulo 4, “A diretiva de linha de base de servidor membro”. Para obter informações sobre todas as configurações de diretiva padrão, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP ,  disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Configurações da Diretiva de Auditoria

As configurações da Diretiva de Auditoria para servidores de infra-estrutura nos três ambientes definidos neste guia são definidas por meio da Diretiva de Linha de Base de Servidor Membro (MSBP). Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP ativam o registro em log das informações de auditoria de segurança relevante nos servidores de infra-estrutura.

Configurações de atribuição de direitos de usuário

As atribuições de direitos de usuário para servidores de infra-estrutura nos três ambientes definidos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP definem atribuições de direitos de usuário de maneira uniforme em todos os servidores de infra-estrutura.

Opções de segurança

As configurações de opções de segurança para servidores de infra-estrutura nos três ambientes definidos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP definem a configurações de opções de segurança relevantes de maneira uniforme em todos os servidores de infra-estrutura.

Configurações do log de eventos

As configurações de log de eventos para servidores de infra-estrutura nos três ambientes definidos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, “A diretiva de linha de base de servidor membro”.

Configurações adicionais de segurança

As configurações de segurança aplicadas pela MSBP aumentam significativamente a segurança dos servidores de infra-estrutura. Esta seção discute algumas configurações adicionais a serem levadas em consideração. Não é possível definir as configurações nesta seção por meio da Diretiva de Grupo. É preciso configurá-las manualmente em todos os servidores de infra-estrutura.

Configurar o registro em log do DHCP

Por padrão, o serviço DHCP só registra eventos de inicialização e desligamento no log de eventos. Execute as seguintes etapas para ativar um log mais detalhado no servidor DHCP:

  1. Clique com o botão direito do mouse no servidor DHCP na ferramenta de administração do DHCP.

  2. Selecione Propriedades.

  3. Na guia Geral da caixa de diálogo Propriedades, clique em Ativar o Log de Auditoria de DHCP.

Quando você executa essas etapas, o servidor DHCP cria um arquivo de log no seguinte local:

%raizdosistema%\system32\dhcp\

Informações sobre clientes DHCP costumam ser difíceis de localizar em arquivos de log, visto que as únicas informações armazenadas na maioria dos logs são nomes de computadores, e não endereços IP. Os logs de auditoria do DHCP fornecem uma ferramenta adicional para ajudar a localizar as fontes de ataques internos ou de atividades involuntárias.

Entretanto, as informações desses logs não são à prova de fraude, uma vez que tanto os nomes de host quando os endereços MAC (media access control) podem ser forjados ou falsificados. A falsificação faz uma transmissão parecer vir de um usuário diferente daquele que executou a ação. No entanto, os benefícios que essas informações fornecem excedem quaisquer custos incorridos quando o registro em log é ativado em um servidor DHCP. Pode ser muito útil contar com mais do que somente um endereço IP e um nome de computador quando é preciso determinar como um determinado endereço IP foi usado em uma rede.

Por padrão, os grupos Operadores de Servidor e Usuários Autenticados têm permissões de leitura para os arquivos de log do DHCP. Para melhor preservar a integridade das informações registradas por um servidor DHCP, é recomendável que o acesso a esses logs seja limitado aos administradores do servidor. Os grupos Operadores de Servidor e Usuários Autenticados devem ser removidos da ACL (lista de controle de acesso) da pasta %raizdosistema%\system32\dhcp\.

Os logs de auditoria do DHCP poderiam, em tese, encher o disco em que são armazenados. Entretanto, a configuração padrão da configuração Log de Auditoria de DHCP garante que o registro em log será interrompido se houver menos de 20 MB de espaço livre em disco disponível no servidor. Essa configuração padrão é adequada para os servidores na maioria dos ambientes, mas você pode modificá-la para garantir que haja espaço em disco suficiente disponível para outros aplicativos em um servidor. Para obter informações sobre como modificar essa configuração, consulte a página DhcpLogMinSpaceOnDisk no Windows Server 2003 Tech Center em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
DepKit/f7802dce-3ff9-406a-b3e6-c0c6b3ed4941.mspx (em inglês).

Proteger contra ataques de negação de serviço DHCP

Como os servidores DHCP são recursos críticos que fornecem acesso aos clientes da rede, eles poderiam ser alvos preferenciais de ataques de negação de serviço. Se um servidor DHCP for atacado e não puder mais atender a solicitações de DHCP, os clientes DHCP acabarão não conseguindo mais obter concessões. Esses clientes perderão suas concessões de IP existentes e a capacidade de acessar recursos da rede.

Não é muito difícil escrever um script de ferramenta de ataque que solicite todos os endereços disponíveis em um servidor DHCP. Isso esgotaria o pool de endereços IP disponíveis para solicitações legítimas subseqüentes de clientes DHCP. Seria possível também, para um usuário mal-intencionado, configurar todos os endereços IP do DHCP no adaptador de rede de um computador que ele administrasse fazendo, assim, com que o servidor DHCP detectasse conflitos de endereço IP para todos os endereços em seu escopo e se recusasse a alocar concessões de DHCP.

Além disso, como acontece com todos os outros serviços de rede, um ataque de negação de serviço, por exemplo, o uso de toda a CPU ou o enchimento do buffer de solicitações de escuta DHCP que esgotasse a capacidade do servidor DHCP de responder ao tráfego legítimo, poderia impossibilitar a solicitação de concessões e de renovações. Este tipo de problema pode ser evitado por meio do design adequado dos serviços DHCP.

Você pode configurar os servidores DHCP em pares e seguir a regra 80/20 das recomendações – dividir os escopos de servidor DHCP entre os servidores de forma que 80% dos endereços sejam distribuídos por um servidor DHCP e 20% pelo outro – a fim de ajudar a atenuar o impacto desses tipos de ataque. Essa configuração ajuda a garantir que os clientes continuem a receber configurações de endereços IP no caso de falha do servidor Para obter mais informações sobre a regra 80/20 e o protocolo DHCP, consulte a página DHCP no Windows 2000 Server Resource Kit em www.microsoft.com/resources/documentation/Windows/2000/server/
reskit/en-us/cnet/cncb_dhc_klom.asp (site em inglês).

Observação: a regra 80/20 descrita no Windows 2000 Server Resource Kit também se aplica aos serviços DHCP no Windows Server 2003 com SP1.

Protegendo contas bem conhecidas

O Windows Server 2003 com SP1 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, você deve renomear a conta Administrador interna e alterar sua descrição para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra essa conta de Administrador se você a renomear com um nome exclusivo.

Para proteger contas bem conhecidas em servidores de infra-estrutura

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em todos os domínios e servidores.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os domínios e servidores, um invasor que consiga acessar um servidor membro poderá ter acesso a todos os outros com o mesmo nome de conta e senha.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas a um local protegido.

    Observação: a conta interna Administrador pode ser renomeada usando-se a Diretiva de Grupo. Essa configuração de diretiva não foi implementada em nenhum dos modelos de segurança fornecidos com este guia porque cada organização deve escolher um nome exclusivo para essa conta. No entanto, você pode definir a configuração Contas: renomear conta do administrador para renomear contas de administrador em todos os três ambientes definidos neste guia. Essa configuração de diretiva faz parte das configurações Opções de Segurança de um GPO.

Protegendo contas de serviço

Nunca configure um serviço para ser executado no contexto de segurança de uma conta de domínio a menos que seja absolutamente necessário. Se o servidor for comprometido fisicamente, as senhas de contas de domínio poderão ser facilmente obtidas despejando-se segredos LSA. Para obter mais informações sobre como proteger contas de serviço, consulte o Guia de Planejamento da Segurança de Serviços e Contas de Serviço em http://www.microsoft.com/brasil/security/guidance/servaccount/default.mspx.

Criando a diretiva usando o ACS

Para implantar as configurações de segurança necessárias, use tanto o Assistente de Configuração de Segurança (ACS) quanto os modelos de segurança incluídos na versão para download deste guia para criar uma diretiva de servidor.

Ao criar sua própria diretiva, não deixe de ignorar as seções “Configurações de Registro” e “Diretiva de Auditoria”. Essas configurações de diretiva são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos que seriam configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, instale o sistema operacional em hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Durante as etapas de criação de diretiva de servidor, você provavelmente removerá a função de servidor de arquivos da lista de funções detectadas. Essa função é geralmente configurada em servidores que não a exigem e pode ser considerada um risco à segurança. A fim de ativar a função de servidor de Arquivos em servidores que a requeiram, aplique uma segunda diretiva mais tarde neste processo.

Para criar a diretiva de servidor de infra-estrutura

  1. Crie uma nova instalação do Windows Server 2003 com SP1 em um novo computador de referência.

  2. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  3. Conecte o computador ao domínio, o que aplicará todas as configurações de segurança das UOs pai.

  4. Instale e configure somente os aplicativos obrigatórios que constarão de cada servidor que compartilha essa função. Exemplos incluem serviços específicos às funções, agentes de gerenciamento e de software, agentes de backup em fita e utilitários antivírus ou antispyware.

  5. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  6. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o ambiente – por exemplo, as funções de servidor DHCP e WINS.

  7. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente.

  8. Assegure-se de que as opções administrativas detectadas sejam apropriadas para o ambiente.

  9. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  10. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativar. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  11. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de rede" e, em seguida, clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows.

  12. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  13. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  14. Inclua o modelo de segurança apropriado (por exemplo, EC-Infrastructure Server.inf).

  15. Salve a diretiva com um nome apropriado (por exemplo, Servidor de Infra-estrutura.xml).

Testar a diretiva usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Há duas opções disponíveis para o teste da diretiva. É possível usar os recursos de implantação do ACS ou implantar as diretivas por meio de um GPO.

Ao começar a produzir suas diretivas, considere o uso dos recursos de implantação nativos ao ACS. É possível usar o ACS para enviar uma diretiva para um único servidor de cada vez, ou usar Scwcmd para enviá-la para um grupo de servidores. O método nativo de implantação permite reverter facilmente as diretivas implantadas do ACS. Esse recurso pode ser muito útil quando várias alterações são feitas às diretivas durante o processo de teste.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em www.microsoft.com/brasil/technet/centralwindows/servicepack1/default.mspx
 e a Security Configuration Wizard Documentation em http://go.microsoft.com/fwlink/?linkid=43450 (site em inglês).

Converter e implantar a diretiva

Depois de testar rigorosamente a diretiva, siga estas etapas para convertê-la em um GPO e implementá-la:

  1. No prompt de comando, digite o seguinte comando:

    
    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    e, em seguida, pressione ENTER. Por exemplo:

    
    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Infrastructure.xml"
    /g:"Infrastructure Policy"
    

    Observação: as informações a serem inseridas no prompt de comando estão exibidas aqui em mais de uma linha devido às limitações de exibição. Essas informações devem ser inseridas em uma única linha.

  2. Use o Console de Gerenciamento de Diretiva de Grupo para vincular o GPO recém-criado à UO apropriada.

Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Agora é preciso executar um teste final para verificar se o GPO aplica as configurações desejadas. Para concluir esse procedimento, verifique se as configurações de diretiva apropriadas foram feitas e se a funcionalidade não foi afetada.

Resumo

Este capítulo explicou as configurações de diretiva que podem ser usadas para servidores DHCP e WINS que executam o Windows Server 2003 com SP1 nos três ambientes definidos neste guia. A maioria das configurações para essas funções é aplicada através da MSBP. A principal meta da criação de um objeto de Diretiva de Infra-estrutura para os servidores DHCP e WINS é ativar os serviços necessários ao pleno funcionamento e à segurança dessas funções.

Embora a MSBP forneça um alto nível de segurança, este capítulo também discutiu outras considerações para as funções de servidor de infra-estrutura. A mais importante dessas considerações refere-se à geração de arquivos de log.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de servidores de infra-estrutura que executam o Windows Server 2003 com SP1.

  • Para obter informações sobre como o registro em log foi alterado no Windows Server 2003, consulte o artigo “Changes in Windows Server 2003 DHCP Logging” da Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=328891 (site em inglês).

  • Para obter mais informações sobre o DHCP, consulte a página Dynamic Host Configuration Protocol em www.microsoft.com/resources/documentation/Windows/2000/server/reskit/
    en-us/cnet/cncb_dhc_klom.asp (site em inglês).

  • Para obter mais informações sobre o WINS, consulte “Windows 2000 Server Windows Internet Naming Service (WINS) Overview” em www.microsoft.com/technet/archive/windows2000serv/evaluate/featfunc/nt5wins.mspx (site em inglês).

  • Para obter informações sobre a instalação do WINS no Windows Server 2003, consulte a página “Install and Manage WINS Servers” em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/a29d0a59-8bdd-4a82-a980-b53bd72fcb0e.mspx (site em inglês).


Neste artigo

Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft