Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar
Este tópico ainda não foi avaliado como - Avalie este tópico

Guia de Segurança do Windows Server 2003

Capítulo 12: A função de hosts bastiões

Atualizado em: 27 de dezembro de 2005

Nesta página

Visão geral
Configurações da Diretiva de Auditoria
Atribuições de direitos do usuário
Opções de segurança
Configurações do log de eventos
Configurações adicionais de segurança
Criando a diretiva usando o ACS
Resumo

Visão geral

Este capítulo enfoca a proteção de hosts bastiões que executam o Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1) em seu ambiente. Os hosts bastiões são computadores seguros, mas publicamente acessíveis, localizados no lado público da rede de perímetro da organização (também conhecido como DMZ, ou zona desmilitarizada, e sub-rede filtrada). Os hosts bastiões não são protegidos por um firewall ou um roteador de filtragem, expondo-se totalmente a ataques. Para minimizar a possibilidade de comprometimento, os hosts bastiões precisam ser cuidadosamente projetados e configurados.

Hosts bastiões são normalmente usados como servidores Web, servidores DNS, servidores FTP, servidores SMTP e servidores NNTP. Idealmente, os hosts bastiões são dedicados a somente uma dessas funções, visto que quanto mais funções um servidor fornece, maior a probabilidade que uma brecha de segurança seja negligenciada. É mais fácil proteger um único serviço em um único host bastião do que proteger vários serviços. As organizações que podem arcar com os custos associados a vários hosts bastiões podem se beneficiar muito desse tipo de arquitetura de rede.

Os hosts bastiões seguros são configurados de maneira muito diferente dos hosts comuns. Todos os serviços, protocolos, programas e interfaces de rede desnecessários são desativados ou removidos e cada host bastião é configurado para desempenhar uma função específica. O uso desse método de proteção dos hosts bastiões pode limitar os métodos potenciais de ataque.

As próximas seções deste capítulo descrevem várias configurações de segurança que ajudarão a proteger os hosts bastiões em qualquer ambiente. As etapas incluídas neste capítulo o ajudarão a criar um host bastião SMTP. Será preciso modificar os arquivos de configuração que acompanham o guia para adicionar qualquer funcionalidade adicional.

Diretiva local de host bastião

As funções de servidor descritas anteriormente neste guia usaram a Diretiva de Grupo para configurar os servidores. A Diretiva de Grupo não pode ser aplicada a servidores hosts bastiões porque eles são configurados como hosts autônomos que não pertencem a um domínio de serviço de diretório do Active Directory®. Como estão expostos a ataques e não são protegidos por outros dispositivos, somente um nível de orientação é prescrito para servidores hosts bastiões nos três ambientes definidos neste guia. As configurações de segurança descritas neste capítulo baseiam-se na Diretiva de Linha de Base de Servidor Membro (MSBP) para o ambiente SSLF, definida no Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações estão incluídas em um modelo de segurança que deve ser aplicado à Diretiva Local de Host Bastião (BHLP) de cada host bastião.

Tabela 12.1 Modelos de segurança de servidor host bastião

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

SSLF-Bastion Host.inf

SSLF-Bastion Host.inf

SSLF-Bastion Host.inf


Configurações da Diretiva de Auditoria

As configurações de Diretiva de Auditoria da BHLP para hosts bastiões estão incluídas no arquivo SSLF-Bastion Host.inf. Essas configurações são as mesmas especificadas no arquivo SSLF-Member Server Baseline.inf. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da BHLP garantem que todas as informações relevantes de auditoria de segurança sejam registradas em todos os servidores hosts bastiões.


Atribuições de direitos do usuário

O arquivo SSLF-Bastion Host.inf inclui as atribuições de direitos de usuário da BHLP para hosts bastiões. Essas configurações de diretiva baseiam-se naquelas especificadas em SSLF-Member Server Baseline.inf no Capítulo 4, "A diretiva de linha de base de servidor membro". As informações na tabela a seguir resumem as diferenças entre a BHLP e a MSBP. Informações detalhadas são fornecidas no texto que segue a tabela.

Tabela 12.2 Configuração recomendada de atribuições de direitos do usuário

Atribuição de direitos de usuário

Configuração

Negar acesso a este computador pela rede

LOGON ANÔNIMO, Administrador interna; Support_388945a0, Convidado, todas as contas de serviço que NÃO sejam de Sistema Operacional


Negar acesso a este computador pela rede

Observação: LOGON ANÔNIMO, Administrador interna, Support_388945a0, Convidado e todas as contas de serviço que NÃO sejam de sistema operacional não estão incluídos no modelo de segurança. Essas contas e grupos têm SIDs (Identificadores de Segurança) exclusivos. Portanto, é preciso adicioná-los manualmente à BHLP.

Essa configuração de diretiva determina quais usuários não podem acessar um computador pela rede. Ela nega vários protocolos de rede, inclusive protocolos baseados em SMB (Bloco de Mensagens do Servidor), NetBIOS, CIFS (Common Internet File System), HTTP e COM+ (Component Object Model Plus). Essa configuração de diretiva substitui a configuração Acesso a este computador pela rede quando uma conta de usuário está sujeita a ambas as diretivas. Se você configurar esse direito de usuário para outros grupos, poderá limitar a capacidade dos usuários de executar tarefas administrativas delegadas no ambiente.

No Capítulo 4, "A diretiva de linha de base de servidor membro", este guia recomenda incluir o grupo Convidados na lista de usuários e grupos a quem é atribuído esse direito de usuário, a fim de fornecer o nível mais alto possível de segurança. No entanto, a conta IUSR usada para acesso anônimo ao IIS é membro do grupo Convidados por padrão.

A configuração Negar acesso a este computador pela rede é definida para incluir as contas LOGON ANÔNIMO, Administrador interna, Support_388945a0, Convidado e todas as contas de serviço que NÃO sejam de sistema operacional para hosts bastiões no ambiente SSLF definido neste guia.


Opções de segurança

As configurações de opções de segurança da BHLP para hosts bastiões são as mesmas especificadas no arquivo SSLF-Member Server Baseline.inf no Capítulo 4, "A diretiva de linha de base de servidor membro". Essas configurações da BHLP garantem que todas as opções de segurança relevantes sejam configuradas uniformemente em todos os servidores hosts bastiões.


Configurações do log de eventos

As configurações de log de eventos da BHLP para hosts bastiões são as mesmas especificadas no arquivo SSLF-Member Server Baseline.inf no Capítulo 4, "A diretiva de linha de base de servidor membro". Essas configurações da BHLP garantem que todas as configurações de log de eventos relevantes sejam configuradas uniformemente em todos os servidores hosts bastiões.


Configurações adicionais de segurança

As configurações de segurança aplicadas pela BHLP aumentam significativamente a segurança dos servidores hosts bastiões. No entanto, há algumas configurações adicionais a serem consideradas. Essas configurações não podem ser aplicadas por meio de diretiva local e devem ser concluídas manualmente em todos os servidores hosts bastiões.

Adicionar manualmente grupos de segurança exclusivos às atribuições de direitos do usuário

A maioria das atribuições de direitos de usuário aplicadas via MSBP tem os grupos de segurança apropriados especificados nos modelos de segurança que acompanham este guia. No entanto, existem algumas contas e grupos de segurança que não podem ser incluídos nos modelos porque seus SIDs (identificadores de segurança) são específicos a domínios individuais do Windows Server 2003. A configuração da atribuição de direitos de usuário na tabela a seguir devem ser configuradas manualmente.

Aviso: a tabela a seguir contém valores para a conta interna Administrador. Essa conta não deve ser confundida com o grupo de segurança interno Administradores. Se o grupo de segurança Administradores for adicionado ao direito de usuário com “Acesso negado” especificado, você precisará fazer logon localmente para corrigir o erro.

Além disso, a conta Administrador interna pode ter sido renomeada, como recomendado no Capítulo 4, "A diretiva de linha de base de servidor membro". Ao adicionar a conta Administrador a um direito de usuário, tome o cuidado de especificar a conta renomeada.

Tabela 12.3 Atribuições de direitos de usuário adicionadas manualmente

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Negar acesso a este computador pela rede

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional

Conta Administrador interna; Support_388945a0;

Convidado; todas as contas de serviço que NÃO são do sistema operacional


Importante: a configuração “Todas as contas de serviço que NÃO são do sistema operacional” inclui contas de serviço usadas para aplicativos específicos em toda a empresa, mas NÃO inclui as contas SISTEMA LOCAL, SERVIÇO LOCAL nem SERVIÇO DE REDE (as contas internas usadas pelo sistema operacional).

Protegendo contas bem conhecidas

O Windows Server 2003 com SP1 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, você deve renomear a conta Administrador interna e alterar sua descrição para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra essa conta de Administrador se você a renomear com um nome exclusivo.

Para proteger contas bem conhecidas em servidores hosts bastiões

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em cada servidor.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os servidores, um invasor que consiga acessar um servidor poderá acessar todos os outros.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas a um local protegido.


Relatório de erros

Tabela 12.4 Configurações recomendadas para relatório de erro

Configuração

Cliente Herdado

Cliente Corporativo

Segurança Especializada – Funcionalidade Limitada

Desativar Relatório de Erros do Windows

Ativada

Ativada

Ativada


Esse serviço ajuda a Microsoft a rastrear e tratar erros. Você pode configurar esse serviço para gerar relatórios de erros do sistema operacional, erros de componentes do Windows ou erros de programas. Ele está disponível somente no Windows XP Professional e no Windows Server 2003.

O serviço de Relatório de Erros pode informar tais erros à Microsoft pela Internet ou por um compartilhamento de arquivo interno. Embora os relatórios de erros potencialmente possam conter dados confidenciais, a política de privacidade da Microsoft com referência à informação de erros assegura que a Microsoft não usará tais dados de maneira imprópria. Porém, os dados são transmitidos em HTTP de texto simples, que pode ser interceptado na Internet e visto por terceiros.

A configuração Desativar Relatório de Erros do Windows controla se o serviço Relatório de Erros transmite dados.

É possível definir essa configuração de diretiva no Windows Server 2003 no seguinte local no Editor de objeto de diretiva de grupo:

Configuração do computador\Modelos administrativos\Sistema\Gerenciamento da comunicação da Internet\Configurações de comunicação da Internet

Defina a configuração Desativar Relatório de Erros do Windows como Ativada na BHLP para todos os três ambientes definidos neste guia.


Criando a diretiva usando o ACS

Para implantar as configurações de segurança necessárias, use tanto o Assistente de Configuração de Segurança (ACS) quanto os modelos de segurança incluídos na versão para download deste guia para criar uma diretiva de servidor.

Ao criar sua própria diretiva, não deixe de ignorar as seções “Configurações de Registro” e “Diretiva de Auditoria”. Essas configurações são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos que seriam configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, use hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Durante as etapas de criação de diretiva de servidor, você provavelmente removerá a função de servidor de arquivos da lista de funções detectadas. Essa função é geralmente configurada em servidores que não a exigem e pode ser considerada um risco à segurança. A fim de ativar a função de servidor de Arquivos em servidores que a requeiram, aplique uma segunda diretiva mais tarde neste processo.

Para criar a diretiva de host bastião

  1. Crie uma nova instalação do Windows Server 2003 com SP1 em um novo computador de referência.

  2. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  3. Instale e configure apenas os aplicativos obrigatórios que devem constar de cada host bastião. Exemplos incluem utilitários antivírus ou antispyware.

  4. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  5. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o host bastião (por exemplo, servidor Web). Remova todas as outras funções de servidor.

  6. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente. Remova todos os recursos de cliente desnecessários. Por exemplo, remova os recursos de Cliente da rede Microsoft e Cliente DHCP para reduzir a superfície de ataque do servidor.

  7. Para obter proteção máxima, remova todas as opções administrativas, com exceção do Firewall do Windows. Opções adicionais aumentarão a possibilidade de gerenciamento do host bastião, mas também aumentarão a sua superfície de ataque. Pondere cuidadosamente os benefícios de quaisquer opções que não sejam cruciais à operação adequada do host bastião com relação aos riscos potenciais à segurança que elas representam.

  8. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  9. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativar. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  10. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de Rede" e clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows. Desmarque todas as portas, exceto as que forem necessárias à função de host bastião.

  11. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  12. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  13. Inclua o modelo de segurança apropriado (por exemplo, SSLF-Bastion Host.inf).

  14. Salve a diretiva com um nome apropriado (por exemplo, Host Bastião.xml).


Testar a diretiva usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Visto que os computadores na função de host bastião não são conectados a um domínio, você deve aplicar as configurações com o ACS. Não é possível usar a Diretiva de Grupo sem um domínio.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em www.microsoft.com/brasil/technet/centralwindows/servicepack1/default.mspx
 e a Security Configuration Wizard Documentation em http://go.microsoft.com/fwlink/?linkid=43450 (site em inglês).

Implementar a diretiva

Após testar exaustivamente a diretiva, execute as etapas a seguir para implementá-la:

  1. Inicie o ACS.

  2. Selecione Aplicar uma diretiva de segurança existente.

  3. Selecione o arquivo XML criado anteriormente. Por exemplo, Host Bastião.xml.

  4. Conclua as tarefas no Assistente do ACS para aplicar as configurações.


Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Agora é preciso executar um teste final para verificar se o ACS aplica as configurações desejadas. Para completar esse procedimento, verifique se as configurações apropriadas foram feitas e se a funcionalidade não foi afetada.


Resumo

Como servidores hosts bastiões que executam o Windows Server 2003 com SP1 não estão protegidos por outros dispositivos, como firewalls, eles ficam expostos a ataques externos. Eles devem ser protegidos tanto quanto possível, de modo a maximizar sua disponibilidade e minimizar a possibilidade de comprometimento. Os servidores hosts bastiões mais seguros limitam o acesso somente a contas altamente confiáveis e ativam apenas os serviços necessários à realização plena de suas funções.

Este capítulo explicou as configurações e os procedimentos que podem ser usados para proteger os servidores hosts bastiões e torná-los mais seguros. Várias das configurações podem ser aplicadas por meio da Diretiva de Grupo local. Orientações sobre como configurar e aplicar configurações manuais também foram fornecidas.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de servidores hosts bastiões que executam o Windows Server 2003 com SP1.

  • Para obter mais informações sobre como criar redes privadas, consulte "Firewalls and Virtual Private Networks" por Elizabeth D. Zwicky, Simon Cooper e Brent D. Chapman em www.wiley.com/legacy/compbooks/press/0471348201_09.pdf (documento em inglês).

  • Para obter mais informações sobre firewalls e segurança, consulte "Internet Firewalls and Security – A Technology Overview" por Chuck Semeria em www.itmweb.com/essay534.htm (site em inglês).

  • Para obter informações sobre o modelo de defesa em profundidade, consulte a página do U.S. Military About defense in depth em http://usmilitary.about.com/careers/usmilitary/library/glossary/d/bldef01834.htm (site em inglês).

  • Para obter informações sobre salvaguardas contra intrusos, consulte "Intruder Detection Checklist" por Jay Beale em www.cert.org/tech_tips/intruder_detection_checklist.html (site em inglês).

  • Para obter mais informações sobre como proteger hosts bastiões, consulte o artigo da SANS Info Sec Reading Room "Hardening Bastion Hosts" em www.sans.org/rr/whitepapers/basics/420.php (site em inglês).

  • Para obter informações adicionais sobre hosts bastiões, consulte "How Bastion Hosts Work" em http://thor.info.uaic.ro/~busaco/teach/docs/intranets/ch16.htm (site em inglês).

  • Para obter informações sobre como solucionar problemas na Ferramenta Configuração e Análise de Segurança, consulte o artigo "Problems After You Import Multiple Templates Into the Security Configuration and Analysis Tool" na Base de Dados de Conhecimento Microsoft em http://support.microsoft.com/?kbid=279125 (site em inglês).

  • Para obter informações sobre segurança de local, consulte "Site Security Handbook" em www.faqs.org/rfcs/rfc2196.html (documento em inglês).



Neste artigo


Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões


Cc163137.pageLeft(pt-br,TechNet.10).gif 13 de 19 Cc163137.pageRight(pt-br,TechNet.10).gif
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft. Todos os direitos reservados.