Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Atualizado em: 27 de dezembro de 2005

Capítulo 8: A função de servidor de impressão

Nesta página

Visão geral
Configurações da Diretiva de Auditoria
Atribuições de direitos do usuário
Opções de segurança
Configurações do log de eventos
Configurações adicionais de segurança
Criando a diretiva usando o ACS
Resumo

Visão geral

Este capítulo enfoca como proteger servidores de impressão que executam o Microsoft® Windows Server™ 2003 com SP1, o que pode ser um desafio. Os serviços essenciais fornecidos por esses servidores requerem os protocolos SMB (Server Message Block) e CIFS (Common Internet File System), sendo que ambos podem fornecer muitas informações a usuários não autenticados. Esses protocolos são com freqüência desativados em servidores de impressão em ambientes de alta segurança. No entanto, será difícil tanto para administradores quanto para usuários acessar os servidores de impressão se esses protocolos estiverem desativados no ambiente.

A maioria das configurações neste capítulo é definida e aplicada pela Diretiva de Grupo. Um objeto de Diretiva de Grupo (GPO) que complementa a Diretiva de Linha de Base de Servidor Membro (MSBP) pode ser vinculado às unidades organizacionais (UOs) apropriadas que contêm os servidores de impressão para fornecer as configurações de segurança necessárias a essa função de servidor. Este capítulo discute somente as configurações de diretiva que variam com relação à MSBP.

Quando possível, essas configurações são reunidas em um modelo de Diretiva de Grupo incremental que será aplicado à UO Servidores de Impressão. Algumas das configurações neste capítulo não podem ser aplicadas por meio da Diretiva de Grupo. Informações detalhadas sobre como definir essas configurações manualmente são fornecidas.

A tabela a seguir mostra os nomes dos modelos de segurança de servidor de impressão para os três ambientes definidos neste guia. Esses modelos fornecem as configurações de diretiva para o modelo incremental de Servidor de Impressão, usado para criar um novo GPO a ser vinculado à UO Servidores de Impressão no ambiente apropriado. Instruções passo a passo são fornecidas no Capítulo 2, "Mecanismos de proteção do Windows Server 2003" para ajudá-lo a criar as UOs e as Diretivas de Grupo e, em seguida, importar o modelo de segurança apropriado para cada GPO.

Tabela 8.1 Modelos de segurança de servidor de impressão para todos os três ambientes

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

LC-Print Server.inf

EC-Print Server.inf

SSLF-Print Server.inf


Para obter informações sobre configurações na MSBP, consulte o Capítulo 4, “A diretiva de linha de base de servidor membro”. Para obter informações sobre todas as configurações padrão, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Observação: servidores de impressão protegidos com o modelo de segurança SSLF-Print Server.inf só podem ser acessados de maneira confiável por computadores clientes protegidos com configurações compatíveis. Consulte o Guia de Segurança do Windows XP para obter informações sobre como proteger computadores cliente com configurações compatíveis com SSLF.


Configurações da Diretiva de Auditoria

As configurações da Diretiva de Auditoria para servidores de impressão nos três ambientes descritos neste guia são configuradas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP ativam o registro em log das informações de auditoria de segurança em todos os servidores de impressão.


Atribuições de direitos do usuário

As configurações de atribuição de direitos de usuário para servidores de impressão nos três ambientes descritos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP definem atribuições de direitos de usuário de maneira uniforme em todos os servidores de impressão.


Opções de segurança

A maioria das configurações de opções de segurança para servidores de impressão nos três ambientes descritos neste guia é definida por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As diferenças entre a MSBP e a Diretiva de Grupo de Servidor de Impressão são descritas na próxima seção.

Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

Tabela 8.2 Configurações recomendadas para assinar digitalmente a comunicação (sempre)

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre)

Desativada

Desativada

Desativada


Essa configuração de diretiva determina se a assinatura de pacotes é necessária para o componente de servidor SMB. O protocolo SMB fornece a base para o compartilhamento de arquivos e impressão Microsoft, além de muitas outras operações em rede, como a administração remota do Windows. Para evitar ataques de interceptadores que modificam pacotes SMB em trânsito, o protocolo SMB dá suporte à assinatura digital de pacotes. Essa configuração de diretiva determina se a assinatura de pacotes SMB deve ser negociada antes que mais comunicações com um cliente SMB sejam permitidas.

Embora a configuração Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) seja desativada por padrão, a MSBP ativa essa configuração para servidores no ambiente SSLF, o que permite aos usuários imprimir, mas não exibir a fila de impressão. Os usuários que tentarem exibir a fila de impressão verão uma mensagem de acesso negado.

A configuração Servidor de rede Microsoft: assinar digitalmente a comunicação (sempre) é definida como Desativada para servidores de impressão em todos os três ambientes definidos neste guia.


Configurações do log de eventos

As configurações de log de eventos para servidores de impressão nos três ambientes descritos neste guia são definidas por meio da MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, “A diretiva de linha de base de servidor membro”.


Configurações adicionais de segurança

Embora as configurações de segurança aplicadas pela MSBP aumentem significativamente a segurança dos servidores de impressão, há algumas configurações adicionais a serem consideradas. As configurações nesta seção não podem ser aplicadas por meio da Diretiva de Grupo e devem, portanto, ser executadas manualmente em todos os servidores de impressão.

Protegendo contas bem conhecidas

O Microsoft Windows Server 2003 com SP1 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, você deve renomear a conta Administrador interna e alterar sua descrição para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra essa conta de Administrador se você a renomear com um nome exclusivo.

Para proteger contas bem conhecidas em servidores de impressão

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em cada domínio e servidor.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os domínios e servidores, um invasor que consiga acessar um servidor membro poderia acessar todos os outros.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas a um local protegido.

    Observação: é possível renomear a conta interna Administrador por meio da Diretiva de Grupo. Essa configuração não foi implementada em nenhum dos modelos de segurança fornecidos com este guia porque cada organização deve escolher um nome exclusivo para essa conta. No entanto, é possível definir a configuração Contas: renomear a conta de Administrador para renomear contas de administrador em todos os três ambientes definidos neste guia. Essa configuração de diretiva faz parte das configurações Opções de Segurança de um GPO.


Protegendo contas de serviço

Nunca configure um serviço para ser executado no contexto de segurança de uma conta de domínio a menos que seja absolutamente necessário. Se o servidor for comprometido fisicamente, as senhas de contas de domínio poderão ser facilmente obtidas despejando-se segredos LSA. Para obter mais informações sobre como proteger contas de serviço, consulte o Guia de Planejamento da Segurança de Serviços e Contas de Serviço em http://www.microsoft.com/brasil/security/guidance/servaccount/default.mspx.


Criando a diretiva usando o ACS

Para implantar as configurações de segurança necessárias, use tanto o Assistente de Configuração de Segurança (ACS) quanto os modelos de segurança incluídos na versão para download deste guia para criar uma diretiva de servidor.

Ao criar sua própria diretiva, não deixe de ignorar as seções “Configurações de Registro” e “Diretiva de Auditoria”. Essas configurações são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos que seriam configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, use hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Para criar a diretiva de servidor de impressão

  1. Crie uma nova instalação do Windows Server 2003 com SP1 em um novo computador de referência.

  2. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  3. Conecte o computador ao domínio, o que aplicará todas as configurações de segurança das UOs pai.

  4. Instale e configure somente os aplicativos obrigatórios que constarão de cada servidor que compartilha essa função. Exemplos incluem serviços específicos às funções, agentes de gerenciamento e de software, agentes de backup em fita e utilitários antivírus ou antispyware.

  5. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  6. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o ambiente, por exemplo a função de servidor de impressão.

  7. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente.

  8. Assegure-se de que as opções administrativas detectadas sejam apropriadas para o ambiente.

  9. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  10. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativada. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  11. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de rede" e, em seguida, clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows.

  12. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  13. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  14. Inclua o modelo de segurança apropriado (por exemplo, EC-Print Server.inf).

  15. Salve a diretiva com um nome apropriado (por exemplo, Servidor de Impressão.xml).


Testar a diretiva usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Há duas opções disponíveis para o teste da diretiva. É possível usar os recursos de implantação do ACS ou implantar as diretivas por meio de um GPO.

Ao começar a produzir suas diretivas, considere o uso dos recursos de implantação nativos ao ACS. É possível usar o ACS para enviar uma diretiva para um único servidor de cada vez, ou usar Scwcmd para enviá-la para um grupo de servidores. O método nativo de implantação oferece como vantagem a capacidade de reverter facilmente as diretivas implantadas do ACS. Esse recurso pode ser muito útil quando várias alterações são feitas às diretivas durante o processo de teste.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em www.microsoft.com/brasil/technet/centralwindows/servicepack1/default.mspx
 e a Security Configuration Wizard Documentation em http://go.microsoft.com/fwlink/?linkid=43450 (site em inglês).

Converter e implantar a diretiva

Depois de testar rigorosamente a diretiva, siga estas etapas para convertê-la em um GPO e implementá-la:

  1. No prompt de comando, digite o seguinte comando:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    
    

    e, em seguida, pressione ENTER. Por exemplo:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\Print 
    Server.xml" /g:"Print Server Policy"
    
    

    Observação: as informações a serem inseridas no prompt de comando estão exibidas aqui em mais de uma linha devido às limitações de exibição. Essas informações devem ser inseridas em uma única linha.

  2. Use o Console de Gerenciamento de Diretiva de Grupo para vincular o GPO recém-criado à UO apropriada.


Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Agora é preciso executar um teste final para verificar se o GPO aplica as configurações desejadas. Para completar esse procedimento, verifique se as configurações apropriadas foram feitas e se a funcionalidade não foi afetada.


Resumo

Este capítulo explicou as configurações de diretiva que podem ser usadas para servidores de impressão que executam o Windows Server 2003 com SP1 nos três ambientes definidos neste guia. A maioria das configurações de diretiva é aplicada por um objeto de Diretiva de Grupo (GPO) projetado de forma a complementar a MSBP. GPOs podem ser vinculados às unidades organizacionais (UOs) apropriadas que contêm os servidores de impressão para fornecer segurança adicional.

Algumas configurações de diretiva discutidas não podem ser aplicadas por meio da Diretiva de Grupo. Foram fornecidos detalhes sobre a definição manual dessas configurações de diretiva.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de servidores de impressão que executam o Windows Server 2003 com SP1.



Neste artigo


Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões


Cc163129.pageLeft(pt-br,TechNet.10).gif 9 de 19 Cc163129.pageRight(pt-br,TechNet.10).gif
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
A Microsoft está realizando uma pesquisa online para saber sua opinião sobre o site do MSDN. Se você optar por participar, a pesquisa online lhe será apresentada quando você sair do site do MSDN.

Deseja participar?
Mostrar:
© 2014 Microsoft