Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia de Segurança do Windows Server 2003

Capítulo 10: A função de servidor IAS

Atualizado em: 27 de dezembro de 2005

Nesta página

Visão geral
Diretiva de Auditoria
Atribuições de direitos do usuário
Opções de segurança
Log de eventos
Configurações adicionais de segurança
Criando a diretiva usando o ACS
Resumo

Visão geral

Este capítulo fornece recomendações e recursos que o ajudarão a proteger os servidores IAS (Serviço de Autenticação da Internet) que executam o Microsoft Windows Server 2003 com SP1 em seu ambiente. O IAS é a implementação da Microsoft de um servidor e proxy RADIUS (Remote Authentication Dial-in User Service) que possibilita o gerenciamento centralizado da autenticação, autorização e estatísticas de usuários. O IAS pode ser usado para autenticar usuários em bancos de dados de controladores de domínio do Windows Server 2003, Windows NT® 4.0 ou Windows 2000. O IAS também dá suporte a uma variedade de servidores NAS (servidores de acesso à rede), inclusive o RRAS (Roteamento e Acesso Remoto).

O mecanismo de ocultação RADIUS usa o segredo compartilhado, RADIUS, o Request Authenticator e o algoritmo de hash MD5 para criptografar a senha do usuário e outros atributos, como senha de encapsulamento e chaves MS-CHAP-MPPE. O RFC 2865 registra a necessidade potencial de avaliar o ambiente de ameaças e determinar se segurança adicional deve ser usada.

As configurações neste capítulo são definidas e aplicadas pela Diretiva de Grupo. Um objeto de Diretiva de Grupo (GPO) que complementa a Diretiva de Linha de Base de Servidor Membro (MSBP) pode ser vinculado às unidades organizacionais (UOs) apropriadas que contêm os servidores IAS para fornecer as alterações necessárias à configuração de segurança dessa função de servidor. Este capítulo discute somente as configurações de diretiva que variam com relação à MSBP.

Quando possível, essas configurações são reunidas em um modelo de Diretiva de Grupo incremental que será aplicado à UO Servidores IAS. Algumas das configurações neste capítulo não podem ser aplicadas por meio da Diretiva de Grupo. Informações detalhadas sobre como definir essas configurações manualmente são fornecidas.

O nome do modelo de segurança do servidor de infra-estrutura para o ambiente EC é EC-Infrastructure Server.inf. Esse modelo fornece as configurações para o modelo incremental de Servidor IAS, usado para criar um novo GPO a ser vinculado à UO Servidores IAS. Instruções passo a passo são fornecidas no Capítulo 2, "Mecanismos de proteção do Windows Server 2003" para ajudá-lo a criar as UOs e as Diretivas de Grupo e, em seguida, importar o modelo de segurança apropriado para cada GPO.

Para obter informações sobre as configurações na MSBP, consulte o Capítulo 4, “A diretiva de linha de base de servidor membro”. Para obter informações sobre todas as configurações padrão, consulte o guia complementar, Ameaças e Contramedidas: Configurações de Segurança no Windows Server 2003 e Windows XP, disponível em http://go.microsoft.com/fwlink/?LinkId=15159.

Observação: as indicações de configuração para a função de servidor IAS foram testadas apenas para o ambiente Cliente Corporativo. Por esse motivo, as informações sobre ataques de negação de serviço especificadas para a maioria das outras funções de servidor neste guia não são incluídas aqui.

Diretiva de Auditoria

As configurações de Diretiva de Auditoria para Servidores IAS no ambiente EC são definidas pela MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que todas as informações relevantes de auditoria de segurança sejam registradas em todos os servidores IAS na organização.

Atribuições de direitos do usuário

As atribuições de direitos de usuário para Servidores IAS no ambiente EC também são configuradas pela MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que o acesso apropriado aos servidores IAS seja configurado de maneira uniforme em toda a organização.

Opções de segurança

As configurações de opções de segurança para Servidores IAS no ambiente EC também são definidas pela MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, "A diretiva de linha de base de servidor membro". As configurações da MSBP garantem que o acesso apropriado aos servidores IAS seja configurado de maneira uniforme em toda a empresa.

Log de eventos

As configurações do log de eventos para Servidores IAS no ambiente EC também são definidas pela MSBP. Para obter mais informações sobre a MSBP, consulte o Capítulo 4, “A diretiva de linha de base de servidor membro”.

Configurações adicionais de segurança

Embora as configurações de segurança aplicadas pela MSBP aumentem significativamente a segurança dos servidores IAS, esta seção discute algumas considerações adicionais. No entanto, as configurações nesta seção não podem ser aplicadas por meio da Diretiva de Grupo e devem, portanto, ser executadas manualmente em todos os servidores IAS.

Protegendo contas bem conhecidas

O Windows Server 2003 com SP1 tem várias contas de usuário internas que não podem ser excluídas, mas que podem ser renomeadas. Duas das contas internas mais conhecidas do Windows Server 2003 são Convidado e Administrador.

Por padrão, a conta Convidado é desabilitada em servidores membros e em controladores de domínio. Essa configuração não deve ser alterada. Muitas variações de códigos mal-intencionados usam a conta interna Administrador em uma tentativa inicial de comprometer um servidor. Portanto, a conta Administrador interna deve ser renomeada e sua descrição alterada para ajudar a prevenir o comprometimento de servidores remotos por invasores que tentam valer-se dessa conta bem conhecida.

O valor dessa alteração de configuração tem diminuído nos últimos anos, desde o lançamento de ferramentas de ataque que tentam violar o servidor especificando o SID (Identificador de Segurança) da conta interna Administrador para descobrir seu nome real. Um SID é o valor que identifica de forma exclusiva cada usuário, grupo, conta de computador e sessão de logon em uma rede. Não é possível alterar o SID desta conta interna. No entanto, seus grupos de operações podem monitorar com facilidade as tentativas de ataques contra essa conta de Administrador se você a renomear com um nome exclusivo.

Para proteger contas bem conhecidas em servidores IAS

  • Renomeie as contas Administrador e Convidado e altere suas senhas para um valor longo e complexo em todos os domínios e servidores.

  • Use nomes e senhas diferentes para cada servidor. Se os mesmos nomes de conta e as mesmas senhas forem usados em todos os domínios e servidores, um invasor que consiga acessar um servidor membro poderia acessar todos os outros.

  • Alterar as descrições da conta para algo diferente dos padrões ajuda a evitar a fácil identificação das contas.

  • Registre quaisquer alterações feitas a um local protegido.

    Observação: a conta interna Administrador pode ser renomeada usando-se a Diretiva de Grupo. Essa configuração de diretiva não foi implementada em nenhum dos modelos de segurança fornecidos com este guia porque cada ambiente deve escolher um nome exclusivo para essa conta. No entanto, a configuração Contas: renomear a conta de Administrador pode ser configurada para renomear contas de administrador no ambiente EC. Essa configuração de diretiva faz parte da seção de configurações Opções de Segurança de um GPO.

Protegendo contas de serviço

Nunca configure um serviço para ser executado no contexto de segurança de uma conta de domínio a menos que seja absolutamente necessário. Se o servidor for comprometido fisicamente, as senhas de contas de domínio poderão ser facilmente obtidas despejando-se segredos LSA. Para obter mais informações sobre como proteger contas de serviço, consulte o Guia de Planejamento da Segurança de Serviços e Contas de Serviço em www.microsoft.com/technet/security/topics/serversecurity/serviceaccount/default.mspx.

Criando a diretiva usando o ACS

Para implantar as configurações de segurança necessárias, use tanto o Assistente de Configuração de Segurança (ACS) quanto os modelos de segurança incluídos na versão para download deste guia para criar uma diretiva de servidor.

Ao criar sua própria diretiva, não deixe de ignorar as seções “Configurações de Registro” e “Diretiva de Auditoria”. Essas configurações são fornecidas pelos modelos de segurança para o ambiente de sua escolha. Essa abordagem é necessária para assegurar que os elementos de diretiva fornecidos pelos modelos tenham precedência com relação aos que seriam configurados pelo ACS.

Use uma nova instalação do sistema operacional para começar seu trabalho de configuração, o que ajuda a garantir que não haja configurações ou software herdados de configurações anteriores. Se possível, a instalação deve ser feita em hardware semelhante àquele usado na implantação a fim de ajudar a garantir tanta compatibilidade quanto possível. A nova instalação é chamada computador de referência.

Durante as etapas de criação de diretiva de servidor, você provavelmente removerá a função de servidor de arquivos da lista de funções detectadas. Essa função é geralmente configurada em servidores que não a exigem e pode ser considerada um risco à segurança. A fim de ativar a função de servidor de Arquivos em servidores que a requeiram, aplique uma segunda diretiva mais tarde neste processo.

Para criar a diretiva de servidor IAS

  1. Crie uma nova instalação do Windows Server 2003 com SP1 em um novo computador de referência.

  2. Instale o componente de Assistente de Configuração de Segurança no computador usando Painel de Controle, Adicionar ou Remover Programas, Adicionar/Remover Componentes do Windows.

  3. Conecte o computador ao domínio, o que aplicará todas as configurações de segurança das UOs pai.

  4. Instale e configure somente os aplicativos obrigatórios que constarão de cada servidor que compartilha essa função. Exemplos incluem serviços específicos às funções, agentes de gerenciamento e de software, agentes de backup em fita e utilitários antivírus ou antispyware.

  5. Inicie a GUI do ACS, selecione Criar nova diretiva e aponte para o computador de referência.

  6. Assegure-se de que as funções de servidor detectadas sejam apropriadas para o ambiente, por exemplo a função Servidor IAS (RADIUS).

  7. Assegure-se de que os recursos de cliente detectados sejam apropriados para o ambiente.

  8. Assegure-se de que as opções administrativas detectadas sejam apropriadas para o ambiente.

  9. Assegure-se de que quaisquer serviços adicionais necessários à linha de base, como agentes de backup ou software antivírus, sejam detectados.

  10. Decida como lidar com serviços não especificados no ambiente. Para obter segurança extra, você pode definir essa configuração de diretiva como Desativar. Teste esta configuração antes de implantá-la na rede de produção, visto que ela poderá causar problemas se seus servidores de produção executarem serviços adicionais que não sejam duplicados no computador de referência.

  11. Verifique se a caixa de seleção Ignorar esta seção está desmarcada na seção "Segurança de rede" e, em seguida, clique em Avançar. As portas e aplicativos apropriados identificados anteriormente são configurados como exceções para o Firewall do Windows.

  12. Na seção "Configurações do Registro", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  13. Na seção "Diretiva de Auditoria", clique na caixa de seleção Ignorar esta seção e, em seguida, clique em Avançar. Essas configurações de diretiva são importadas do arquivo INF fornecido.

  14. Inclua o modelo de segurança apropriado (por exemplo, EC-IAS Server.inf).

  15. Salve a diretiva com um nome apropriado (por exemplo, Servidor IAS.xml).

Testar a diretiva usando o ACS

Depois que a diretiva tiver sido criada e salva, a Microsoft recomenda enfaticamente sua implantação no ambiente de teste. Idealmente, os servidores de teste terão as mesmas configurações de hardware e software que os servidores de produção. Essa abordagem permitirá localizar e corrigir problemas potenciais, como a presença de serviços inesperados exigidos por dispositivos de hardware específicos.

Há duas opções disponíveis para o teste da diretiva. É possível usar os recursos de implantação do ACS ou implantar as diretivas por meio de um GPO.

Ao começar a produzir suas diretivas, considere o uso dos recursos de implantação nativos ao ACS. É possível usar o ACS para enviar uma diretiva para um único servidor de cada vez, ou usar Scwcmd para enviá-la para um grupo de servidores. O método nativo de implantação permite reverter facilmente as diretivas implantadas do ACS. Esse recurso pode ser muito útil quando várias alterações são feitas às diretivas durante o processo de teste.

A diretiva é testada a fim de se garantir que a sua aplicação aos servidores de destino não afetará adversamente as suas funções críticas. Depois de aplicar as alterações à configuração, comece a verificar a funcionalidade central do computador. Por exemplo, se o servidor estiver configurado como uma autoridade de certificação (CA), verifique se os clientes podem solicitar e obter certificados, baixar uma lista de revogação de certificados, e assim por diante.

Quando estiver seguro quanto às configurações da diretiva, use Scwcmd, conforme mostrado no procedimento a seguir, para converter as diretivas em GPOs.

Para obter mais detalhes sobre como testar diretivas do ACS, consulte o Guia de Implantação do Assistente de Configuração de Segurança em www.microsoft.com/technet/prodtechnol/windowsserver2003/
library/SCWDeploying/5254f8cd-143e-4559-a299-9c723b366946.mspx e a Documentação do Assistente de Configuração de Segurança em http://go.microsoft.com/fwlink/?linkid=43450.

Converter e implantar a diretiva

Depois de testar rigorosamente a diretiva, siga estas etapas para convertê-la em um GPO e implementá-la:

  1. No prompt de comando, digite o seguinte comando:

    scwcmd transform /p:<PathToPolicy.xml> /g:<GPODisplayName>
    

    e, em seguida, pressione ENTER. Por exemplo:

    scwcmd transform /p:"C:\Windows\Security\msscw\Policies\IAS 
    Server.xml" /g:"IAS Policy"
    

    Observação: as informações a serem inseridas no prompt de comando estão exibidas aqui em mais de uma linha devido às limitações de exibição. Essas informações devem ser inseridas em uma única linha.

  2. Use o Console de Gerenciamento de Diretiva de Grupo para vincular o GPO recém-criado à UO apropriada.

Observe que se o arquivo de diretiva de segurança do ACS contiver configurações do Firewall do Windows, o Firewall do Windows deverá estar ativo no computador local para que esse procedimento seja concluído com êxito. Para verificar se o Firewall do Windows está ativo, abra o Painel de Controle e, em seguida, clique duas vezes em Firewall do Windows.

Agora é preciso executar um teste final para verificar se o GPO aplica as configurações desejadas. Para completar esse procedimento, verifique se as configurações apropriadas foram feitas e se a funcionalidade não foi afetada.

Resumo

Este capítulo explicou as configurações que podem ser usadas para proteger servidores IAS que executam o Windows Server 2003 com SP1 no ambiente Cliente Corporativo definido neste guia. Essas configurações também podem funcionar nos outros ambientes definidos neste guia, mas não foram testadas nem validadas. As configurações foram definidas e aplicadas por um objeto de Diretiva de Grupo (GPO) projetado de forma a complementar a MSBP. GPOs podem ser vinculados às unidades organizacionais (UOs) apropriadas que contêm os servidores IAS na organização para fornecer segurança adicional.

Mais informações

Os links a seguir fornecem informações adicionais sobre tópicos relacionados à proteção de servidores IAS que executam o Windows Server 2003 com SP1.

  • Para obter mais informações sobre o IAS, consulte a página Understanding IAS em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/ab4eeeb2-b0aa-4b4a-a959-3902b2b3f1af.mspx (site em inglês).

  • Para obter mais informações sobre IAS e segurança, consulte a página Internet Authentication Service em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/d98eb914-258c-4f0b-ad04-dc4db9e4ee63.mspx (site em inglês).

  • Para obter informações sobre IAS, firewalls e o Windows Server 2003, consulte a página IAS and firewalls em www.microsoft.com/technet/prodtechnol/windowsserver2003/library/
    ServerHelp/518e70a9-9e7a-422b-a13f-f3193d4fd215.mspx (site em inglês).

  • Para obter informações sobre o RADIUS, consulte o documento "Remote Authentication Dial In User Service (RADIUS)" em http://www.cis.ohio-state.edu/cgi-bin/rfc/rfc2865.html (site em inglês).


Neste artigo


Download

Obtenha o Guia de Segurança do Windows Server 2003

Notificações de atualizações

Inscreva-se para informar-se sobre atualizações e novos lançamentos

Comentários

Envie-nos seus comentários ou sugestões



Cc163133.pageLeft(pt-br,TechNet.10).gif 11 de 19 Cc163133.pageRight(pt-br,TechNet.10).gif
Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2015 Microsoft