Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Visão geral

Atualizado em: 27 de dezembro de 2005

O Guia de Segurança do Windows Server 2003 fornece recomendações específicas sobre como proteger computadores que executam o Microsoft® Windows Server™ 2003 com Service Pack 1 (SP1) em três ambientes empresariais distintos – um que precisa dar suporte a sistemas operacionais mais antigos, como Windows NT® 4.0 e Windows® 98, um com o Windows 2000 como a versão mais recente do sistema operacional Windows em uso, e um em que a preocupação com a segurança é tão grande que uma significativa perda de funcionalidade e gerenciamento do cliente é considerada uma opção aceitável em troca da segurança máxima. Esses três ambientes serão denominados, respectivamente, ambiente Cliente Herdado (LC), Cliente Corporativo (EC) e Segurança Especializada – Funcionalidade Limitada (SSLF) em todo este guia.

Orientações sobre como proteger computadores nesses três ambientes são fornecidas para um grupo de funções de servidor distintas. As contramedidas descritas e as ferramentas fornecidas pressupõem que cada servidor tem uma única função. Se for necessário combinar funções em alguns servidores do ambiente, você poderá personalizar os modelos de segurança incluídos na versão de download do guia para criar a combinação adequada de serviços e opções de segurança. As funções de servidor a que este guia se refere incluem:

  • Controladores de domínio que também fornecem serviços DNS

  • Servidores de infra-estrutura que fornecem serviços WINS e DHCP

  • Servidores de arquivos

  • Servidores de impressão

  • Servidores Web que executam o Microsoft Internet Information Services (IIS)

  • Servidores IAS (Serviço de Autenticação da Internet)

  • Servidores de serviços de certificados

  • Hosts bastiões


Esforços significativos foram empregados a fim de tornar este guia bem organizado e facilmente acessível, de modo que você possa localizar rapidamente as informações que precisa e determinar as configurações adequadas aos computadores em sua organização. Embora este guia se destine a clientes corporativos, muitas das informações que contém são apropriadas a organizações de qualquer porte.

Para aproveitar ao máximo este material, você deverá ler todo o guia. Também convém consultar o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Nesta página

A quem este guia se destina
Visão geral do guia
Recursos relacionados
Faça seus comentários
Serviços de consultoria e atendimento

A quem este guia se destina

Este guia foi criado principalmente para consultores, especialistas em segurança, arquitetos de sistemas e profissionais de TI responsáveis pelas etapas de planejamento do desenvolvimento de infra-estruturas e aplicativos, e pela implementação do Windows Server 2003. Este guia não se destina a usuários domésticos.

Especialistas em segurança e arquitetos de TI podem necessitar de informações mais detalhadas sobre as configurações de segurança que são discutidas neste guia. Mais informações podem ser encontradas no guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e no Windows XP em http://go.microsoft.com/fwlink/?LinkId=15159.


Visão geral do guia

Capítulo 1: Introdução ao Guia de Segurança do Windows Server 2003

Esse capítulo fornece uma visão geral do Guia de Segurança do Windows Server 2003 e traz uma descrição breve de cada capítulo. Descreve os ambientes de Cliente Herdado, Cliente Corporativo e Segurança Especializada – Funcionalidade Limitada, assim como os computadores neles executados.

Capítulo 2: Mecanismos de proteção do Windows Server 2003

Esse capítulo fornece uma visão geral dos principais mecanismos usados neste guia para proteger o Windows Server 2003 com SP1: o Assistente de Configuração de Segurança (ACS) e a Diretiva de Grupo do Active Directory. Explica como o ACS fornece uma estrutura interativa para criar, administrar e testar diretivas de segurança para computadores com o Windows Server 2003 que desempenham diferentes funções de servidor. Também avalia as funções do ACS no contexto dos três ambientes descritos no Capítulo 1.

A próxima parte desse capítulo fornece descrições de alto nível dos Objetos de Diretiva de Grupo (GPO), da diretiva de domínio e dos designs do Active Directory, da unidade organizacional (UO) e do grupo administrativo. Esses tópicos são discutidos no contexto dos três ambientes descritos no Capítulo 1 a fim de se fornecer uma visão de um ambiente idealmente protegido.

Este capítulo termina com um exame detalhado de como este guia combina os melhores recursos do ACS e as abordagens tradicionais baseadas em GPO para proteger o Windows Server 2003 com SP1.

Capítulo 3: A diretiva de domínio

Este capítulo explica as configurações de modelo de segurança e as contramedidas adicionais para as diretivas de nível de domínio nos três ambientes descritos no Capítulo 1. O capítulo não se concentra em nenhuma função de servidor específica, mas nas diretivas e configurações específicas úteis às diretivas de domínio de nível superior.

Capítulo 4: A diretiva de linha de base de servidor membro

Este capítulo enfoca como estabelecer uma Diretiva de Linha de Base de Servidor Membro (MSBP) para as funções de servidor discutidas mais adiante no guia.

Capítulo 5: A diretiva de linha de base do controlador de domínio

A função de servidor de controlador de domínio é uma das mais importantes a se proteger em ambientes do Active Directory com computadores que executam o Windows Server 2003 com SP1. Qualquer perda ou comprometimento de um controlador de domínio pode afetar seriamente os computadores clientes, os servidores e os aplicativos que dependem dos controladores de domínio para autenticação, Diretiva de Grupo e diretório central LDAP. Nos três ambientes definidos no guia, os controladores de domínio também fornecem serviços DNS.

Capítulo 6: A função de servidor de infra-estrutura

Nesse capítulo, a função de servidor de infra-estrutura se caracteriza por fornecer serviços DHCP ou WINS. São fornecidos detalhes sobre como os servidores de infra-estrutura que executam o Windows Server 2003 com SP1 em seu ambiente podem se beneficiar das configurações de segurança que não são aplicadas pela Diretiva de Linha de Base de Servidor Membro (MSBP).

Capítulo 7: A função de servidor de arquivos

Este capítulo enfoca como proteger computadores que funcionam como servidores de arquivos e porque é um desafio proteger tais servidores. Os serviços mais essenciais fornecidos pelos servidores de arquivos exigem protocolos relacionados ao Windows NetBIOS, assim como os protocolos SMB (Server Message Block) e CIFS (Common Internet File System). Os protocolos SMB e CIFS são normalmente usados para proporcionar acesso aos usuários autenticados, mas, quando protegidos de maneira inadequada, também podem expor muitas informações a usuários não autenticados ou invasores. Devido a essa ameaça, esses protocolos freqüentemente são desativados em ambientes de alta segurança. Este capítulo descreve como servidores de arquivos que executam o Windows Server 2003 com SP1 podem se beneficiar de configurações de segurança que não são aplicadas pela MSBP.

Capítulo 8: A função de servidor de impressão

Este capítulo se concentra em servidores de impressão. Assim como acontece com os servidores de arquivos, os serviços mais essenciais fornecidos pelos servidores de impressão exigem protocolos relacionados ao Windows NetBIOS, assim como os protocolos SMB e CIFS. Conforme dito anteriormente, os protocolos SMB e CIFS com freqüência são desativados em ambientes com alto nível de segurança. Este capítulo descreve como as configurações de segurança dos servidores de impressão que executam o Windows Server 2003 com SP1 podem ser reforçadas de maneiras que não são aplicadas pela MSBP.

Capítulo 9: A função de servidor Web

Este capítulo descreve como a segurança abrangente de sites e aplicativos depende de um servidor IIS inteiro (inclusive cada site e aplicativo executado no servidor IIS) para sua proteção com relação a computadores clientes no ambiente. Os sites e aplicativos também devem ser protegidos contra outros sites e aplicativos executados no mesmo servidor IIS. As práticas destinadas a assegurar que essas medidas sejam alcançadas pelos servidores IIS que executam o Windows Server 2003 com SP1 em seu ambiente são descritas nesse capítulo.

Capítulo 10: A função de servidor IAS

Servidores IAS (Internet Authentication Servers) fornecem RADIUS (Remote Authentication Dial-in User Service), um protocolo de autenticação de baseado em padrões, projetado para verificar a identidade dos clientes que acessam as redes remotamente. Este capítulo descreve maneiras como servidores IAS que executam o Windows Server 2003 com SP1 podem se beneficiar de configurações de segurança que não são aplicadas pela MSBP.

Capítulo 11: A função de servidor de serviços de certificados

Os serviços de certificados fornecem serviços de criptografia e gerenciamento de certificados, necessários para desenvolver uma PKI (infra-estrutura de chave pública) no ambiente de servidor. Este capítulo descreve maneiras como servidores de Serviços de Certificados que executam o Windows Server 2003 com SP1 podem se beneficiar de configurações de segurança que não são aplicadas pela MSBP.

Capítulo 12: A função de hosts bastiões

Os servidores de host bastião são acessíveis a computadores clientes pela Internet. Neste capítulo, explicamos como esses sistemas expostos publicamente são suscetíveis a ataques por um grande número de usuários que podem permanecer completamente anônimos, se assim o desejarem. Visto que muitas organizações não estendem sua infra-estrutura de domínio à Internet, esse capítulo enfoca como proteger computadores autônomos que executam o Windows Server 2003 com SP1 mas não pertencem a um domínio baseado no Active Directory.

Capítulo 13: Conclusão

O capítulo final deste guia resume brevemente o material apresentado nos capítulos anteriores.

Apêndice A: Ferramentas e formatos de segurança

Embora o Guia de Segurança do Windows Server 2003 se concentre em como usar o ACS para criar diretivas que são então convertidas em modelos de segurança e objetos de Diretiva de Grupo, há diversas outras ferramentas e formatos de dados que podem ser usados para incrementar ou substituir essa metodologia. Este apêndice fornece uma breve lista dessas ferramentas e formatos.

Apêndice B: Principais configurações a serem consideradas

O Guia de Segurança do Windows Server 2003 discute muitas contramedidas e configurações de segurança, mas é importante compreender que algumas delas são especialmente importantes. Este apêndice discute as configurações de maior impacto na segurança de computadores que executam o Windows Server 2003 com SP1.

Apêndice C: Resumo da configuração de modelo de segurança

Esse apêndice apresenta a pasta de trabalho do Microsoft Excel® "Windows Server 2003 Security Guide Settings", que é incluída entre as ferramentas e modelos na versão de download do guia em http://go.microsoft.com/fwlink/?LinkId=14846. Essa planilha fornece uma referência abrangente, em um formato útil e compacto, de todas as configurações recomendadas para os três ambientes definidos neste guia.

Apêndice D: Testando o Guia de Segurança do Windows Server 2003

O Guia de Segurança do Windows Server 2003 fornece uma quantidade considerável de informações sobre como proteger servidores que executam o Windows Server 2003 com SP1, mas o leitor é advertido constantemente a testar e validar todas as configurações antes de implementá-las em um ambiente de produção.

Este apêndice fornece orientações sobre como criar um ambiente adequado de laboratório de teste para ajudar a assegurar a implementação bem-sucedida das configurações recomendadas em um ambiente de produção. Ele ajuda os usuários a executar a validação necessária e minimiza a quantidade de recursos necessários para tal.

Ferramentas e modelos

Uma coleção de modelos de segurança, scripts e ferramentas adicionais acompanha a versão de download deste guia para facilitar a avaliação, teste e implementação das contramedidas recomendadas pela sua organização. Os modelos de segurança são arquivos de texto que podem ser importados para Diretivas de Grupo baseadas em domínio ou aplicados localmente com o snap-in de Configuração e Análise de Segurança do Console de Gerenciamento Microsoft (MMC). Esses procedimentos são detalhados no Capítulo 2, "Mecanismos de proteção do Windows Server 2003". Este guia inclui scripts para criar e vincular objetos de Diretiva de Grupo, assim como para teste das contramedidas recomendadas.


Recursos relacionados

Para obter informações adicionais sobre as configurações de segurança prescritas neste guia, baixe o guia complementar Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP em http://go.microsoft.com/fwlink/?LinkId=15160 e o Guia de Segurança do Windows XP em http://go.microsoft.com/fwlink/?LinkId=14840. Outras soluções de segurança da equipe do Microsoft Solutions for Security and Compliance (MSSC) estão disponíveis em www.microsoft.com/technet/community/columns/sectip/st0805.mspx (site em inglês).


Faça seus comentários

A equipe do Microsoft Solutions for Security and Compliance (MSSC) gostaria de saber o que você pensa sobre esta e outras soluções de segurança.

Tem uma opinião? Deixe-nos conhecê-la no blog de soluções de segurança para profissionais de TI.

Ou envie seus comentários por email para o seguinte endereço: SecWish@microsoft.com. Respondemos com freqüência a comentários enviados para esta caixa de correio.

Estamos ansiosos por receber seus comentários.


Serviços de consultoria e atendimento

Existem muitos serviços para ajudar as empresas em seus esforços para aumentar a segurança. Use os links a seguir para obter ajuda na busca dos serviços desejados:

Para produtos Microsoft Gold Certified Partners, Microsoft Certified Technical Education Centers, Microsoft Certified Partners e produtos de fornecedores independentes de software (ISVs - independent software vendors) que usam tecnologia Microsoft, pesquise o Microsoft Resource Directory em http://directory.microsoft.com/resourcedirectory/Solutions.aspx.

Para localizar os serviços de consultoria e atendimento adequados para as necessidades de sua empresa, visite o site de Serviços Microsoft em http://support.microsoft.com/msservices.



Neste artigo


Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões


1 de 19 Cc163140.pageRight(pt-br,TechNet.10).gif
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft