Windows 2000 Server
Lista de Verificação de Segurança do Windows 2000 Server
Tópicos nesta página
Configuração do Windows 2000 Server
Lista de verificação dos detalhes de configuração do Windows 2000 Server
Esta lista de verificação define as ações que devem ser tomadas para aumentar a segurança de computadores que executam o Windows 2000 Server e que façam parte ou não de um domínio Windows NT, Windows 2000 ou Windows Server 2003. Estes passos são aplicados ao Windows 2000 Server e Windows 2000 Advanced Server.
Importante O propósito desta lista de verificação é oferecer instruções para a configuração de uma referência no nível de segurança de sistemas Windows 2000. Configurações de segurança podem ser configuradas e aplicadas a servidores locais através da Ferramenta de Diretiva de Segurança. Diretivas de segurança para um domínio podem ser criadas através da Ferramenta de Diretiva de Segurança e através de Diretivas de Grupos. Este guia fornece configurações recomendadas de segurança para o Windows 2000. Um guia passo a passo sobre configurações de diretivas corporativas de segurança utilizando a Ferramenta de Diretiva de Segurança pode ser encontrada no site do Technet.
Esta lista de verificação contém informações sobre a edição do registro. Antes de editar o registro, tenha a certeza de que você entendeu como proceder uma restauração se algum problema ocorrer. Para informações sobre como executar uma restauração, leia o tópico da Ajuda "Restaurando o registro" em Regedit.exe ou o tópico da Ajuda "Restaurando uma chave do registro" em Regedt32.exe.
Configuração do Windows 2000 Server
| Passos |
|---|
| Verifique se todas as partições estão formatadas com NTFS |
| Verifique se a conta Administrador possui uma senha forte |
| Desabilite serviços desnecessários |
| Desabilite ou apague contas desnecessárias |
| Proteja arquivos e diretórios |
| Tenha certeza de que a conta Convidado está desabilitada |
| Proteja o registro de acesso anônimo |
| Aplique listas de controle de acesso apropriadas no registro |
| Restrinja acesso às informações públicas do LSA (Local Security Authority, Autoridade de Segurança Local) |
| Defina diretivas de senhas fortes |
| Defina a diretiva de bloqueio de conta |
| Configure a conta Administrador |
| Revogue os direitos do usuário tratar (debug) programas |
| Remova todos os compartilhamentos de rede desnecessários |
| Defina listas de controle de acesso apropriados em todos os compartilhamentos de rede |
| Habilite a auditoria de eventos de segurança |
| Defina o log de avisos críticos |
| Instale um software antivírus e suas atualizações |
| Instale Service Packs e atualizações críticas |
| Automatize a implementação de correções (patches) |
| Faça uma varredura em sistemas usando o Baseline Security Analyzer |
| Configure itens adicionais de segurança |
| Instale o Service Pack mais recente |
| Instale as correções pós-SP mais recentes |
Lista de verificação dos detalhes de configuração do Windows 2000 Server
.gif){kind=spacer}
Verifique se todas as partições estão formatadas com NTFS
Partições NTFS oferecem controle de acesso e proteções que não estão disponíveis em sistemas de arquivos FAT, FAT32 ou FAT32x. Certifique-se de que todas as partições no servidor estejam formatadas com NTFS. Se necessário, utilize o utilitário CONVERT para converter sem a perda de dados suas partições FAT para NTFS.
Cuidado Se você utilizar o utilitário CONVERT, será definido no controle de acesso da partição convertida permissão para Controle Total por Todos. Utilize o utilitário FIXACLS.EXE, presente no Windows NT Resource Kit para substituir estas permissões por outras mais seguras.
Verifique se a conta Administrador possui uma senha forte
O Windows 2000 permite que as senhas tenham até 127 caracteres. Em geral, senhas maiores são mais difíceis de serem quebradas e senhas com vários tipos de caracteres (letras, números, marcas de pontuação e caracteres ASCII não imprimíveis gerados através da tecla ALT e 3 dígitos no teclado númerico) são mais fortes do que senhas com apenas caracteres alfanuméricos. Para proteção máxima, certifique-se de que a conta Administrador possua pelo menos nove caracteres e inclua pelo menos uma marca de pontuação ou um caracter ASCII não imprimível nos primeiros sete caracteres. Além disso, a conta Administrador não deverá ser sincronizada entre múltiplos servidores. Senhas diferentes podem ser utilizadas para aumentar o nível de segurança em grupos de trabalho ou em um domínio.
Desabilite serviços desnecessários
Após instalar o Windows 2000 Server, você deve desabilitar todos os serviços de rede não necessários para o computador. Em particular, você deve considerar desabilitar os seguintes serviços se possível:
- Serviços (Internet Information Server) IIS: Serviço de Publicação do FTP, Serviço de Administração do IIS, Network News Transport Protocol (NNTP), Simple Mail Transport Protocol (SMTP) e o Serviço de Publicação do World Wide Web.
- Serviço Servidor. Desabilite-o se o servidor não for utilizado para compartilhamentos de arquivos e impressoras.
- Serviço SNMP. Desabilite-o se o monitoramento SNMP não for necessário.
Você também deve evitar instalar aplicações no servidor a menos que sejam absolutamente necessárias ao seu funcionamento. Por exemplo, não instale clientes de e-mail, ferramentas de produtividade ou utlitários que não sejam de uso necessário ao servidor.
Após instalar o Windows 2000 Server, você deve desabilitar todos os serviços que não forem necessários para função do servidor. Em particular, você deve considerar a necessidade real dos componentes do IIS e se precisa ou não executar o serviço Servidor, usado para compartilhar arquivos e impressoras.
Desative ou apague contas desnecessárias
Você deve rever a lista de contas ativas (tanto para usuários como aplicações) do sistema no snap-in Gerenciamento do Computador e desativar as contas inativas, apagando contas que não forem mais necessárias.
Proteger arquivos e pastas
Sistemas instalados na configuração padrão possuem um controle de acesso seguro por padrão no sistema de arquivos. Entretanto, atualizações a partir de versões anteriores (como Windows NT 4.0) não modificam as configurações anteriores de segurança e devem ter suas configurações corrigidas. Leia o documento em http://www.microsoft.com/technet/prodtechnol/windows2000serv/maintain/security/secdefs.asp no site de segurança do Technet para maiores detalhes no controle de acesso padrão ao sistema de arquivos do Windows 2000 e como realizar as alterações necessárias.
Certifique-se de que a conta Convidado esteja desativada
Por padrão, a conta Convidado é desativada em sistemas executando o Windows 2000 Server. Se a conta estiver ativada, desative-a.
Proteger o registro de acesso anônimo
A permissão padrão não restringe o acesso remoto ao registro. Apenas administradores devem acessar remotamente o registro, porque as ferramentas de edição de registro do Windows 2000 suportam acesso remoto por padrão. Para restringir o acesso remoto via rede ao registro:
Adicione a seguinte chave ao registro: | | | |-----------|-------------------------------------------------| | Local | HKEY_LOCAL_MACHINE \SYSTEM | | Chave | \CurrentControlSet\Control\SecurePipeServers | | Nome | \winreg |
Selecione winreg, clique no menu Segurança e então clique em Permissões.
Defina a permissão para Administradores como Controle Total e certifique-se de que nenhum outro usuário ou grupo esteja listado. Clique OK.
As permissões de segurança (ACLs) definidas nesta chave definem se usuários ou grupos podem conectar-se ao sistema para acesso remoto ao registro. Além disso, a subchave AllowedPaths contém uma lista de chaves em que membros do grupo Todos possuem acesso, independente do controle presente na chave winreg. Isto permite que funções de sistemas especiais, como verificação do status das impressoras, funcionem corretamente independente de como o acesso ao registro foi restringido na chave winreg. A segurança padrão na chave AllowedPaths garante apenas a Administradores a capacidade de alterar estes caminhos. A chave AllowedPaths e seu uso correto está documentada no artigo da Base de Conhecimento 153183 (em inglês).
Aplique um controle de acesso correto ao registro
Sistemas instalados na configuração padrão possuem um controle de acesso seguro ao registro. Entretanto, atualizações a partir de versões anteriores (como Windows NT 4.0) não modificam as configurações anteriores de segurança e devem ser corrigidas de acordo com a configuração padrão do Windows 2000. Leia o documento Controle de acesso padrão no Windows 2000 no site de segurança do Technet para maiores detalhes sobre estas configurações do registro e como fazer as alterações necessárias.
Restrinja acesso às informações públicas do Local Security Authority (LSA, ou Autoridade de Segurança Local)
Você precisa ser capaz de identificar todos os usuários no sistema. Entretanto, você deve restringir o acesso a usuários anônimos para que a quantidade de informações públicas que eles possam obter sobre o componente LSA do subsistema de segurança do Windows seja reduzida. O componente LSA trata aspectos da administração da segurança no computador local, incluindo acesso e permissões. Para implementar esta restrição, crie e defina a seguinte chave no registro:
| Local | HKEY_LOCAL_MACHINE \SYSTEM |
| Chave | CurrentControlSet\Control\LSA |
| Nome | RestrictAnonymous |
| Tipo | REG_DWORD |
| Valor | 1 |
Defina uma diretiva de senhas fortes
Utilize a ferramenta Diretiva de Segurança do Domínio (ou Diretiva de Segurança Local) para fortalecer as diretivas de senhas do sistema. A Microsoft sugere que você faça as seguintes alterações:
- Defina um comprimento mínimo da senha de pelo menos 8 caracteres. Valor recomendado: 8.
- Defina um tempo de vida mínimo da senha apropriado a sua rede (tipicamente entre 1 e 7 dias). Valor recomendado: 2
- Defina um tempo máximo de vida da senha apropriado a sua rede (tipicamente não mais do que 42 dias). Valor recomendado: 42.
- Defina um histórico de senhas (usando a opção "Aplicar histórico de senhas") de pelo menos 6. Valor recomendado: 24.
- Defina requisitos de complexidade para a senha (usando a opção "As senhas devem satisfazer a requisitos de complexidade").
- Desative a opção "Armazenar senhas usando criptografia reversível" (desativada por padrão).
Defina uma política de bloqueio de conta
O Windows 2000 inclui um recurso de bloqueio de contas que desativa uma conta após um determinado número de falhas no logon. Isso diminui o risco de um invasor usar o método de força bruta para identificar credenciais válidas tentando um grande número de senhas possíveis. Entretanto, é criada uma vulnerabilidade de negação de serviço: um invasor pode causar a desativação de contas, causando a negação no acesso a usuários legítimos.
A configuração recomendada para máxima segurança contra ataques de força bruta que comprometem as credenciais de usuário são: ative o bloqueio após 3 a 5 falhas de logon, reinicie o contador em não menos do que 30 minutos e defina o tempo de bloqueio para 30 minutos. A configuração recomendada para máxima segurança contra negação de serviços é desativar o bloqueio de contas completamente.
Você pode ainda definir a duração do bloqueio para "Até que o administrador desbloqueie".
O Windows NT Server Resource Kit inclui uma ferramenta que permite a você ajustar algumas propriedades de contas que não são acessíveis através das ferramentas de gerenciamento normais. Esta ferramenta, passprop.exe, permite que a conta de administrador seja bloqueada:
- O parâmetro /adminlockout inclui a conta Administrador na diretiva de bloqueio.
Configure a conta Administrador
Como a conta Administrador é criada em todas as cópias do Windows 2000, ela representa um objetivo bem conhecido por invasores. Para tornar mais difícil o ataque a esta conta, execute o seguinte procedimento tanto para a conta Administrador do domínio como para a conta Administrador de cada servidor:
- Renomeie a conta para nomes não óbvios (não utilize, por exemplo, "admin", "root," etc.).
- Estabeleça uma conta "fantasma" chamada Administrador sem privilégios. Varra o log de eventos regularmente e procure por tentativas de logon com esta conta.
- Ative o bloqueio de conta na conta Administrador real usando o utilitário Passprop
- Desative a conta Administrador local do computador
Revogue o direito de tratar programas aos usuários
Por padrão, o Windows 2000 garante aos administradores o direito de Tratar erros de programas (Debugar). Este direito pode ser usado por trojans para capturar informações críticas presentes na memória do sistema, como hash de senhas. A Microsoft sugere que você revogue este direito aos usuários exceto para contas que realmente necessitem tratar erros em programas.
Remova compartilhamentos de rede desnecessários
Todos os compartilhamentos de rede desnecessários no sistema devem ser removidos para prevenir possíveis vazamentos de informações e prevenir usuários mal-intencionados de utilizarem os compartilhamentos como uma porta de entrada para o sistema local.
Defina controles de acesso apropriados para todos os compartilhamentos de rede
Por padrão todos os usuários possuem permissões de Controle Total em compartilhamentos de rede. Todos os compartilhamentos necessários no sistema devem possuir uma lista de controle de acesso (ACL) restrita aos usuários que realmente necessitem de acesso ao compartilhamento. Todos os compartilhamentos necessários no sistema devem ter o acesso controlado de forma que os usuários possuam os direitos apropriados (por exemplo Todos = Leitura).
Nota O sistema de arquivos NTFS deve ser utilizado para definir-se ACLs (controle de acesso) em arquivos individuais em complemento a permissões de compartilhamento.
Ative a auditoria de eventos de segurança
Por padrão, o Windows 2000 Server não registra os logins ocorridos com sucesso ou que falharam. Registrar estas tentativas é útil para determinar de forma pró-ativa que um ataque está ocorrendo e determinar de forma reativa como e quando o ataque foi iniciado. É natural ativar todos os tipos de auditoria, entretanto, esta configuração resulta em arquivos de log de difícil gerenciamento e impactam na performance. A Microsoft recomenda que você habilite apenas as opções Sucesso e Falha para a diretiva Auditar eventos de logon de contas.
Ao ativar a auditoria, o tamanho e a política de retenção devem ser ajustados. O tamanho de todos os logs de eventos devem ser definidos de forma que possam reter várias semanas de eventos. A Microsoft recomenda que o tamanho máximo do log de segurança não exceda 184,320 KB, o tamanho máximo do log de aplicativos não exceda 10,240 KB e o tamanho máximo do log de sistema não exceda 10,240 KB. Para todos os logs de eventos, defina o método de retenção para Sobrescrever conforme necessário.
Definir uma mensagem no logon
Apesar de uma mensagem no logon tecnicamente não restringir um invasor, ela aumenta significamente a capacidade da organização em processar invasores. Não exibir nenhuma mensagem no logon reduz a responsabilidade assumida por um invasor, o que pode aumentar o desejo de um invasor que inicia um ataque. As palavras específicas da mensagem devem ser fornecidas pela equipe jurídica; entretanto a Microsoft recomenda o seguinte:
- Defina o Mensagem para usuários ao tentar o logon para a seguinte mensagem: Este sistema é restrito a usuários autorizados. Indivíduos tentando um acesso não autorizado sofrerão as penas da lei. Se não autorizado, termine o acesso agora! Clicar em OK indicará que você concorda com os termos desta informação.
- Defina o Título da mensagem para usuários ao tentar o logon para: É CRIME CONTINUAR A PARTIR DESTE PONTO SEM A DEVIDA AUTORIZAÇÃO.
Instale softwares antivírus e atualizações
É imperativo que seja instalado um software antivírus e que seja mantida atualizada a lista de assinaturas de vírus em todos os sistemas da Internet e Intranet.
Mais informações sobre antivírus está disponível no site Microsoft TechNet Security (inglês).
Instale Service Packs e Atualizações Críticas
De tempos em tempos, a Microsoft lança Service Packs e atualizações críticas para solucionar vulnerabilidades de segurança recém discobertas em componentes do Windows 2000. O Windows Update é uma ferramenta que identifica atualizações críticas não identificadas neste documento.
Aplique todos os Service Packs e todas as atualizações críticas listadas no site do Windows Update. O Windows Update pode não ser capaz de aplicar todas as atualizações de uma só vez. Se necesário, retorne ao site após reiniciar o sistema e repita o processo até que todos os Service Packs e atualizações críticas sejam aplicados.
Cada Service Pack para Windows inclui todas as correções de segurança de Service Packs anteriores. A Microsoft recomenda que você mantenha-se atualizado quanto aos lançamentos dos Service Packs e instale o SP correto em seus servidores assim que as condições operacionais permitam. Os Service Packs estão disponíveis no site da Microsoft.
Service Packs estão também disponíveis através do Suporte a Produtos Microsoft. Informações sobre como contatar o PSS (Suporte) estão disponíveis no site Microsoft Suporte.
Instale as correções de segurança pós-Service Pack apropriadas a partir da automação na instação de correções
Utilize as Atualizações Automáticas para ser automaticamente notificado da disponibilidade de novas correções de segurança. Se possível, configure as Atualizações Automáticas para fazer o download automaticamente e instalar as correções sem intervenção manual. A Microsoft emite boletins de segurança através do Serviço de Notificação de Segurança. Quando estes boletins recomendam a instalação de correções de segurança, você deve fazer o download e instalar imediatamente a correção em seus servidores membros.
Grandes empresas devem utilizar o Microsoft Software Update Services, Microsoft Systems Management Server ou uma solução similar para reduzir o trabalho associado a instalação das correções.
Analise sistemas com o Baseline Security Analyzer
O Baseline Security Analyzer (BSA) analisa as configurações do sistema e fornece um relatório com recomendações específicas para o aumento da segurança. O MBSA irá recomendar correções que faltarem no sistema e alterações na configuração que estiverem relacionadas ao sistema operacional e serviços opcionais como Internet Information ServerIIS, SQL Server e Internet Explorer. Use o BSA para identificar vulnerabilidades na configuração inicial do sistema e execute-o regularmente para encontrar novas vulnerabilidades.
Ao executar o Baseline Security AnalyzerBSA depois de executar os procedimentos de segurança descritos acima, a ferramenta poderá mostrar várias correções de segurança não instaladas. Isto é verdadeiro e esperado. O documento apenas fornece uma linha mestre a ser utilizada. É recomendado que você tome os passos necessários para garantir que todas as correções de segurança estão instaladas.
Você deve executar esta ferramenta diariamente em todos os computadores que você estiver configurando até que você esteja confiante de que todas as correções recomendas foram aplicadas. Você pode reduzir a frequência, mas continue verificando os sistemas regularmente para detectar correções que não foram instaladas ou foram sobrescritas. Conforme você implementa novas correções, você deve continuar a executar a ferramenta para verificar e detectar correções que faltarem no sistema.
Configurações Adicionais de Segurança
Existem recursos adicionais de segurança não cobertos neste documento, que devem ser consideradas ao tornar seguros servidores executando o Windows 2000. Informações sobre estes recursos, como Encrypting File System (EFS), Kerberos, IPSEC, PKI e IE estão disponíveis em Microsoft TechNet Security (inglês) e na Central de Segurança Technet Brasil.
© 2001 Microsoft Corporation. Todos os direitos reservados.
.gif){kind=icon}