Protegendo um Computador Cliente que Executa o Microsoft Windows XP Professional em um Domínio do Active Directory do Windows Server 2003

Publicado em 27 de Agosto de 2004

Nesta página

Introdução
Antes de Iniciar
Preparando o Computador Cliente
Unindo o Computador Cliente a um Domínio e Protegendo-o
Verificando as Novas Configurações do Computador Cliente
Informações Relacionadas

Introdução

Este documenta explica como proteger um computador cliente que executa o Microsoft Windows XP Professional com as atualizações de segurança da Microsoft. Ele também explica como configurar o computador para notificar os usuários sobre downloads e a instalação das atualizações de segurança assim que a Microsoft as libera. Uma atualização de segurança é uma solução amplamente liberada para uma questão referente à segurança de um produto específico. As questões de segurança são estimadas de acordo com sua severidade, indicada nos boletins de segurança da Microsoft como crítica, importante, moderada ou baixa.

Você também aprenderá a habilitar o Firewall de Conexão com a Internet (Internet Connection Firewall - ICF) no Windows XP Professional, o qual você pode usar para ajudar a proteger contra ameaças externas de segurança, bloqueando o tráfego malicioso de rede.

Finalmente, você aprenderá a unir o computador cliente a um domínio. Ao desempenhar estas tarefas, você ajuda a proteger o seu ambiente de computação contra os ataques a software, à rede e baseados na Internet.

As pessoas em sua organização podem usar um computador cliente que esteja vinculado a um domínio para ter uma experiência dinâmica de computação com os benefícios de segurança do Microsoft Active Directory, um serviço de diretório usado para gerenciar identidades e relações de falha entre os recursos distribuídos, a fim de que possam trabalhar juntos. Adicionando usuários ao Active Directory, eles irão automaticamente pertencer ao grupo Usuários do Domínio, e a organização tira benefícios desses usuários restritos, assim como o grupo Usuários do Domínio geralmente possui permissões padrões restritivas para a maioria dos recursos corporativos.

Tomar essas precauções de segurança permite que você forneça aos usuários a habilidade de serem produtivos, usando o menor nível de privilégio possível. Se os usuários precisam de privilégios em seus computadores, você pode adicioná-los a um grupo local de usuários mais poderoso, tal como o grupo Power, que lhes permite instalar certos programas. Como alternativa, você pode adicionar usuários ao grupo Administradores, para fornecer a eles acesso localmente irrestrito no computador cliente.

IMPORTANTE: As instruções neste documento foram desenvolvidas usando o menu Start que aparece, por padrão, quando você instala seu sistema operacional. Caso você tenha modificado o menu Start, os passos podem ser um pouco diferentes.

Para explicações sobre os termos referentes à segurança, que você pode encontrar quando concluir as tarefas, consulte o Glossário de Segurança da Microsoft, no site da Microsoft, em https://www.microsoft.com/brasil/security/glossary.mspx.

Antes de Iniciar

Para desempenhar as tarefas deste documento e ajudar a garantir que seus servidores estão funcionando bem, instale o Windows Server 2003, Standard Edition em um computador com um mínimo de 512 megabytes (MB) de RAM, um processador de 800 megahertz (MHz) e um disco rígido de 8 gigabyte (GB). Equipe o computador com uma placa de interface de rede Ethernet de 10/100.

Finalmente, o computador deve ser configurado como controlador de domínio que implante o Active Directory. As organizações costumam implantar o Active Directory por diversas razões, e sua implantação possui diversas implicações de longo alcance. Antes de configurar seu servidor como um controlador de domínio, leve em conta o impacto da implantação do Active Directory sobre a autenticação, recursos humanos e de TI e a segurança em geral. Prepare cuidadosamente e - dependendo do tamanho de sua organização - projete a implantação para maximizar os benefícios dos serviços robustos que acompanham o Active Directory. Para mais informações a respeito da criação de um controlador de domínio e da utilização do Active Directory, consulte a seção "Informações Relacionadas" ao final deste documento.

Se você já implantou o Active Directory alguma vez, ou se decidiu implantar, certifique-se de adicionar usuários do domínio ao Active Directory antes de iniciar este manual.

Além disso, garanta que seu computador cliente esteja executando o Windows XP Professional. O computador cliente deve ter, no mínimo, 256 megabytes (MB) de RAM, um processador de 500 megahertz (MHz), um disco rígido de 8 gigabyte (GB) e um adaptador de rede Ethernet de 10/100.

Preparando o Computador Cliente

Esta seção fornece instruções passo a passo para as seguintes tarefas:

  • Instalar atualizações de segurança no computador cliente

  • Configurar Atualizações Automáticas para preparar as atualizações de segurança para a instalação

  • Habilitar o Firewall de Conexão com a Internet (Internet Connection Firewall - ICF).

Instalar as Atualizações de Segurança no Computador Cliente

Para instalar as atualizações de segurança no computador cliente (que execute o Windows XP Professional), você deve concluir os seguintes procedimentos:

  • Visitar o site do Windows Update e instalar os controles.

  • Instalar as atualizações de segurança.

Requisitos para executar esta tarefa

  • Credenciais: Você deve estar registrado, no computador cliente, (que execute o Windows XP Professional), como membro do grupo Administradores.

Para visitar o site do Windows Update e instalar os controles

  1. Clique em Start, aponte para All Programs, e clique em Windows Update.

  2. Se você está visitando o site do Windows Update pela primeira vez, uma notificação de segurança o avisa que você deve instalar o controle ActiveX do Windows Update, registrado pela Microsoft (Figura 1). Para instalar o controle, clique em Yes.

    Nota: As capturas de tela deste documento refletem um ambiente teste. As informações que você vê na tela podem diferir um pouco das informações apresentadas aqui.

    Dd459131.xpwinnet_01(pt-br,TechNet.10).gif
    Figura 1 Uma notificação de segurança aparece para os visitantes que acessam pela primeira vez o site do Windows Update

Para instalar as atualizações de segurança

  1. No painel de detalhes (à direita), clique em Scan for updates.

    No painel da árvore de console (à esquerda) há três grupos de opções: Critical Updates and Service Packs (esses são automaticamente selecionados), Windows XP (essas são atualizações recomendadas), e Driver Updates (essas devem ser instaladas de acordo com o planejamento teste da sua organização).

    Nota: Certas atualizações, como as do Windows XP Professional e Windows Media Player 9, devem ser instaladas separadamente e estão marcadas com um asterisco próximo aos seus nomes.

  2. No painel de Detalhes, clique em Review and install updates.

  3. Clique em Install Now.

  4. Se avisado, você deve clicar em Accept para aceitar todos os acordos de licenciamento.

    Dd459131.xpwinnet_02(pt-br,TechNet.10).gif
    Figura 2 Baixando e instalando as atualizações de segurança

    A Figura 2 mostra como é o Windows Update - Web Page Dialog durante uma atualização típica. O tamanho do download e o tempo de instalação variam, dependendo das atualizações de que seu computador cliente precisa, assim como a velocidade de conexão da Internet. Atualizar regularmente o seu computador irá minimizar o tempo requerido toda vez que você baixar e instalar as atualizações.

  5. Após a instalação, o painel de Detalhes exibe um resumo e o status das atualizações instaladas.

  6. Se aparecer uma mensagem para reiniciar o computador cliente, clique em OK.

  7. Você deve atualizar seu computador diversas vezes, dependendo das atualizações de segurança que está instalando.

    Nota: Certas atualizações, como as do Microsoft .NET Framework, possuem atualizações adicionais após a instalação.

Configurando as Atualizações Automáticas para Preparar as Atualizações de Segurança da Instalação

Você deve executar algumas tarefas de configuração antes de preparar as atualizações de segurança da instalação.

Requisitos para executar esta tarefa

  • Credenciais: Você deve estar registrado, no computador cliente, (que execute o Windows XP Professional), como membro do grupo Administradores.

Para configurar as Atualizações Automáticas no computador cliente

  1. Clique em Start, clique com o botão direito em My Computer, e depois clique em Properties.

  2. Clique na guia Automatic Updates (Figura 3).

    Dd459131.xpwinnet_03(pt-br,TechNet.10).gif
    Figura 3 Configurando Atualizações Automáticas no computador cliente

  3. Na guia AutomaticUpdates, escolha se os usuários devem ou não ser notificados sobre as atualizações de segurança, e, em caso afirmativo, como eles serão notificados. Você pode manter o seu computador atualizado automaticamente com as últimas atualizações e melhorias, escolhendo o download automático das atualizações, instalando-as em uma programação especificada.

    Nota: Essas definições também podem ser configuradas através do recurso da Diretiva de Grupo.

  4. Para aceitar e configurar as definições selecionadas, clique em OK.

Habilitar o Internet Connection Firewall (ICF)

Há certos requisitos que o ajudam a habilitar o ICF.

Requisitos para executar esta tarefa

  • Credenciais: Você deve estar registrado, no computador cliente, (que execute o Windows XP Professional), como membro do grupo Administradores.
  1. Clique no menu Start, e depois em Control Panel.

  2. Clique em Network and Internet Connections.

  3. Clique em Network Connections.

  4. Clique com o botão direito em Local Area Connection, e depois clique em Properties (Figura 4).

    Dd459131.xpwinnet_04(pt-br,TechNet.10).gif
    Figura 4 Exibindo propriedades da sua Local Area Connection (LAN)

  5. Clique na guia Advanced.

  6. Selecione Protect my computer and network by limiting or preventing access to this computer from the Internet.

  7. Clique em Settings.

  8. Clique na guia Services, e, opcionalmente, habilite os serviços pré-configurados ou então defina portas necessárias.

  9. Clique na guia Security Logging (Figura 5).

  10. Selecione Log dropped packets e Log successful connections.

    Nota: Essas opções o ajudam a determinar a origem dos pacotes de dados que são enviados ao seu computador, assim como as conexões feitas a ele pela Internet.

    Dd459131.xpwinnet_05(pt-br,TechNet.10).gif
    Figura 5 Opções que ajudam a determinar a origem dos pacotes de dados e conexões

  11. Clique duas vezes em OK.

    Nota: O ícone de cadeado, anexado à Local Area Connection indica que o ICF está ativado.

  12. Feche a Network Connections.

Unindo o Computador Cliente a um Domínio e Protegendo-o

Esta seção fornece instruções passo a passo para as seguintes tarefas:

  • Vincular o computador cliente a um domínio.

  • Desabilitar a conta local de Administrador.

Vincular o Computador Cliente a um Domínio

Para vincular o computador cliente a um domínio, você deve concluir os seguintes procedimentos:

  • Obter informações sobre o nome e grupo de trabalho do computador cliente.

  • Vincular o computador cliente a um domínio.

Requisitos para executar esta tarefa

  • Credenciais: Você deve estar registrado no computador cliente como membro do grupo local de Administradores.

Para obter informações sobre o nome e grupo de trabalho do computador cliente

  1. Clique em Start, clique com o botão direito em My Computer, e depois clique em Properties.

  2. Clique na guia Computer Name (Figura 6).

    Dd459131.xpwinnet_06(pt-br,TechNet.10).gif
    Figura 6 A guia Computer Name na caixa de diálogo System Properties

  3. Observe as informações de Full computer name e Workgroup. Como você precisará delas mais adiante, pode ser útil escrever o nome do computador.

Para vincular o computador cliente a um domínio

  1. Usando o Assistente de Identificação da Rede, clique em Network ID.

  2. Na página Welcome to the Network Identification Wizard, clique em Next.

  3. Na página Connecting to the Network. How do you use this computer?, veja se a opção This computer is part of a business network, and I use it to connect to other computers at work está selecionada, e então clique em Next.

  4. Na página seguinte, Connecting to the Network. What kind of network do you use, veja se My company uses a network with a domain está selecionado, e então clique em Next.

  5. Na página Network Information, observe as informações, e clique em Next.

  6. Na página User Account and Domain Information (Figura 7), digite o nome de usuário e a senha de um usuário do Active Directory (qualquer membro do grupo Usuário do Domínio), digite as informações apropriadas do domínio e clique em Next.

    Dd459131.xpwinnet_07(pt-br,TechNet.10).gif
    Figura 7 A página User Account e Domain Information do Assistente de Identificação da Rede

  7. Na página Computer Domain (Figura 8), digite as informações do domínio e depois clique em Next.

    Nota: Caso você não saiba as informações de domínio do computador ou queira confirmá-las, pode encontrá-las pelo procedimento "Obtenha o nome e grupo de trabalho do computador cliente" que aparece anteriormente, neste documento, na seção "Unindo o Computador Cliente a um Domínio". O nome do computador irá conter informações sobre o domínio que existe no servidor.

    Dd459131.xpwinnet_08(pt-br,TechNet.10).gif
    Figura 8 A página Computer Domain do Assistente de Identificação da Rede

  8. Na página Domain User Name and Password, digite as credenciais de um usuário do Active Directory e as informações de domínio apropriadas, depois clique em OK.

    Nota: Qualquer membro do grupo Usuários do Domínio pode unir um computador a um domínio.

  9. Na página User Account (Figura 9), você pode adicionar uma conta de usuário. Para isso, digite um nome de usuário, as informações do domínio e clique em Next.

    Dd459131.xpwinnet_09(pt-br,TechNet.10).gif
    Figura 9 A página User Account do Assistente de Identificação da Rede

  10. Na página Access Level (Figura 10), você indica o nível de acesso que um usuário tem aos recursos e privilégios da rede. Os níveis de acesso estão descritos na Figura 10. Ao fazer sua seleção, leve em conta a função do usuário na organização e suas necessidades. Recomendamos que você selecione Restricted user, e clique em Next.

    Dd459131.xpwinnet_10(pt-br,TechNet.10).gif
    Figura 10 Página de Nível de Acesso do Assistente de Identificação da Rede

  11. Clique em Finish.

  12. Na página Computer Name Changes, clique em OK.

  13. Na página System Properties, clique em OK.

  14. Na página System Settings Change, reinicie o computador clicando em Yes.

Desabilitar a Conta Local do Administrador do Computador Cliente

Você pode desabilitar a conta local do Administrador do computador cliente realizando o procedimento a seguir. Muitas outras contas desnecessárias são desabilitadas por padrão.

Requisitos para executar esta tarefa

  • Credenciais: Você deve estar registrado como membro do grupo local de Administradores em vez de estar na conta local de Administrador.

    Nota: Proteja a conta do Administrador renomeando a conta padrão do administrador. Este procedimento remove todas as informações óbvias que podem alertar os atacantes de que esta conta possui privilégios altos. Embora um atacante que tenha descoberto que a conta padrão de Administrador precise de uma senha para usá-la, renomeá-la complementa a proteção contra o aumento a ataques de privilégio. Use o primeiro e segundo nomes fictícios, no mesmo formato dos seus outros nomes de usuário. Para obter passos mais específicos, consulte o artigo da TechNet localizado em: https://www.microsoft.com/technet/security/guidance/sec_ad_admin_groups.mspx#XSLTsection124121120120

Para desabilitar a conta local de Administrador do computador cliente

  1. No cliente membro do domínio, efetue login pressionando CTRL+ALT+DELETE.

  2. Continue o login digitando as credenciais apropriadas no campo User name. (O usuário do domínio, "Administrador," é membro do grupo local de Administradores).

  3. No campo Password, digite a senha associada à conta local de Administradores.

  4. Clique em Options.

  5. Para concluir o login, no campo Log on to, digite ou selecione o nome do domínio, e depois clique em OK.

  6. Clique em Start, clique com o botão direito em My Computer, e então clique em Manage.

  7. No painel da árvore de console (à esquerda) do console Computer Management, expanda Local Users and Groups, e selecione Users.

  8. No painel de Detalhes (à direita), dê um duplo clique na conta Administrator.

  9. Selecione Account is disabled, e depois clique em OK.

    Nota: Se você remover o computador cliente do domínio, lembre-se de habilitar a conta local de Administrador antes de prosseguir. Para isso, realize os passos de 1 a 8, e desmarque a seleção da caixa Account is disabled.

  10. Feche o console do Computer Management.

  11. Efetue log off do computador cliente.

Verificando as Novas Configurações do Computador Cliente

Concluindo a tarefa que segue, você pode verificar se conseguiu unir com sucesso o computador cliente ao seu domínio.

Verifique as definições locais do computador cliente

  1. No computador cliente, pressione CTRL+ALT+DELETE.

  2. No campo User name, digite o nome de usuário da pessoa que irá usar o computador cliente (Figura 11).

  3. No campo Password, digite a senha associada à conta do usuário.

  4. Clique em Options.

  5. Em Log on to, digite ou selecione o nome de domínio e depois clique em OK.

    Dd459131.xpwinnet_11(pt-br,TechNet.10).gif
    Figura 11 Efetuando logon no domínio

  6. Clique em Start, clique com o botão direito em My Computer, e depois clique em Properties.

  7. Na caixa de diálogo System Properties, clique na guia Computer Name.

  8. Verifique se as informações de Full computer name e Domain estão corretas, e então clique em Cancel.

    Nota: As informações da guia Automatic Updates não podem ser modificadas por este usuário. Elas só podem ser modificadas por um membro do grupo Administradores do Domínio.

Informações Relacionadas

Para mais informações sobre a união de computadores a domínios, veja os seguintes recursos:

Para mais informações sobre senhas complexas, consulte o seguinte:

Para informações sobre controladores de domínio, veja o seguinte:

Para mais informações sobre a utilização do serviço de diretório do Active Directory, consulte o seguinte:

Para informações sobre o Windows Server 2003, Standard Edition, veja o seguinte:

Para definições dos termos relacionados à segurança, consulte o seguinte: