Exportar (0) Imprimir
Expandir Todos

Assistente de Configuração de Segurança no Windows Server 2003 Service Pack 1

Qual a função do Assistente de Configuração de Segurança?

O Assistente de Configuração de Segurança (SCW, Security Configuration Wizard) é uma nova funcionalidade do Windows Server 2003 com o Service Pack 1 que guia o utilizador na redução da superfície de ataque dos servidores. O SCW é altamente recomendado para criar as políticas de segurança para servidores com base nas respectivas funções. O SCW inclui as seguintes funcionalidades:

  • O bloqueio remoto ou local com base em funções garante que todos os serviços necessários estão activados, reduzindo no risco de interrupção.
  • Todos os serviços que não sejam especificamente necessários para as funções efectuadas pelo sistema de destino podem ser desactivados.
  • A configuração do Firewall e IPsec garante que o servidor apresenta o perfil de redução de possíveis ataques com base nas necessidades das funções seleccionadas.
  • A selecção automática de definições de segurança de chaves com base num assistente guiado para reduzir os problemas de compatibilidade e aumentar a segurança.
  • Selecção das definições de auditoria apropriadas.
  • Inclusão de modelos de segurança padrão para a personalização detalhada da política de segurança.
  • Integração com a Política de Grupo para a implementação baseada no Active Directory das políticas de segurança.
  • Interface da linha de comandos de scripts e totalmente funcional para a implementação automática em vários servidores na rede.
  • Anulação de políticas para testes e resolução de problemas.
  • Extensibilidade declarada da base de dados de conhecimento de funções para permitir a criação de novas funções.

Quando executa o SCW, o assistente faz uma série de perguntas para determinar os requisitos funcionais do servidor. Qualquer funcionalidade que não seja requerida com base nas selecções pode ser desactivada automaticamente.

A quem se aplica esta função?

O SCW pode ser utilizado com qualquer sistema a utilizar o Windows Server 2003 com o Service Pack 1 e em qualquer configuração de rede. O SCW tem interesse para:

  • Os profissionais de segurança responsáveis pela criação das políticas de segurança da empresa.
  • Informáticos profissionais responsáveis pela implementação, configuração e gestão de servidores.
  • Os programadores de aplicações baseadas no servidor que pretendem que as respectivas aplicações sejam geridas com um SCW.

Que nova funcionalidade foi adicionada a esta função no Windows Server 2003 Service Pack 1?

Assistente de Configuração de Segurança

Descrição detalhada

O Assistente de Configuração de Segurança utiliza uma representação baseada em funções orientada por uma base de dados de conhecimentos XML extensível que define os serviços, portas e outros requisitos funcionais para quase 200 funções de sistema diferentes, incluindo funções para aplicações do Windows Server System como, por exemplo, Microsoft ISA Server e SQL Server:

O SCW utiliza esta base de dados de conhecimento XML extensível para identificar funções, solicitar a intervenção do utilizador e criar políticas de segurança que desactivam serviços, bloqueiam portas, modificam valores do registo e configuram definições de auditoria. Mesmo as portas que ficam abertas podem ser restringidas a subredes específicas ou sistemas utilizando a segurança do Protocolo Internet (IPsec, Internet Protocol security). O SCW também permite recuperar as definições de política aplicadas anteriormente. Inclui uma ferramenta da linha de comandos que utiliza com scripts administrativos e outros utilitários administrativos para aplicar uma configuração de segurança e efectuar a análise da conformidade em grupos de servidores na organização. Além disso, o SCW é integrado no Active Directory para suportar a implementação de definições de política geradas pelo SCW através da Política de Grupo.

Resumo da funcionalidade de segurança do SCW

O Assistente de Configuração de Segurança permite que os utilizadores efectuem facilmente as seguintes operações:

  • Desactivar serviços desnecessários.
  • Proteger os Serviços de Informação Internet (IIS).
noteNota
As políticas do IIS não podem ser implementadas com a Política de Grupo uma vez que esta não configura actualmente o IIS. Se uma política com definições do IIS fosse convertida para um objecto da Política de Grupo, as definições do IIS perdem-se.
  • Bloquear portas não utilizadas, incluindo suporte para cenários do tipo multihomed.
  • Portas seguras que ficam abertas utilizando o IPsec.
  • Reduzir a exposição do protocolo para LDAP (Lightweight Directory Access Protocol, Protocolo Simples de Acesso a Directórios), LAN Manager e SMB (Server Message Block, bloco de mensagens de servidor).
  • Configurar definições de auditoria com uma taxa de sinal para ruído elevada.
  • Importar modelos de segurança do Windows para abranger definições não configuradas pelo assistente.

Resumo das funções operacionais do SCW

Além da criação orientada de políticas de segurança baseadas em funções, o SCW suporta também as seguintes funções:

  • Anular. Permite repor o estado do servidor anterior à aplicação da política de segurança do SCW.
  • Análise. Permite verificar se os servidores estão em conformidade com as políticas esperadas.
  • Suporte da análise e configuração Remota. Todas as funcionalidades do SCW podem ser efectuadas nos sistemas local e remoto.
  • Suporte da linha de comandos. É fornecida uma ferramenta da linha de comandos para a utilização de scripts.
  • Integração com o Active Directory. Suporta a implementação de políticas do SCW utilizando a Política de Grupo.
  • Editar. Uma política de segurança criada através do SCW pode ser modificada quando for necessário como, por exemplo, quando os objectivos dos computadores são alterados ou quando um sistema configurado com uma determinada política não tem o comportamento previsto.
  • Relatórios. Permite ver os dados armazenados na base de dados de conhecimento, políticas e ficheiros XML de resultados da análise.

Porque é que esta alteração é importante?

A redução da superfície de ataque é um procedimento recomendado de segurança fundamental. Contudo, nem sempre é fácil para o administrador do servidor dispor de tempo para proteger, testar e implementar adequadamente um servidor Windows sem quebrar a funcionalidade necessária, podendo tornar vulneráveis os servidores de uma organização.

Os manuais de configuração de segurança (tal como o Windows Server 2003 Security Guide no Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=14845) fornecem definições gerais que suportam uma grande variedade de sistemas mas não fornecem uma segurança ideal por oposição à solução da funcionalidade para uma classe específica de sistemas. O SCW automatiza o processo de bloqueio de sistemas fornecendo funcionalidade específica e está totalmente testado e suportado pela Microsoft. A redução da superfície de ataque dos servidores Windows pode minimizar o número de servidores nos quais é necessário aplicar patches imediatamente quando uma vulnerabilidade é descoberta, uma vez que uma determinada vulnerabilidade não tem de ser explorada ou existir necessariamente em todas as configurações.

O que funciona de maneira diferente?

Actualmente, é normal os administradores do Windows definirem as políticas de segurança utilizando apenas o Editor de Configuração de Segurança, com a ajuda de documentação, ou através dos modelos de segurança existentes concebidos para cenários específicos. Pelo contrário, o Assistente de Configuração de Segurança é uma ferramenta de autoria que permite criar uma política de segurança personalizada através de respostas a uma série de perguntas. Relativamente às definições não configuradas pelo assistente, o SCW permite que o administrador importe modelos de segurança existentes.

Necessito de alterar o código para funcionar com o Windows Server 2003 Service Pack 1?

Não, mas o SCW é extensível para que os programadores possam criar as suas próprias definições de funções do SCW para as respectivas aplicações. Quando o Windows Server 2003 Service Pack 1 for lançado, será disponibilizado um livro branco sobre como expandir a base de dados de conhecimento do SCW.

O que é necessário alterar no ambiente para implementar o Windows Server 2003 Service Pack 1?

Nada. No entanto, é possível utilizar o SCW durante o processo de implementação para garantir que os servidores são implementados com a política de segurança prevista.

Se for utilizada a configuração automática para implementar os servidores, considere efectuar os seguintes procedimentos:

  • Instale o componente opcional SCW automaticamente durante a configuração automática adicionando a entrada seguinte à secção [Components] do ficheiro unattend.txt: SCW = On.
  • Para aplicar uma política do SCW durante a instalação automática, execute também os seguintes passos:
    • Crie o ficheiro de política num servidor que já tenha o SCW instalado.
    • Crie um ficheiro Cmdlines.txt ou modifique o ficheiro existente de modo a conter uma secção [Commands] com a seguinte linha: scwcmd configure /p:SCWPolicy.xml
    • Copie o ficheiro Cmdlines.txt e o ficheiro de política criado anteriormente (SCWPolicy.xml neste caso) para o directório $OEM$.
  • Se for utilizada uma solução de processamento de imagens para implementar os servidores, pode aplicar um SCW no computador de referência cuja imagem vai ser duplicada antes da criação da imagem.

Para obter informações adicionais sobre o Assistente de Configuração de Segurança vá para o Web site da Microsoft em http://go.microsoft.com/fwlink/?LinkId=45503.

Considera isto útil?
(1500 caracteres restantes)
Obrigado pelos seus comentários

Conteúdo da Comunidade

Mostrar:
© 2014 Microsoft