Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes

Capítulo 3 - Usando cartões inteligentes para ajudar a proteger contas de administrador

O Microsoft® Windows Server™ 2003 permite que as organizações ajudem a proteger as contas administrativas através de um conjunto específico de recursos de segurança de conta. Além do requisito de que os administradores façam logon com cartões inteligentes, o Windows Server 2003 dá suporte para autenticação com cartão inteligente com as seguintes ações secundárias:

  • Criar uma unidade mapeada com o comando net use.

  • Usar o serviço de logon secundário digitando runas no prompt de comando.

  • Instalar o serviço de diretório do Active Directory® usando o assistente de instalação do Active Directory (que pode ser acessado digitando dcpromo no prompt de comando).

  • Fazer logon através de sessões da Área de Trabalho Remota do Windows Server 2003

  • Fazer logon através de sessões do Terminal Server do Windows Server 2003

Observação: Embora o Microsoft Windows® 2000 dê suporte ao acesso com cartão inteligente para autenticação, ele não dá suporte a esses recursos adicionais, que estão disponíveis apenas no Windows Server 2003.

Nesta página

Abordagens para proteger contas de administrador com cartões inteligentes
Problemas e requisitos
Projetando a solução

Abordagens para proteger contas de administrador com cartões inteligentes

O suporte do Windows Server 2003 para autenticação com cartão inteligente de ações secundárias permite uma melhor separação de contas de usuário e de administrador. Para as ações diárias, os administradores podem fazer logon nas estações de trabalho com contas não administrativas. Se precisarem realizar uma tarefa administrativa, os administradores podem usar seus cartões inteligentes para autenticar a ação usando uma ação secundária. Esta é uma configuração mais segura e conveniente do que se o administrador for solicitado a digitar um nome de usuário e uma senha ou a fazer logoff e logon novamente com uma conta de administrador.

Identificação de contas de administrador e grupos

A implementação de cartões inteligentes para administradores exige que uma organização identifique as contas de administrador que exigem autenticação de dois fatores. Para realizar esse passo corretamente, você deve compreender as características das várias contas de administrador e grupos dentro do Windows XP e do Windows Server 2003.

Os grupos permitem que os administradores gerenciem várias contas de usuário ao mesmo tempo. O Microsoft Windows NT® e os sistemas operacionais posteriores incluem grupos de segurança com direitos administrativos internos.

Esses grupos de segurança podem ser grupos locais (em computadores associados a um domínio, como estações de trabalho e servidores membros) ou grupos padrão (em controladores de domínio). As contas de administrador recebem seus privilégios através da participação em um ou mais desses grupos de segurança.

Grupos locais

Os grupos locais nos computadores associados a um domínio possuem vários níveis de direitos administrativos. São elas:

  • Administradores. Os membros desse grupo têm controle total do computador local. A conta de usuário Administrador é membro desse grupo por padrão. Se o computador for membro de um domínio, o grupo Administradores do domínio para aquele domínio também é membro desse grupo.

  • Operadores de cópia (todos os tipos de computador). Os membros desse grupo podem ignorar as permissões do sistema de arquivos NTFS para fazer backup de arquivos e pastas. Os operadores de cópia também podem desligar os servidores membros.

  • Usuários avançados. Os membros desse grupo têm direitos administrativos limitados sobre os recursos em uma estação de trabalho local ou servidor membro. Eles também podem desligar um servidor membro.

  • Operadores de impressão. Os membros desse grupo podem gerenciar servidores de impressão, impressoras e trabalhos de impressão. Eles também podem desligar um servidor membro.

Para obter uma descrição completa dos grupos padrão no Windows Server 2003, consulte o tópico Grupos locais padrão em https://www.microsoft.com/brasil/security/guidance/topics/scpgc/scpgch03.mspx.

Suas diretivas de segurança organizacional devem definir quais membros dos grupos de Administradores, Operadores de servidor e Usuários avançados exigem cartões inteligentes para logon e administração.

Grupos padrão

Cada domínio tem vários grupos padrão que fornecem funções administrativas nos controladores de domínio. Esses grupos incluem:

  • Administradores. Os membros desse grupo têm controle administrativo total sobre os controladores de domínio. A conta Administrador e o grupo Administradores do domínio são membros deste grupo por padrão.

  • Operadores de cópia. Os membros desse grupo podem ignorar as permissões do sistema de arquivos NTFS para fazer backup de arquivos e pastas. Os operadores de cópia também podem fazer logon localmente e desligar os controladores de domínio.

  • Operadores de servidor. Esse grupo tem direitos administrativos limitados nos controladores de domínio, semelhante ao grupo Usuários avançados nas estações de trabalho. Os operadores de servidor podem fazer logon localmente e desligar os controladores de domínio.

  • Operadores de impressão. Os membros desse grupo gerenciam servidores de impressão, impressoras e trabalhos de impressão. Eles também podem fazer logon localmente e desligar os controladores de domínio.

  • Operadores de contas. Os membros desse grupo têm direitos limitados para gerenciar contas de usuário e grupos. Eles podem fazer logon interativo, mas não podem desligar os controladores de domínio.

Para obter mais informações sobre os grupos padrão, consulte o tópico Grupos padrão em https://go.microsoft.com/fwlink/?LinkId=81737.

As diretivas da sua organização devem especificar que todos os membros desses grupos exigem cartões inteligentes para administração.

Grupos padrão de domínio e floresta

Além dos grupos padrão, a criação de uma floresta Active Directory configura os seguintes grupos de segurança:

  • Administradores do domínio. Os membros desse grupo têm controle total sobre todos os objetos no domínio. Cada domínio subseqüente na floresta também tem um grupo Administradores do domínio.

  • Administradores de empresa (apenas domínio raiz da floresta). Os membros desse grupo têm controle total sobre todos os objetos na floresta.

  • Administradores de esquemas (apenas domínio raiz da floresta). Os membros desse grupo podem criar classes e atributos no esquema, assim como gerenciar o mestre de operações do esquema.

    Observação: Para aumentar a segurança, mantenha a participação nesses três grupos a um mínimo.

Todos os membros desses grupos devem exigir cartões inteligentes para administração.

Exigir cartão inteligente para logon interativo

Há dois modos de exigir um cartão inteligente para logon interativo. Você pode configurar:

  • As propriedades da conta de usuário em Usuários e computadores do Active Directory.

  • A Diretiva de Grupo para computadores específicos ou para grupos de computadores específicos.

Na maioria dos ambientes, a abordagem mais gerenciável é usar Diretiva de Grupo.

Propriedades da conta de usuário    

Você pode configurar qualquer conta de usuário para exigir um cartão inteligente para logon interativo. Para fazer isso, em Usuários e computadores do Active Directory, clique duas vezes no usuário, clique na guia Conta e, em Opções da conta, selecione a caixa de seleção O cartão inteligente é necessário para o logon interativo. A seleção dessa opção altera a senha do usuário para um valor complexo aleatório e configura a propriedade A senha nunca expira. Se a exigência de cartão inteligente for desativada, também será necessário redefinir a senha do usuário.

Como a configuração da exigência de cartão inteligente redefine a senha do usuário para um valor desconhecido, o usuário não pode mais usar uma combinação de nome de usuário e senha para fazer logon no domínio. Por isso, o usuário não pode fazer logon em programas como o Microsoft Outlook® Web Access para Microsoft Exchange Server 2003 com um nome de usuário e senha.

Você pode usar um script para permitir essa configuração durante a inscrição. Entretanto, esse método exige que você desenvolva scripts adequados que possam habilitar e desabilitar a exigência de cartão inteligente para determinados indivíduos.

Com a exigência de cartão inteligente para conta de usuário selecionada, o administrador deve usar um cartão inteligente para fazer logon interativo em qualquer computador no domínio, não apenas nos servidores protegidos. Isso pode ser inconveniente se nem todos os computadores tiverem leitores de cartão inteligente.

Se você impor o uso de cartão inteligente através das propriedades da conta de usuário, os administradores não poderão administrar remotamente os computadores com Windows 2000 Server. As sessões de Serviços de Terminal do Windows 2000 Server não oferecem suporte para redirecionamento de cartão inteligente, portanto o administrador deve fazer logon localmente para gerenciar quaisquer computadores Windows 2000. Esse requisito pode ser muito inconveniente se o administrador estiver em um local diferente do servidor.

Diretiva de grupo

Uma abordagem mais gerenciável consiste em usar as configurações de Diretiva de Grupo para especificar que certos computadores exigem cartões inteligentes para logon interativo, e controlar o que acontece quando um usuário remove um cartão inteligente. Você pode criar GPOs (Objetos de Diretiva de Grupo) com essas configurações e vincular as GPOs à UO (unidade organizacional) que contém o computador para o qual você exige logon com cartão inteligente. O caminho para as opções de cartões inteligentes na Diretiva de Grupo é Configuração do Computador\Configurações do Windows\Configurações de Segurança\Diretivas Locais\Opções de Segurança. As configurações são Logon interativo: requer um cartão inteligente e Logon interativo: comportamento de remoção de cartão inteligente.

Observação: Esta configuração exige Windows XP com Service Pack 2 ou uma atualização para esta configuração. Para obter mais informações, consulte o artigo Atualização para a configuração de segurança "Logon interativo: requer um cartão inteligente" no Windows XP (em inglês) na Base de Conhecimento em https://support.microsoft.com/?id=834875.

Para maior segurança, você deve exigir cartões inteligentes para logon interativo e então definir a diretiva de remoção de cartão inteligente para bloquear a estação de trabalho ou desconectar o usuário. Essas configurações de Diretiva de Grupo devem fazer parte de um GPO personalizado que se aplique aos administradores. Os GPOs podem aplicar-se no nível de site, domínio ou UO. Na maioria dos casos, os GPOs que aplicam configurações de cartão inteligente se aplicam a uma UO.

Observação: A Microsoft recomenda que você modifique a Diretiva de Controladores de Domínio Padrão ou a Diretiva de Domínio Padrão para incluir configurações de cartão inteligente ou quaisquer outras alterações de diretiva. Sempre crie um novo GPO ou use um GPO existente para definir as configurações de Diretiva de Grupo para logon com cartão inteligente.

As configurações de Diretiva de Grupo para cartões inteligentes controlam o logon interativo e não afetam o acesso a um servidor na rede. O logon interativo inclui logon com Área de Trabalho Remota ou Serviços de Terminal.

A Microsoft recomenda que você implemente cartões inteligentes para administradores com outros mecanismos de controle, como configurações de IPsec ou Diretiva de Grupo, para prevenir o gerenciamento de um servidor com ferramentas de administração remota, como as ferramentas do MMC (Microsoft Management Console).

Gerenciando o acesso com cartão inteligente em múltiplos domínios e florestas

A implementação de cartões inteligentes para administradores exige que você compreenda as questões relacionadas com múltiplos domínios e florestas. Por exemplo, os administradores que são membros do grupo Administradores do domínio em mais de uma floresta podem precisar de um cartão inteligente para cada floresta na qual tenham direitos administrativos. Esse requisito faz com que esses administradores precisem ter vários cartões inteligentes.

Embora os cartões inteligentes possam conter mais de um certificado, o Windows Server 2003 atualmente pode aceitar apenas um certificado de logon com cartão inteligente (o certificado localizado no slot 0 do cartão inteligente) para cada raiz de certificado de CA (autoridade de certificação). Essa restrição pode exigir que alguns administradores de rede tenham múltiplos cartões inteligentes, a menos que a organização tenha relações de confiança entre florestas.

Protegendo os servidores

Os computadores que executam serviços, como arquivos e impressão, bancos de dados, email e diretórios, exigem níveis mais elevados de segurança que as estações de trabalho. Em particular, você deve considerar o uso de autenticação com cartão inteligente para todas as contas que administram computadores com as seguintes funções:

  • Controladores de domínio

  • Servidores de bancos de dados

  • Servidores de certificados

  • Servidores de arquivos e de impressão

Protegendo os controladores de domínio

Os controladores de domínio são os computadores mais importantes para o uso de autenticação de dois fatores, pois contêm e controlam todas as informações de conta do domínio e aplicam regras de segurança a cada conta. Se um invasor violar um controlador de domínio, ele poderá criar uma nova conta, elevar privilégios ou acessar todos os controladores de domínio como um administrador.

Protegendo servidores de bancos de dados

Um servidor de bancos de dados armazena informações críticas para a operação de uma organização. Essas informações armazenadas podem estar sujeitas a rígidos processos de check-in e check-out, com auditoria de controle de solicitações de acesso a dados. Os exemplos de servidores de bancos de dados incluem servidores que armazenam o código-fonte para uma empresa de software, a receita secreta de um fabricante de bebidas ou informações de contas de clientes. A autenticação com cartão inteligente deve proteger o acesso a todos os servidores de bancos de dados.

A organização deve identificar os servidores de alta segurança e trabalhar com seus proprietários para alterar o tipo de conta na qual é executado o serviço ou a tarefa agendada, ou colocar as contas e os servidores em grupos de segurança especiais que tenham maiores restrições de acesso e de usuário.

Protegendo servidores de certificados

Os servidores que hospedam autoridades de certificação e Serviços de Certificados precisam ter um alto nível de segurança. A violação da autoridade de certificação invalida a integridade da organização, tornando todos os certificados emitidos desprotegidos. Os servidores que hospedam Serviços de Certificados devem ter a mais alta prioridade de segurança, tanto para o acesso pela rede como para o acesso físico.

Protegendo servidores de arquivos e de impressão

Um servidor de arquivo pode hospedar documentos corporativos importantes e informações confidenciais. A violação dessas informações pode prejudicar as receitas futuras ou incorrer em penalidades de entidades reguladoras. A autenticação com cartão inteligente deve proteger absolutamente os servidores de impressão que imprimem faturas ou talões de cheque bancários.

Para obter mais informações sobre os recursos de segurança no Windows Server 2003, consulte o Guia de Segurança do Windows Server 2003 em https://go.microsoft.com/fwlink/?LinkId=14845

Instalando leitores de cartão inteligente em servidores

Você deve anexar um leitor de cartão inteligente a cada servidor no qual a Diretiva de Grupo exija cartões inteligentes para logon interativo. Os computadores montados em rack têm portas USB na parte posterior, que são adequadas para o uso com leitores de cartão inteligente. O leitor de cartão inteligente pode então ser colocado na parte frontal do rack para acesso do usuário. É importante rotular os leitores de cartão inteligente com clareza, para que os administradores saibam que leitor pertence a qual servidor.

Se um administrador precisar fazer logon em outro servidor, ele deve remover seu cartão inteligente do primeiro leitor e inseri-lo no leitor conectado no outro computador. Esta inconveniência torna a administração de servidores com Área de Trabalho Remota significativamente mais atraente.

Distribuindo cartões inteligentes

O planejamento do processo de distribuição de cartões inteligentes para administradores inclui as seguintes atividades:

  • Criação de grupos adequados para distribuição de cartões inteligentes.

  • Nomeação de oficiais de segurança que possam atuar como agentes de inscrição.

  • Seleção de um método adequado para o transporte dos cartões.

  • Realização de rígidas verificações de identificação.

Crie um grupo de segurança de espera que contenha as contas de administrador selecionadas. Solicite também que um grupo de segurança contenha as contas ativadas. Parte do processo de inscrição envolve a transferência das contas de administrador do grupo de espera para o grupo ativado.

O processo de distribuição exige a nomeação de responsáveis pela segurança. Esses responsáveis pela segurança podem então:

  • Entregar os cartões inteligentes à estação de inscrição.

  • Atuar como agentes de inscrição.

  • Realizar verificações de identificação.

As verificações de identificação devem ser rigorosas. Os administradores devem ser verificados pessoalmente pelo oficial de segurança através de um documento de identidade adequado, como um passaporte ou carteira de motorista, e sua identidade deve ser confirmada pelo gerente do departamento.

As organizações também devem verificar os antecedentes de seus administradores. Essas verificações são particularmente importantes nos setores financeiros, ou para qualquer organização que esteja sujeita a exigências regulamentares. Para obter mais informações sobre verificações de segurança dos antecedentes de administradores, consulte o Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques em https://go.microsoft.com/fwlink/?LinkId=41309.

Ativando cartões inteligentes

A ativação de cartão inteligente deve ocorrer em um local seguro, como o escritório usado para emitir passes que permitem o acesso a instalações. O oficial de segurança configura uma estação de inscrição com dois leitores de cartão inteligente e faz logon com o seu cartão inteligente.

Depois que o oficial de segurança confirma a identidade do administrador, ele faz uma solicitação de certificado para a conta de usuário. Ele abre um novo cartão inteligente e instala o certificado solicitado. Em seguida, ele transfere a conta Administrador do grupo de pendência para o grupo ativado. Por fim, ele anota o número serial do cartão antes de entregá-lo ao administrador.

O administrador então usa a ferramenta de redefinição de PIN para redefinir o PIN padrão, ou usa a ferramenta de desbloqueio de PIN em conjunto com o servidor Web de ativação para definir um novo PIN. O cartão inteligente do administrador agora está pronto para o uso.

Gerenciando cartões inteligentes

A implementação de cartões inteligentes não é uma ação única, pois os certificados de segurança incorporados nos cartões exigem gerenciamento, e você deve enfrentar situações de administradores que esquecem ou perdem seus cartões inteligentes ou têm seus cartões roubados. Você deve estabelecer procedimentos aplicáveis e um orçamento adequado ao gerenciamento de cartão inteligente.

Gerenciamento de exceções

Sua organização precisa desenvolver um plano que dê enfoque em como gerenciar situações nas quais os cartões inteligentes de administradores são esquecidos, perdidos ou roubados. A maneira como sua organização implementa o plano depende de como os requisitos de logon de cartão inteligente são adotados em sua organização.

Se sua organização tiver optado por adotar um requisito de logon de cartão inteligente nas contas de usuário no Active Directory, você poderá conceder facilmente uma exceção ao usuário afetado em tal situação. O método de concessão da exceção seria remover o requisito de logon de cartão inteligente da conta e, em seguida, redefinir a senha depois de garantir que a configuração O usuário deve alterar a senha no próximo logon esteja ativada. Em seguida, você pode fornecer a senha para o proprietário da conta e, depois de um período considerável, ativar novamente o requisito. Para aplicar este método, em Usuários e Computadores do Active Directory, clique duas vezes no nome do usuário, clique na guia Conta e, em seguida, em Opções da Conta, desmarque a caixa de seleção para O cartão inteligente é necessário para o logon interativo e marque a caixa de seleção para O usuário deve alterar a senha no próximo logon. Clique em OK e, em seguida, no menu de contexto, clique com o botão direito do mouse no nome do usuário e selecione Redefinir Senha para definir a senha e adotar esses requisitos para o administrador.

Se sua organização usar a Diretiva de Grupo para adotar o requisito de logon de cartão inteligente, não há uma maneira de criar uma exceção para um usuário neste momento. Neste caso, você determinará uma diretiva adequada para sua organização que os administradores podem seguir caso esqueçam ou percam seus cartões inteligentes.

No caso de cartões inteligentes esquecidos, você poderá implementar uma série de respostas. Por exemplo, uma diretiva pode exigir que os administradores retornem para casa para recuperar cartões inteligentes colocados em locais errados.

Se sua organização terceirizar sua infra-estrutura de cartão inteligente, você poderá implementar uma diretiva que exija que um administrador mantenha alguns cartões inteligentes genéricos com certificados restritos a contas de usuários específicos no local. Se um usuário perder um cartão inteligente, um administrador poderá emitir temporariamente um desses cartões inteligentes genéricos para o usuário, compreendendo que o usuário é responsável por quaisquer medidas tomadas para acessar recursos com a conta genérica. Em tal diretiva, recomenda-se que o administrador que mantenha os cartões inteligentes genéricos redefina o PIN de senha no cartão inteligente sempre antes de emiti-lo a um usuário.

Se sua organização mantiver sua própria infra-estrutura de cartão inteligente, você poderá emitir um novo certificado com uma curta duração para uma conta de usuário genérica. Diante deste método de gerenciamento de exceções, o administrador seria novamente responsável pelo uso da conta genérica para acessar os recursos.

Finalmente, quando um administrador perder um cartão inteligente, sua organização deverá instituir uma diretiva para emitir um novo cartão inteligente ao administrador e revogar o certificado antigo do administrador.

Revogação de certificado

Em algumas circunstâncias, pode ser necessário revogar um certificado, como por exemplo, em caso de violação da chave particular, alteração das atribuições pelo usuário do cartão inteligente, ou quando o usuário deixa a organização. Quando um certificado é revogado, esta ação publica detalhes sobre o certificado no local da lista de certificados revogados (CRL). Geralmente este local é apresentado como URL ou caminho de rede UNC.

Um certificado emitido inclui uma lista dos pontos de distribuição, onde um servidor de autenticação pode verificar o status do certificado em relação à CRL. Para obter mais informações sobre revogação de certificado, consulte o tópico Revogando certificados e publicando CRLs em https://www.microsoft.com/technet/prodtechnol/windowsserver2003/pt-br/library/ServerHelp/7d82b420-10ef-4f20-a56f-17ee7ee352d2.mspx.

Renovação de certificado

A data de validade do certificado digital em um cartão inteligente depende das configurações no modelo de certificado usado para criar o certificado do cartão inteligente. Os certificados para uso com cartão inteligente geralmente possuem validade de seis meses a dois anos.

Quando um certificado aproxima-se de sua data de validade, ele precisa ser renovado para garantir que o proprietário possa continuar a usá-lo ou substituí-lo. Na renovação de certificado, o solicitador da renovação já possui um certificado. A renovação leva em consideração as informações do certificado atual quando a solicitação de renovação é enviada. A partir desse momento, é possível renovar um certificado com uma nova chave ou usar a chave atual.

Inscrição automática de certificado

A inscrição automática de certificado é um recurso dos Serviços de Certificados do Windows Server 2003 Enterprise Edition, que assina automaticamente uma solicitação de renovação usando o certificado existente para obter um novo certificado. Esse recurso ajuda no gerenciamento de um grande número de certificados. Para obter mais informações sobre a inscrição automática de certificado, consulte Inscrição automática de certificado no Windows Server 2003 (em inglês) em https://go.microsoft.com/fwlink/?LinkId=69027.

Monitorando o uso de cartão inteligente

Os administradores usam contas habilitadas para uso com cartão inteligente quando realizam operações com privilégios elevados, como a reinicialização do servidor, o gerenciamento de contas de usuário e a configuração de permissões de arquivo. Os administradores mal-intencionados ou com pouco treinamento apresentam um potencial significativo para danificar a sua infra-estrutura de rede. Portanto, você deve monitorar seus logs de segurança para registrar quando os administradores fazem logon e logoff com seus cartões inteligentes.

Ferramentas de gerenciamento empresarial, como o MOM (Microsoft Operations Manager) 2005, que podem monitorar e avaliar logs de eventos de segurança, são adequadas para o monitoramento do uso de cartão inteligente. Para obter mais informações sobre como monitorar logs de eventos de segurança, consulte o Guia de Planejamento de Monitoramento de Segurança e Detecção de Ataques em https://go.microsoft.com/fwlink/?LinkId=41309.

Problemas e requisitos

Esta seção descreve os problemas e os requisitos específicos enfrentados pelo Woodgrove National Bank durante o projeto da solução para proteger as contas de administrador com cartões inteligentes.

Panorama

O Woodgrove National Bank possui vários servidores críticos que exigem um rígido controle administrativo e acesso seguro. Os administradores atualmente fazem sua autenticação nesses servidores críticos usando uma combinação de nome de usuário e senha. Usuários não autorizados tentaram acessar servidores críticos com credenciais roubadas.

Questões comerciais

O Woodgrove National Bank identificou os três seguintes problemas sobre continuidade dos negócios e responsabilidade administrativa:

  • Responsabilidade. O departamento de TI não pode verificar as alterações críticas aos servidores feitas pelos administradores que usam autenticação via nome de usuário e senha, pois os administradores freqüentemente compartilham credenciais.

  • Proteção de credenciais. Usuários mal-intencionados ou desonestos que roubam credenciais de administradores podem afetar seriamente a reputação da organização e gerar custos financeiros através de tempo de inatividade. A autenticação com cartão inteligente reduziria significativamente a possibilidade de roubo de credenciais de administrador.

  • Continuidade dos negócios. Como o Woodgrove National Bank não pode permitir que os serviços da empresa sejam interrompidos por alterações na configuração de rede, é fundamental adotar uma abordagem bem planejada durante a fase de implementação da solução de cartão inteligente.

Questões técnicas

O departamento de TI do Woodgrove National Bank identificou os seguintes problemas técnicos que devem ser superados para implementar a solução de cartão inteligente:

  • Suporte para leitores de cartão inteligente. Cada servidor que os administradores precisam acessar com um cartão inteligente deve dar suporte de hardware para um leitor de cartão inteligente.

  • Implementação de práticas recomendadas operacionais. A integridade de uma implantação de cartão inteligente depende de gerenciamento e manutenção de longo prazo eficazes. O departamento de TI do Woodgrove National Bank deve implementar as práticas recomendadas operacionais descritas pelo MOF (Microsoft Operations Framework).

  • Tarefas agendadas executadas com direitos de administrador em um servidor de uso restrito com cartão inteligente. O Woodgrove National Bank executa tarefas agendadas que usam contas com privilégios de nível de administrador. O Woodgrove National Bank precisa verificar essas contas e, onde possível, usar contas que não precisem de privilégios administrativos. O Woodgrove National Bank também deve implementar um grupo de exclusão permanente que inclua todas as contas que executem tarefas agendadas, de forma que essas contas fiquem isentas da exigência de logon com cartão inteligente.

  • Integração com UNIX. O Woodgrove National Bank opera em um ambiente heterogêneo, portanto é importante que haja integração entre cartão inteligente e computadores que executam UNIX. O Woodgrove National Bank planeja investigar produtos como o TrustBroker, da CyberSafe Limited, que oferece autenticação integrada com cartão inteligente tanto para Windows como para UNIX.

Problemas de segurança

O objetivo do uso de cartões inteligentes para ajudar a proteger contas de administrador é melhorar a segurança e a responsabilidade. O departamento de TI do Woodgrove National Bank identificou os seguintes problemas de segurança que o banco deve solucionar antes de implantar a solução:

  • Distribuição e ativação. A distribuição e a ativação dos cartões inteligentes são importantes para manter a integridade de toda a solução. Como o Woodgrove National Bank possui instalações em todo o mundo, o departamento de TI do Woodgrove não pode distribuir cartões inteligentes a partir de um único local-fonte. A verificação dos destinatários do cartão inteligente é um fator importante na manutenção da integridade do projeto. O Woodgrove National Bank planeja implantar equipes de segurança que usem dados de identificação do departamento de Recursos Humanos, para garantir que cada cartão inteligente seja emitido para a pessoa certa.

  • Estratégia de concessão de direitos administrativos com menos privilégios. O Woodgrove National Bank deve verificar seu atual modelo de administração de rede e reduzir o número de contas de usuário e de serviço executadas com privilégios administrativos totais. O banco deve atribuir aos administradores somente os privilégios de que precisam para exercer suas funções. A análise e a redução do número de contas de administrador podem ajudar na implantação, no monitoramento e no gerenciamento contínuo da solução de cartão inteligente.

  • Gerenciamento de contas de serviço. O departamento de TI do Woodgrove analisou as contas de serviço de programas e garantiu que o menor número possível de serviços será preciso para o contexto de segurança de administrador. Vários programas estão marcados para receber atualizações ou para serem substituídos.

  • Um cartão inteligente para cada floresta em uma relação de confiança total. O Woodgrove National Bank tem duas florestas vinculadas através de uma relação de confiança bidirecional. Embora um cartão inteligente possa armazenar múltiplos certificados, o Windows Server 2003 usa apenas o certificado localizado no slot 0 do cartão inteligente para logon interativo. Essa característica faz com que os administradores de rede que trabalham com múltiplas florestas não vinculadas precisem de múltiplos cartões inteligentes. Entretanto, um administrador com cartão inteligente tem acesso a recursos em todas as florestas com as quais a floresta que autentica o administrador tem uma relação de confiança total, a menos que uma restrição de segurança na floresta de confiança cancele este acesso.

  • Gerenciamento do PIN. A segurança e a integridade da solução de cartão inteligente aumenta se os usuários podem alterar seus PINs com facilidade. Portanto, o departamento de TI do Woodgrove National Bank adquiriu ferramentas de gerenciamento de PIN adequadas de um fornecedor de cartão inteligente selecionado.

Requisitos da solução

Após a análise do piloto inicial, o departamento de TI do Woodgrove desenvolveu os requisitos específicos da solução. A solução empregada pelo Woodgrove National Bank para ajudar a proteger contas de administrador com cartões inteligentes deve:

  • Garantir que os servidores protegidos exijam um cartão inteligente válido para logon interativo, secundário, ou de área de trabalho remota.

  • Distribuir e ativar os cartões inteligentes de modo seguro e em tempo hábil.

  • Fornecer uma auditoria do acesso aos servidores protegidos e reunir os dados de segurança resultantes em um repositório central.

  • Habilitar o gerenciamento e o monitoramento do uso de cartão inteligente.

  • Garantir a rápida revogação dos certificados violados, como os de cartões inteligentes perdidos ou roubados.

  • Fornecer uma estrutura para o gerenciamento contínuo.

O Woodgrove National Bank identificou vários problemas comerciais, técnicos e de segurança que surgiram durante o planejamento inicial. O departamento de TI do Woodgrove realizou uma análise para solucionar esses problemas e conduziu testes de soluções alternativas e correções. O Woodgrove National Bank criou planos detalhados para a fase de implantação da solução.

Projetando a solução

Após compreender os problemas comerciais, técnicos e de segurança que a solução de cartão inteligente deve solucionar, você pode projetar a solução mais adequada ao seu ambiente. O processo de design identifica os elementos essenciais e analisa os requisitos para o planejamento da solução de um ponto de vista lógico.

O Woodgrove National Bank realizou essa avaliação. Esta seção descreve os problemas resultantes do planejamento inicial que os arquitetos de sistemas do Woodgrove National Bank levaram em consideração, as conclusões a que chegaram e as decisões de design que tomaram.

Esta seção apresenta as escolhas de projeto feitas pelo departamento de TI do Woodgrove National Bank para ajudar a proteger contas de administrador através do uso de cartões inteligentes. Ela detalha o conceito da solução e seus pré-requisitos, além de descrever a arquitetura planejada pelo Woodgrove National Bank.

Conceito da solução

Na solução proposta, todas as atividades de administração de servidor exigem a autenticação da identidade do administrador através da apresentação de um certificado armazenado em um cartão inteligente e seu PIN correspondente. A solução usa uma combinação de configurações de Diretiva de Grupo, certificados de usuário X.509 versão 3 (v3), cartões inteligentes e leitores de cartão inteligente. A solução exige a instalação de um certificado X.509 v3 no cartão inteligente.

Para fazer logon em um servidor, o administrador insere o cartão inteligente em um leitor de cartão inteligente instalado no computador. Ao inserir o cartão, o sistema operacional exibe uma mensagem solicitando o PIN. Em seguida, o administrador digita o PIN para o cartão inteligente. Se o PIN for correto, o administrador poderá acessar o servidor com direitos administrativos.

Pré-requisitos da solução

Ao iniciar um projeto desta natureza, é necessário cumprir com alguns pré-requisitos. Esses pré-requisitos incluem o recrutamento da equipe de projeto, a consulta da base de usuários, a implementação de testes ou pilotos e a necessidade de atualizar hardware e software para atender aos requisitos da solução.

Equipes administrativas de consultoria

Uma consideração importante ao alterar os serviços de um usuário consiste em consultar os usuários e os grupos envolvidos. Em troca, os usuários precisam entender o que podem esperar ou não do serviço. A consulta mútua e o gerenciamento das expectativas do usuário são freqüentemente fundamentais para a aceitação do usuário. É preciso estabelecer objetivos mensuráveis para avaliar o sucesso total do projeto de modo racional. Esses objetivos devem incluir a redução de incidentes relacionados à segurança associados com credenciais roubadas.

O Woodgrove National Bank opera em vários países/regiões do mundo e usa centros de suporte regionais. A equipe de projeto inicial examinou atentamente as equipes administrativas em todas as instalações para identificar os servidores candidatos à solução de cartão inteligente. A equipe também identificou os servidores cuja atualização não seria possível para atender aos pré-requisitos da solução dentro de um prazo aceitável.

Recrutamento de uma equipe de projeto

Verifique se possui o pessoal certo e as qualificações adequadas à implementação de um projeto desta natureza. A equipe de projeto provavelmente precisará de informações dos seguintes cargos representativos:

  • Gerente de programa

  • Arquiteto de sistemas de informações

  • Analista ou integrador de sistemas

  • Engenheiros de sistemas

  • Gerente de lançamento de produtos

  • Gerente de teste de produtos

  • Gerente de suporte ou assistência técnica

  • Especialistas de suporte ao usuário

  • Oficiais de segurança

Para obter mais informações sobre cargos representativos e associações com funções MOF, consulte Informes oficiais suplementares do Microsoft Solutions Framework – Taxonomia ocupacional de TI (em inglês) em www.microsoft.com/downloads/details.aspx?FamilyID=839058c3-d998-4700-b958-3bedfee2c053

Caso você não possua certas qualificações disponíveis dentro da empresa, recrute funcionários adicionais. Como o projeto geralmente não exige o envolvimento de todos os funcionários em todos os estágios, você deve estipular a disponibilidade individual necessária durante todo o projeto.

Arquitetura da solução

A implementação de uma solução de cartão inteligente para ajudar a proteger contas de administrador exige:

  • Active Directory

  • Diretiva de grupo

  • PKI (infra-estrutura de chave pública) do Windows Server 2003, Enterprise Edition

  • Que os servidores executando Windows Server 2003 tenham leitores de cartão inteligente

  • Estações de inscrição

  • Personalização de cartões inteligentes

  • Ferramentas de gerenciamento de PIN

Antes da implementação da solução, o Woodgrove National Bank executou os seguintes procedimentos:

  • Atualizou os serviços de certificados com Windows Server 2003, Enterprise Edition ou posterior.

  • Atualizou todos os servidores gerenciados com Windows Server 2003 para dar suporte ao logon interativo que usa Serviços de Terminal. Este requisito depende da compatibilidade de aplicativo.

  • Personalizou os modelos de usuário de certificado de cartão inteligente e definiu as permissões adequadas.

  • Criou e testou GPOs para imposição do uso de cartão inteligente, exclusões temporárias e permanentes.

O departamento de TI do Woodgrove National Bank também implementou soluções para os seguintes desafios:

  • Distribuição de cartões inteligentes

  • Ativação de cartões inteligentes

  • Gerenciamento e suporte de cartões inteligentes

  • Gerenciamento de exceções

Distribuição de cartões inteligentes

Antes da distribuição do cartão inteligente, o departamento de TI do Woodgrove National Bank colocou seus administradores em um grupo de segurança de espera do Active Directory. Uma equipe de oficiais de segurança foi encarregada de verificar as identidades dos administradores e de distribuir os cartões inteligentes. Depois que o cartão foi entregue ao administrador, o departamento de TI transferiu aquela pessoa do grupo de espera para o grupo de usuário de cartão inteligente. Em seguida, o administrador pôde acessar o servidor Web de ativação para ativar seu cartão inteligente e alterar o PIN.

Ativação de cartões inteligentes

Como os administradores receberam seus cartões inteligentes em situação de pendência, era necessário ativá-los antes de usar. O administrador ativa o cartão inteligente quando o insere em um leitor de cartão inteligente, digita um desafio e então altera o PIN.

Gerenciamento e suporte de cartões inteligentes

Embora os administradores no Woodgrove National Bank tenham bons conhecimentos tecnológicos, a equipe de implantação de cartão inteligente precisava trabalhar junto ao suporte técnico. O pessoal de suporte técnico precisava de instruções precisas para que pudessem lidar com quaisquer dúvidas que surgissem.

Gerenciamento de exceções

O Woodgrove National Bank instituiu uma diretiva corporativa para lidar com casos de cartões perdidos, roubados ou esquecidos. Para cartões perdidos ou roubados, o departamento de TI revoga todos os certificados atribuídos e emite novos cartões dentro de 24 horas. O departamento de TI lida com os administradores que esquecem de trazer seus cartões inteligentes para o trabalho, emitindo a eles cartões inteligentes temporários. Embora exista a possibilidade de um certificado ser revogado, isso não significa que o cartão inteligente será desativado ao mesmo tempo. O Woodgrove deve analisar as diretivas de CRL para fazer a correspondência com as diretivas de segurança.

Revogação de certificado

Os certificados de logon com cartão inteligente para administradores do Woodgrove National Bank usam URLs de intranet para localizar a CRL e verificar certificados revogados. O departamento de TI implementou o NLB (Balanceamento de carga de rede) do Windows para garantir uma alta disponibilidade para o site da Web que hospeda a CRL.

Renovação de certificado

O departamento de TI do Woodgrove National Bank desenvolveu um processo de renovação de certificado que exige que o gerente do administrador aprove a solicitação de renovação de cartão inteligente. Após a aprovação da solicitação pelo gerente, o certificado atual assina a solicitação de certificado, e o certificado do cartão inteligente é renovado.

Monitorando a solução

O Woodgrove National Bank usa o MOM 2005 para coletar e analisar os logs de eventos de segurança e para monitorar a disponibilidade e o desempenho da solução. A solução de cartão inteligente integra-se ao MOM, monitora logs de eventos de segurança, fornece alertas e gera relatórios de uso. O Woodgrove National Bank planeja analisar o serviço trimestralmente e gerar relatórios a partir dos dados do MOM.

Como funciona a solução

Esta seção descreve os processos detalhados que ocorrem durante a autenticação de um logon com cartão inteligente.

  1. Um administrador insere um cartão inteligente no leitor de cartão inteligente conectado no computador, e o MSGINA DLL (Microsoft Graphical Identification and Authentication) e o computador solicitam que o usuário digite um PIN.

  2. O MSGINA passa o PIN à autoridade de segurança local (LSA) e o computador usa o PIN para acessar o cartão inteligente.

  3. O pacote Kerberos do lado do cliente lê o certificado X.509 v3 e a chave particular do cartão inteligente do administrador.

  4. O pacote Kerberos envia uma solicitação de serviço de autenticação ao centro de distribuição de chaves (KDC), que é executado em um controlador de domínio, para solicitar autenticação e uma permissão de concessão de permissão (TGT). A solicitação de serviço de autenticação consiste em um PAC (Privilege Attribute Certificate), que lista o identificador de segurança (SID) do usuário, os SIDs de qualquer grupo do qual o usuário seja membro e uma solicitação ao serviço de concessão de permissões (TGS) junto a dados de pré-autenticação.

  5. O KDC verifica o caminho de certificação do certificado do usuário para garantir que o certificado seja de uma fonte confiável. O KDC usa o CryptoAPI para criar um caminho de certificação a partir do certificado do administrador para um certificado de CA raiz que reside no armazenamento de raiz no controlador de domínio. O KDC então usa o CryptoAPI para verificar a assinatura digital do autenticador que foi incluída como dados assinados nos campos de dados de pré-autenticação. O controlador de domínio verifica a assinatura e usa a chave pública do certificado do administrador para provar que a solicitação veio do proprietário da chave pública. O KDC também verifica que o emissor é confiável e está presente no armazenamento do certificado NTAUTH.

  6. O serviço do KDC recupera informações da conta de usuário do Active Directory com base no nome UPN especificado no campo Nome alternativo para a entidade no certificado do administrador. O KDC constrói um TGT a partir das informações de conta de usuário recuperadas do Active Directory. O TGT inclui o SID do administrador, os SIDs para quaisquer grupos de domínio aos quais o administrador pertença e, em um ambiente com vários domínios, os SIDs para quaisquer grupos universais dos quais o usuário seja membro. Os campos de dados de autorização do TGT incluem uma lista de SIDs.

    Observação: Um SID é um identificador de segurança que é criado para cada usuário ou grupo no momento em que uma conta de usuário ou uma conta de grupo é criada dentro do banco de dados de contas de segurança local nos computadores Windows NT ou posteriores, ou dentro do Active Directory. O SID nunca é alterado, mesmo se a conta de usuário ou de grupo for renomeada.

  7. O controlador de domínio devolve o TGT ao cliente. O cliente ou o cartão descriptografa o TGT e usa a sua chave particular para obter a chave secreta do KDC. Isso depende do tipo de cartão ou certificado usado.

  8. O cliente valida a resposta do KDC. Primeiro, ele verifica a assinatura do KDC através da construção de um caminho de certificação a partir do certificado do KDC para uma CA raiz confiável e, em seguida, usa a chave pública do KDC para verificar a assinatura da resposta.

A seguinte figura ilustra esse processo:

Dd459089.pgfg0301(pt-br,TechNet.10).gif

Figura 3.1 Processo de autenticação de logon com cartão inteligente

O departamento de TI do Woodgrove National Bank vinculou um GPO às unidades organizacionais que contêm os servidores que exigem autenticação com cartão inteligente. Esse GPO aplica as alterações às seguintes definições de configuração de computador:

  • Logon interativo requer um cartão inteligente

  • Remoção do cartão inteligente força o logoff da conta

Essas configurações ajudam a prevenir que os administradores compartilhem cartões inteligentes ou deixem um servidor desacompanhado enquanto estiverem conectados.

Estendendo a solução

O Woodgrove National Bank prevê a integração da solução de cartão inteligente ao processo de gerenciamento de alterações de servidor e aplicativo. O plano consiste em autenticar cada estágio do processo de gerenciamento de alterações e integrar esse processo ao fluxo de trabalho. Por exemplo, para efetuar alterações no servidor Web do Woodgrove seria necessária a verificação por parte de dois ou mais administradores da Web.

Resumo

O uso de cartões inteligentes para autenticar contas de usuário Administrador reduz o acesso fraudulento a computadores críticos e aumenta a integridade e a responsabilidade na administração de servidores. A implementação de cartões inteligentes para administradores beneficiará a sua organização através da redução de incidentes de segurança e da maior qualidade dos procedimentos administrativos.

Neste artigo

Download

Obtenha o Guia de Planejamento de Acesso Seguro Usando Cartões Inteligentes

Notificações de atualizações

Inscreva-se para obter informações sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários e sugestões