Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Como configurar as tecnologias de proteção de rede no Windows XP SP2 em um ambiente de pequena empresa

Publicado em: 10 de dezembro de 2004 | Atualizado em: 21 de julho de 2006

Nesta página

Introdução
Antes de começar
Aplicar patches de segurança
Atualizar os GPOs existentes
Configurar GPOs
Sobre as configurações de segurança do Internet Explorer
Aplicando novas configurações com GPUpdate
Informações relacionadas

Introdução

O serviço de diretório Active Directory® oferece um meio de gerenciar centralmente a configuração de segurança de estações de trabalho e servidores de uma pequena empresa. Este serviço oferece um ambiente de estações de trabalho mais seguro e fácil de gerenciar.

Este artigo aborda o gerenciamento centralizado de estações de trabalho que executam o Microsoft® Windows® XP com Service Pack 2 (SP2). A aplicação de objetos da Diretiva de Grupo em estações de trabalho para fins de gerenciamento de segurança depende inteiramente do Active Directory.

Objetivo deste documento

Diferentes empresas têm necessidades de segurança diversas. Independente do alto grau dos requisitos de segurança de cada cliente, os conceitos deste artigo podem ser usados para auxiliar nos esforços de gerenciamento de segurança da estação de trabalho.


Antes de começar

Você deve ter feito logon como membro do grupo Administradores de Domínio para realizar os seguintes procedimentos.

Observação   Se não for capaz de fazer alterações em uma estação de trabalho ou servidor, o motivo pode ser uma Diretiva de Grupo. Nesse caso, você precisará fazer as alterações no nível de Diretiva de Grupo.

Conclua as tarefas deste documento para configurar as tecnologias de proteção de rede do Windows XP SP2 com Diretiva de Grupo:

  • Aplicar patches de segurança

  • Atualizar os GPOs existentes

  • Configurar a Central de Segurança

  • Configurar o Firewall do Windows

  • Definir as configurações do Internet Explorer

  • Definir as configurações de gerenciamento das comunicações da Internet

  • Aplicar configurações com o GPUpdate


Aplicar patches de segurança

A Microsoft recomenda que você aplique os patches de segurança e service packs mais atuais em todas as estações de trabalho e servidores Windows. É sempre recomendável fazer backup do computador ou de arquivos importantes antes de instalar patches.

Observação   Algumas funcionalidades deste artigo e alguns recursos essenciais de segurança dependem dos patches/hotfixes mais recentes. Se os controladores de domínio não forem os mais recentes, eles talvez não possuam os modelos administrativos necessários para estações de trabalho com Windows XP SP2 dentro do GPO. Sem os modelos administrativos os novos recursos de segurança SP2 não estarão disponíveis.


Atualizar os GPOs existentes

A melhor maneira de gerenciar GPOs no Active Directory é com o Microsoft Group Policy Management Console (GPMC), que pode ser baixado do site da Microsoft em www.microsoft.com/windowsserver2003/gpmc/gpmcintro.mspx (em inglês). Essa alternativa pode ser usada no lugar do snap-in MMC com Editor de Objeto de Diretiva de Grupo.

O GPMC também usa o Editor de Objeto de Diretiva de Grupo para editar GPOs.

  1. Dentro do GPMC, clique duas vezes no GPO que deseja atualizar com o novo modelo administrativo. O GPO será aberto no Editor de Objeto de Diretiva de Grupo.

  2. Clique em OK e em Concluir. Essa ação aplicará o novo modelo.

  3. Repita a operação para cada GPO.


Configurar GPOs

Realize os procedimentos a seguir para configurar GPOs em seu ambiente.

Configurar a Central de Segurança

É possível ativar o Security Center de cada estação de trabalho no controle de Diretiva de Grupo. O Security Center, quando instalado, pode informar cada usuário sobre o status do Windows Firewall, antivírus e configurações das Atualizações automáticas da estação de trabalho. Por padrão, a Diretiva de Grupo não ativa este recurso.

  1. Abra o GPMC e clique duas vezes no GPO que deseja usar para impor a Central de Segurança em cada estação de trabalho.

  2. Dentro do GPO selecionado, abra Configuração do Computador, Modelos Administrativos, Componentes do Windows e Central de Segurança.

  3. Clique duas vezes em Ativar a Central de Segurança (PCs em domínios somente).

  4. Ative essa configuração.

  5. Clique em OK.


Configurar o Firewall do Windows

Esta seção descreve as configurações do Windows Firewall em um GPO e as configurações recomendadas para um ambiente de pequena empresa.

  1. Dentro do GPO selecionado, abra Configuração do Computador, Modelos Administrativos, Rede, Conexões de rede, Windows Firewall e Perfil do Domínio.

  2. Clique duas vezes em cada configuração e defina-a de acordo com as informações da tabela a seguir.

    Observação   Após ativar Definir exceções de programa no perfil do domínio, você deve inserir todos os programas que têm permissão para fazer conexões com seus computadores antes de clicar em OK.


Tabela 1. Configurações do Windows Firewall Recomendadas para Pequenas Empresas

Configuração

Descrição

Perfil do domínio

Proteger todas as conexões de rede

Especifica que todas as conexões da rede tenham o Firewall do Windows ativado.

Ativado.

Não permitir exceções

Especifica que todo o tráfego não solicitado seja descartado, incluindo o tráfego excetuado.

Não configurado.

Definir exceções de programa

Define o tráfego excetuado em termos de nomes de arquivos de programa.

Ativado e configurado com os programas (aplicativos e serviços) usados pelos computadores baseados em Windows XP SP2 de sua rede.

Autorizar exceções de programa locais

Ativa a configuração local de exceções de programa.

Desativado.

Autorizar exceção de administração remota

Ativa a configuração remota por meio de ferramentas.

Desativado, a menos que você deseje administrar remotamente seus computadores com snap-ins MMC.

Autorizar exceções no compartilhamento de arquivos e impressoras

Especifica se o tráfego de compartilhamento de arquivos e impressoras é permitido.

Desativado.

Autorizar exceções ICMP

Especifica os tipos de mensagens ICMP permitidas.

Desativado.

Autorizar exceção de área de trabalho remota

Especifica se o computador pode aceitar uma solicitação de conexão remota baseada na área de trabalho.

Ativado.

Autorizar exceção de estrutura UPnP

Especifica se o computador pode receber mensagens UPnP não solicitadas.

Desativado.

Proibir notificações

Desativa as notificações.

Desativado.

Autorizar registro em log

Autoriza o registro do tráfego e a configuração de arquivos de registro.

Não configurado.

Proibir resposta de difusão ponto-a-ponto a requisições de difusão ou de difusão seletiva

Descarta os pacotes de difusão ponto-a-ponto recebidos em resposta a uma mensagem de requisição de difusão ou de difusão seletiva.

Ativado.

Definir exceções de porta

Especifica o tráfego excetuado em termos de TCP e UDP.

Desativado.

Autorizar exceções de porta locais

Autoriza a configuração local de exceções de porta.

Desativado.


Para obter mais detalhes, consulte "How to Configure Windows Firewall in a Small Business Environment using Group Policy" em www.microsoft.com/technet/security/smallbusiness/prodtech/windowsxp/fwgrppol.mspx (em inglês).


Sobre as configurações de segurança do Internet Explorer

As opções de diretiva de Segurança permitem gerenciar cenários específicos que podem afetar a segurança do Internet Explorer. Na maioria dos casos, deseja-se prevenir comportamentos específicos. Portanto, você deve verificar se os recursos de segurança estão ativados. A Microsoft recomenda o Internet Explorer 6 porque seus novos recursos aumentam a segurança do navegador.

Zonas de segurança

O Internet Explorer categoriza os sites em quatro zonas de segurança e cada uma delas oferece níveis diferentes de segurança. As zonas de segurança são Internet, Intranet local, Sites confiáveis e Sites restritos. Cada zona pode ser configurada de forma independente com seus níveis de segurança variando de Alto a Baixo. O Internet Explorer também oferece a capacidade de definir um conjunto personalizado de opções de segurança para cada zona de segurança. A Microsoft definiu configurações de segurança padrão para cada zona. A tabela a seguir oferece uma descrição de cada zona de segurança e a configuração de segurança padrão da Microsoft.

Tabela 2. Descrições das zonas de segurança e configurações de segurança padrão

Zona de segurança

Nível de segurança padrão

Descrição

Zona da Internet

Média

A zona da Internet consiste em todos os sites que não são incluídos nas outras zonas.

Observação   A ameaça da Internet é muito real. A Microsoft se preocupa tanto em proteger seus usuários contra ameaças da Internet que você não pode mudar este nível de segurança para Baixo, nem mesmo pelo botão Nível Personalizado.

Zona da intranet local

Média-baixa.

Todos os sites desta zona devem estar dentro do firewall.

Zona de sites confiáveis

Baixa

Os sites da zona de sites confiáveis são autorizados a realizar mais operações e exige menos decisões de segurança dos usuários. Os sites só devem ser adicionados a essa categoria caso seu conteúdo seja totalmente confiável e jamais realize operações perigosas em seus computadores.
Para a zona de sites confiáveis, a Microsoft recomenda que você use o protocolo HTTPS (protocolo de transmissão de hipertexto, seguro) ou que as conexões do site sejam completamente seguras.

Zona de sites restritos

Alta

Esta zona foi criada para autorizar a adição de sites considerados não confiáveis. Ela controla e restringe os recursos da Web, mas não bloqueia acessos ao site. Os sites podem ser adicionados pelo usuário ou aplicado pela Diretiva de Grupo. Para bloquear o acesso a sites você pode usar um servidor proxy que ofereça suporte a este recurso.


Aumentando a segurança

Cada zona de segurança contém mais de 30 configurações que podem ser modificadas individualmente para aumentar as áreas específicas da funcionalidade. A maioria das configurações oferece a opção de permanecer ativada ou desativada, ou consultar o usuário. A Microsoft recomenda que seus clientes limitem o número de configurações de opção que consultam o usuário em todas as zonas de segurança. Diretivas rígidas de segurança da informação limitam as permissões de usuários e impedem que eles realizem ações que possam comprometer a segurança. As configurações da zona segurança devem ser definidas e agrupadas por zona — usar um simples conjunto de definições para todas as zonas não é recomendável. A tabela a seguir oferece uma "amostra" de algumas configurações padrão entre as zonas de segurança. Essas e outras configurações podem ser modificadas para atender as necessidades da empresa.

Tabela 3. Configurações de Diretiva de Zona de Segurança

Zona de segurança

Configurações de diretiva

Zona da Internet

Usar Bloqueador de Pop-ups = Ativado
Aviso automático para controles ActiveX = Desativado
Baixar controles ActiveX assinados = Perguntar
Download de arquivos = Ativado

Zona da intranet local

Usar Bloqueador de Pop-ups = Desativado
Aviso automático para controles ActiveX = Ativado
Baixar controles ActiveX assinados = Perguntar
Download de arquivos = Ativado

Zona de sites confiáveis

Usar Bloqueador de Pop-ups = Desativado
Aviso automático para controles ActiveX = Ativado
Baixar controles ActiveX assinados = Ativado
Download de arquivos = Ativado

Zona de sites restritos

Usar Bloqueador de Pop-ups = Ativado
Aviso automático para controles ActiveX = Desativado
Baixar controles ActiveX assinados = Desativado
Download de arquivos = Desativado


O ActiveX® é uma potente plataforma de desenvolvimento e expansão da Web que enriquece a experiência online do usuário. Muitos clientes empresariais usam os controles ActiveX para aplicativos internos de linha de negócios. Portanto, o ActiveX deve estar ativado no Internet Explorer. Seus padrões de segurança e diretivas de uso aceitável talvez exijam a desativação do ActiveX para a zona da Internet. Desligar os controles ActiveX (pela Diretiva de Grupo ou pela definição do controle da zona de segurança para Alto) pode resultar no mau funcionamento de alguns sites. A Microsoft recomenda que as empresas definam as diretivas de modo a abordar essa questão e preparar uma estratégia que permita o acesso baseado em justificativas comerciais.

O ActiveX é uma questão de segurança devido à sua capacidade de executar comandos dentro do console do navegador. Recomenda-se que o ActiveX seja executado somente em sites confiáveis.

Você encontrará uma explicação mais detalhada das zonas de segurança e opções de configuração no artigo "Setting Up Security Zones" em www.microsoft.com/windows/ie/using/howto/security/setup.mspx (em inglês).

Privacidade/Cookies

Na tentativa de oferecer experiências online mais personalizadas e consistentes, alguns sites guardam informações em pequenos arquivos de texto em seu computador. Esses arquivos são chamados de cookies. O Internet Explorer 6 possui diversos mecanismos para controlar o uso de cookies.

Há diversos tipos de cookies. Cookies primários não podem ser lidos por outros sites além do site que os emitiu. Por outro lado, há também os cookies secundários, usados por entidades para gravar dados sobre os visitantes. Cookies secundários são usados por diversos sites. Os dados neles contidos podem variar entre ID de usuários, senhas e números de CEP.

  • Cookies primários. Podem ser lidos somente pelo site emissor.

  • Cookies secundários. Podem ser lidos e gravados por diversos sites.


Os usuários podem não estar cientes de que podem controlar dados armazenados em cookies. O simples ato de marcar uma caixa de seleção para lembrar do endereço de cobrança pode deixar dados indesejados em um cookie primário ou secundário.

Todas as empresas devem determinar sua própria diretiva com relação a cookies. A Microsoft recomenda que a definição mínima seja Média. Essa definição bloqueia cookies secundários que não tenham políticas de privacidade compactas ou que usem informações pessoais identificáveis sem consentimento explícito. Além disso, ela restringe cookies primários que usam informações pessoais identificáveis sem consentimento implícito. A definição Alta limita todos os cookies. As outras definições autorizam cookies em algumas situações. A definição Baixa autoriza todos os cookies, sem exceções.

Os sites adicionados podem ignorar a definição geral. As opções para adicionar um site são Sempre Bloquear ou Sempre Permitir. Independentemente de optar por ser mais ou menos restritivo, você poderá adicionar sites. A Diretiva de Grupo pode ser usada não só para impor as definições de cookie, como também os sites.

Observação   Os cookies não podem ser controlados dentro de cada zona. A definição é manifestada nas quatro zonas de segurança.

Bloqueador de Pop-ups

O Bloqueador de Pop-ups bloqueia janelas de pop-up indesejadas. Janelas de pop-up abertas quando o usuário clica em um link não são bloqueadas. O Bloqueador de Pop-ups pode ser configurado com base nas zonas, de modo que os pop-ups sejam bloqueados em sites de uma zona e não das outras. A Diretiva de Grupo pode ser usada para impor o Bloqueador de Pop-ups em cada zona e adicionar uma lista de sites autorizados.

Pop-ups podem ser numerosos, inconvenientes e persistentes, dificultando o uso do navegador. Toda vez que um pop-up é bloqueado ele é marcado na barra de ferramentas do Internet Explorer.

Observação   O Bloqueador de Pop-ups pode ser controlado dentro de cada zona, mas sites autorizados podem ser adicionados nas quatro zonas.

Programas da Internet

O Internet Explorer pode ser configurado para acionar outros programas para enviar emails, gerenciar contatos ou para exibir a origem da página. Por exemplo, quando o usuário clica no endereço de email de uma página da Web, o Internet Explorer abre o programa de email definido com uma mensagem de email de saída já endereçada. Esse recurso oferece um meio eficiente de enviar um email sem ter que abrir outro programa e digitar o endereço de email manualmente. Entretanto, esse recurso adicional cria um possível risco. Os usuários podem enfrentar um comportamento ou funcionalidade inesperados caso os programas associados sejam diferentes dos aplicativos padrão da empresa. A Diretiva de Grupo pode ser usada para impor as definições da lista de programas, garantindo, até certo ponto, que um programa indesejado não seja acionado.

Complementos

Complementos são pequenos programas criados para realizar funções específicas e podem ser carregados, se necessário, por uma página da Web. Barras de ferramentas e objetos auxiliares do navegador (BHO) são outros tipos de programas que instalam botões e recursos adicionais para aumentar a funcionalidade do navegador. A Microsoft recomenda que as empresas definam uma lista de barras de ferramentas e BHOs aceitáveis e usem a Diretiva de Grupo para impor essas definições.

Muitos desenvolvedores usam a plataforma ActiveX para criar ferramentas de modo a aumentar a produtividade ou aprimorar a funcionalidade. A Microsoft recomenda que os desenvolvedores continuem oferecendo esses complementos, mas reconhece a necessidade de implantar complementos de fontes confiáveis. O Internet Explorer 6 oferece a tecnologia Authenticode para validar a autenticidade de um complemento por meio de assinaturas digitais. A Microsoft recomenda que as empresas autorizem somente a presença de complementos assinados na Zona da Internet. Os sites da zona da intranet local talvez não exijam a assinatura do Authenticode, já que esses complementos são provavelmente elaborados por desenvolvedores internos confiáveis.

Configurando a Diretiva de Grupo para o Internet Explorer 6

Todos os recursos de segurança do Internet Explorer 6 podem ser configurados e assegurados pela Diretiva de Grupo. Há um grande número de definições de segurança baseadas em GPO para gerenciar os diversos componentes do IE. Portanto, para o propósito deste documento, nos concentramos nas quatro ramificações principais (a, b, c e d no procedimento a seguir). O Editor de Objeto de Diretiva de Grupo oferece detalhes sobre as ramificações de todas as definições sob as quatro ramificações principais. Leia cuidadosamente todas as descrições e teste a eficiência das definições desejadas antes de realizar a implementação.

  1. Abra o GPMC (Console de Gerenciamento de Diretiva de Grupo).

  2. Crie um novo GPO. Por exemplo, Internet Explorer 6.

  3. As diretivas do Internet Explorer são contidas dentro das quatro ramificações da árvore de diretivas no Editor de Objeto de Diretiva de Grupo. Configure todos os objetos de diretiva em todas as quatro ramificações para atender aos requisitos de sua empresa.

    1. Configuração do Computador, Modelos Administrativos, Componentes do Windows, Internet Explorer

      Dentro dessa ramificação, há diretivas de segurança adicionais para travar as definições de segurança para além do navegador. Uma das diretivas mais úteis é Zonas de segurança: Não autorize os usuários a alterar essas diretivas. Essa diretiva é desativada por padrão no GPO. Quando ativada, ela não permite que o usuário altere nenhuma definição de segurança dentro das definições do navegador. A Microsoft recomenda que elas seja definida como Ativada. Mesmo os administradores locais não podem alterar essas definições uma vez que tenham sido configuradas pela Diretiva de Grupo. Há uma porção de outras diretivas que podem ser ativadas, algumas são de segurança e outras não. Leia cuidadosamente suas descrições antes de ativá-las.

    2. Configuração do Computador, Modelos Administrativos, Sistema, Configurações de Comunicação da Internet

      Essa ramificação é específica do Windows XP SP2. Ela contém 20 novas diretivas que variam entre recursos de publicação na Web e suporte a multimídia. Uma diretiva, Desativar o serviço de associação de arquivos pela Internet, evita que o navegador abra aplicativos associados a extensões de arquivos baixados de algum site. Essa função é semelhantes à função do sistema operacional quando abre automaticamente o Notepad.exe para nomes de arquivos com a extensão .txt. Outra diretiva, Desativar impressão via HTTP, é destinada a restringir que um usuário imprima pela Internet/intranet usando HTTP. Essa diretiva não afeta a capacidade do usuário em hospedar uma impressora HTTP própria. Leia cuidadosamente suas descrições antes de ativá-las.

    3. Configuração do Usuário, Configurações do Windows, Manutenção do Internet Explorer, Segurança, Programas

      Essas duas seções contém definições/diretivas que afetam a segurança do navegador. As duas seções contêm definições de nível de usuário encontradas nas definições de segurança/privacidade do próprio navegador. É recomendável usar o padrão mínimo Microsoft, mas as configurações devem ser definidas para atender os requisitos da empresa.

      Observação   Os sites podem ser adicionados a todas as zonas, com exceção da zona da Internet. Escolha cuidadosamente os sites adicionados à zona da intranet local, de sites confiáveis e de sites restritos, já que eles se aplicam a todas as estações de trabalho e servidores vinculados ao GPO.

    4. Configuração do Usuário, Modelos Administrativos, Componentes do Windows, Internet Explorer

      Essa ramificação contém definições detalhadas para restrição de alterações de definições do navegador, em vez de restringir completamente que os usuários façam alterações. Essas definições se aplicam a alterações de itens como controle de Arquivos de Internet temporários e mudança da página inicial. Essa ramificação contém muitas opções de definição e a Microsoft recomenda que os administradores leiam e testem seus efeitos antes de usá-los em um ambiente de produção.


  4. Quando concluir o trabalho no editor de diretivas, vincule o GPO a todos os seus domínios a estações de trabalho e servidores Windows.

  5. Configure a Filtragem de segurança do GPO de acordo com os grupos, usuário e computadores que deveriam ser por ele afetados. Algumas diretivas são criadas para computadores e outras se aplicam somente a usuários.


Aplicando novas configurações com GPUpdate

O utilitário GPUpdate atualiza configurações de Diretiva de Grupo baseadas no Active Directory. Após configurar a Diretiva de Grupo, você pode aguardar até que as configurações sejam aplicadas aos computadores dos clientes pelos ciclos padrão de atualização. Por padrão, esses ciclos de atualização acontecem a cada 90 minutos, com um deslocamento arbitrário de mais ou menos 30 minutos. Esse procedimento pode agilizar o teste do envio de diretiva às estações de trabalho.

Para atualizar a Diretiva de Grupo entre ciclos padrão, use o utilitário GPUpdate da seguinte forma:

  1. Na área de trabalho do Windows XP SP2, clique em Iniciar, Executar.

  2. Na caixa Abrir, digite cmd e clique em OK. Uma janela do prompt de comando será exibida.

  3. No prompt de comando, digite GPUpdate e clique em OK. Você deveria ver a mensagem mostrada na captura de tela a seguir:


    XPNPT01.GIF


    Para fechar o prompt de comando, digite exit e pressione a tecla ENTER.


Informações relacionadas

Para obter definições de termos relacionados à segurança, consulte:


Para obter mais informações sobre a proteção de redes do Windows XP SP2, consulte:


Para obter mais informações sobre a segurança do Windows XP SP2, consulte:


Para obter mais informações sobre a Diretiva de Grupo, consulte:



Download

Baixe o artigo "Como configurar as tecnologias de proteção de rede no Windows XP SP2 em um ambiente de pequena empresa"


Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft