Lista de Verificação de Segurança do Windows 2000 Server
Tópicos nesta página Configuração do Windows 2000 Server Lista de verificação dos detalhes de configuração do Windows 2000 Server
Esta lista de verificação define as ações que devem ser tomadas para aumentar a segurança de computadores que executam o Windows 2000 Server e que façam parte ou não de um domínio Windows NT, Windows 2000 ou Windows Server 2003. Estes passos são aplicados ao Windows 2000 Server e Windows 2000 Advanced Server.
Importante O propósito desta lista de verificação é oferecer instruções para a configuração de uma referência no nível de segurança de sistemas Windows 2000. Configurações de segurança podem ser configuradas e aplicadas a servidores locais através da Ferramenta de Diretiva de Segurança. Diretivas de segurança para um domínio podem ser criadas através da Ferramenta de Diretiva de Segurança e através de Diretivas de Grupos. Este guia fornece configurações recomendadas de segurança para o Windows 2000. Um guia passo a passo sobre configurações de diretivas corporativas de segurança utilizando a Ferramenta de Diretiva de Segurança pode ser encontrada no site do Technet.
Esta lista de verificação contém informações sobre a edição do registro. Antes de editar o registro, tenha a certeza de que você entendeu como proceder uma restauração se algum problema ocorrer. Para informações sobre como executar uma restauração, leia o tópico da Ajuda "Restaurando o registro" em Regedit.exe ou o tópico da Ajuda "Restaurando uma chave do registro" em Regedt32.exe.
Configuração do Windows 2000 Server
Passos
Verifique se todas as partições estão formatadas com NTFS
Verifique se a conta Administrador possui uma senha forte
Desabilite serviços desnecessários
Desabilite ou apague contas desnecessárias
Proteja arquivos e diretórios
Tenha certeza de que a conta Convidado está desabilitada
Proteja o registro de acesso anônimo
Aplique listas de controle de acesso apropriadas no registro
Restrinja acesso às informações públicas do LSA (Local Security Authority, Autoridade de Segurança Local)
Defina diretivas de senhas fortes
Defina a diretiva de bloqueio de conta
Configure a conta Administrador
Revogue os direitos do usuário tratar (debug) programas
Remova todos os compartilhamentos de rede desnecessários
Defina listas de controle de acesso apropriados em todos os compartilhamentos de rede
Habilite a auditoria de eventos de segurança
Defina o log de avisos críticos
Instale um software antivírus e suas atualizações
Instale Service Packs e atualizações críticas
Automatize a implementação de correções (patches)
Faça uma varredura em sistemas usando o Baseline Security Analyzer
Configure itens adicionais de segurança
Instale o Service Pack mais recente
Instale as correções pós-SP mais recentes
Lista de verificação dos detalhes de configuração do Windows 2000 Server
------------------------------------------------------------------------
Partições NTFS oferecem controle de acesso e proteções que não estão disponíveis em sistemas de arquivos FAT, FAT32 ou FAT32x. Certifique-se de que todas as partições no servidor estejam formatadas com NTFS. Se necessário, utilize o utilitário CONVERT para converter sem a perda de dados suas partições FAT para NTFS.
**Cuidado** Se você utilizar o utilitário CONVERT, será definido no controle de acesso da partição convertida permissão para Controle Total por Todos. Utilize o utilitário FIXACLS.EXE, presente no Windows NT Resource Kit para substituir estas permissões por outras mais seguras.
### Verifique se a conta Administrador possui uma senha forte
O Windows 2000 permite que as senhas tenham até 127 caracteres. Em geral, senhas maiores são mais difíceis de serem quebradas e senhas com vários tipos de caracteres (letras, números, marcas de pontuação e caracteres ASCII não imprimíveis gerados através da tecla ALT e 3 dígitos no teclado númerico) são mais fortes do que senhas com apenas caracteres alfanuméricos. Para proteção máxima, certifique-se de que a conta Administrador possua pelo menos nove caracteres e inclua pelo menos uma marca de pontuação ou um caracter ASCII não imprimível nos primeiros sete caracteres. Além disso, a conta Administrador não deverá ser sincronizada entre múltiplos servidores. Senhas diferentes podem ser utilizadas para aumentar o nível de segurança em grupos de trabalho ou em um domínio.
### Desabilite serviços desnecessários
Após instalar o Windows 2000 Server, você deve desabilitar todos os serviços de rede não necessários para o computador. Em particular, você deve considerar desabilitar os seguintes serviços se possível:
- Serviços (Internet Information Server) IIS: Serviço de Publicação do FTP, Serviço de Administração do IIS, Network News Transport Protocol (NNTP), Simple Mail Transport Protocol (SMTP) e o Serviço de Publicação do World Wide Web.
- Serviço Servidor. Desabilite-o se o servidor não for utilizado para compartilhamentos de arquivos e impressoras.
- Serviço SNMP. Desabilite-o se o monitoramento SNMP não for necessário.
Você também deve evitar instalar aplicações no servidor a menos que sejam absolutamente necessárias ao seu funcionamento. Por exemplo, não instale clientes de e-mail, ferramentas de produtividade ou utlitários que não sejam de uso necessário ao servidor.
Após instalar o Windows 2000 Server, você deve desabilitar todos os serviços que não forem necessários para função do servidor. Em particular, você deve considerar a necessidade real dos componentes do IIS e se precisa ou não executar o serviço Servidor, usado para compartilhar arquivos e impressoras.
### Desative ou apague contas desnecessárias
Você deve rever a lista de contas ativas (tanto para usuários como aplicações) do sistema no snap-in Gerenciamento do Computador e desativar as contas inativas, apagando contas que não forem mais necessárias.
### Proteger arquivos e pastas
Sistemas instalados na configuração padrão possuem um controle de acesso seguro por padrão no sistema de arquivos. Entretanto, atualizações a partir de versões anteriores (como Windows NT 4.0) não modificam as configurações anteriores de segurança e devem ter suas configurações corrigidas. Leia o documento em